组网要求:
如所示,某公司拥有多个部门且位于不同网段,各部门均有访问Internet的需求。现要求用户通过三层交换机和防火墙访问外部网络,且要求三层交换机作为用户的网关。
IP设置:
1、Switch:vlanif2:192.168.1.1/24,vlanif3:192.168.2.1/24,vlanif100:192.168.100.2/24
2、FW1:GE1/0/1:192.168.100.1/24,GE1/0/2:200.0.0.2/24
AR1:GE0/0/0:200.0.0.1/24,loopback0:3.3.3.3/32
配置思路
1.配置交换机作为用户的网关,通过VLANIF接口,实现跨网段用户互访。
2.配置交换机作为DHCP服务器,为用户分配IP地址。
3.开启防火墙域间安全策略,使不同域的报文可以相互转发。
4.配置防火墙PAT转换功能,使用户可以访问外部网络。
配置步骤:
步骤1配置交换机
#配置连接用户的接口和对应的VLANIF接口。
配置连接防火墙的接口和对应的 VLANIF 接口。
配置缺省路由。
//缺省路由的下一跳是防火墙接口的 IP 地址192.168.100.1
ip route-static 0.0.0.0 0.0.0.0 192.168.100.1配置 DHCP 服务器。
[Switch] dhcp enable[Switch] interface vlanif 2[Switch-Vlanif2] dhcp select interface //DHCP 使用接口地址池的方式为用户分配 IP 地址[Switch-Vlanif2] dhcp server dns-list 8.8.8.8
配置的 DNS-List 114.114.114.114 是公用的 DNS 服务器地址,是不区分运营商的。在实际应用中,请根据运营商分配的 DNS 进行配置
[Switch-Vlanif2] quit[Switch] interface vlanif 3[Switch-Vlanif3] dhcp select interface[Switch-Vlanif3] dhcp server dns-list 8.8.8.8[Switch-Vlanif3] quit
2 配置防火墙
配置连接交换机的接口对应的 IP 地址。
<USG6600> system-view[USG6600] interface gigabitethernet 1/0/1[USG6600-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0[USG6600-GigabitEthernet1/0/1] quit
配置连接公网的接口对应的 IP 地址。
[USG6600] interface gigabitethernet 1/0/2[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0
配置连接公网接口的 IP 地址和公网的 IP地址在同一网段
[USG6600-GigabitEthernet1/0/2] quit配置缺省路由和回程路由。
[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
//配置静态缺省路由的下一跳指向公网提供的 IP 地址200.0.0.1
[USG6600] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2
//配置回程路由的下一跳就指向交换机上行接口的 IP 地址 192.168.100.2
配置安全策略。
配置安全策略,允许域间互访。
配置 PAT 地址池,开启允许端口地址转换。
配置源 PAT 策略,实现私网指定网段访问公网时自动进行源地址转换。
[USG6600] nat-policy[USG6600-policy-nat] rule name policy_nat1[USG6600-policy-nat-rule-policy_nat1] source-zone trust[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0 //允许进行 PAT 转换的源 IP 地址[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1[USG6600-policy-nat-rule-policy_nat1] quit[USG6600-policy-nat] quit[USG6600] quit
检查配置结果
配置 PC1 的 IP 地址为 192.168.1.2/24,网关为 192.168.1.1;PC2 的 IP 地址为192.168.2.2/24,网关为 192.168.2.1。配置完成后,PC1 和 PC2 都可以 Ping 通外网的 IP3.3.3.3,PC1 和 PC2 都可以访问 Internet。
Switch 的主要配置文件:
sysname Switch
#
undo info-center enable
#
vlan batch 2 to 3 100
#
dhcp enable
#
interface Vlanif2
ip address 192.168.1.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif3
ip address 192.168.2.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
#
#
interface MEth0/0/1
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3#
#
return
ip route-static 0.0.0.0 0.0.0.0 192.168.100.1
五、FW1 的主要配置文件:
undo info-center enable
#
#
#
sysname FW1
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.100.1 255.255.255.0
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 200.0.0.2 255.255.255.0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
firewall zone dmz
set priority 50
#
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
ip route-static 192.168.0.0 255.255.0.0 192.168.100.2
security-policy
rule name policy1
source-zone trust
destination-zone untrust
source-address 192.168.0.0 mask 255.255.0.0
action permit
#nat-policy
rule name policy_nat1
source-zone trust
destination-zone untrust
source-address 192.168.0.0 mask 255.255.0.0
action source-nat easy-ip
#
return
六、AR1 的主要配置文件:
#
sysname AR1
#
interface GigabitEthernet0/0/0
ip address 200.0.0.1 255.255.255.0
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
#
return