出口网关双链路接入不同运营商举例一
USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以实现外网用户访问内网服务器,并保护内网不受网络攻击。 组网需求
某学校网络通过USG连接到Internet,校内组网情况如下:
∙ 校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。
∙ 学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了5个IP地址。ISP1分配的IP地址是200.1.1.1~200.1.1.5,ISP2分配的IPwww.m227
地址是202.1.1.1~202.1.1.5,掩码均为24位。 ∙ 校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营
∙ 当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
∙ 校内用户和校外用户都可以访问图书馆中部署的2台服务器。
∙ 保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。
图1 出口网关双链路接入不同运营商举例一组网图
项目 | 数据 | 说明 |
(1) | 接口号:GigabitEthernet 0/0/0 IP地址:10.1.1.1/16 安全区域:Trust | 接口(1)是连接内网汇聚交换机的接口。 校内用户分配到网段为10.1.0.0/16的私网地址和DNS服务器地址100.1.1.1/24,部署在Trust区域。 |
(2) | 接口号:GigabitEthernet 0/0/1 IP地址:192.168.1.1/24 安全区域:DMZ | 接口(2)是连接图书馆内服务器的接口。 图书馆区部署在DMZ区域。 |
(3) | 接口号:GigabitEthernet 0/0/2 IP地址:200.1.1.1/24 安全区域:ISP1 安全优先级:15 | 接口(3)是连接ISP1的接口,去往ISP1所属网段的数据通过接口(3)转发。 |
(4) | 接口号:GigabitEthernet 5/0/0 IP地址:202.1.1.1/24 安全区域:ISP2 安全优先级:20 | 接口(4)是连接ISP2的接口。去往ISP2所属网段的数据通过接口(4)转发。 |
(5) | 接口号:GigabitEthernet 0/0/0 燕窝饼IP地址:200.1.1.10/24 | 接口(5)是ISP1端与USG相连的接口。 |
(6) | 接口号:GigabitEthernet 0/0/0 IP地址:202.1.1.10/24 | 接口(6)是ISP2端与USG相连的接口。 |
Web服务器 | 内网IP:192.168.1.5/24 转换成的ISP1的公网IP:200.1.1.4/24 转换成的ISP2的公网IP:202.1.1.4/24 | 对于ISP1所属网段的外部用户,Web服务器的IP地址为200.1.1.4/24。 对于ISP2所属网段的外部用户,Web服务器的IP地址为202.1.1.4/24。 |
FTP服务器 | 内网IP:192.168.1.10/24 转换成的ISP1的公网IP:200.1.1.5/24 转换成的ISP2的公网IP:202.1.1.5/24 | 对于ISP2所属网段的外部用户,FTP服务器的IP地址为200.1.1.5/24。 对于ISP2所属网段的外部用户,FTP服务器的IP地址为202.1.1.5/24。 |
ISP1分配给学校的IP地址 | 200.1.1.1~200.1.1.5,掩码24位。 | 其中200.1.1.1用作USG的出接口地址,200.1.1.2和200.1.1.3用作Trust—ISP1域间的NAT地址池1的地址。 |
ISP2分配给学校的IP地址 | 202.1.1.1~202.1.1.5,掩码24位。 | 其中202.1.1.1用作USG的出接口地址,202.1.1.2和202.1.1.3用作Trust—ISP2域间的NAT地址池2的地址。 |
| | |
配置思路
∙ 为了实现校园网用户使用有限公网IP地址接入Internet,需要配置NAPT方式的NAT,借助端口将多个私网IP地址转换为有限的公网IP地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网地址。即创建两个安全区域ISP1和ISP2(安全优先级低于DMZ区域),并分别在Trust—ISP1域间、Trust—ISP2域间配置NAT策略。
∙ 为了实现去往不同运营商的流量由对应接口转发,需要收集ISP1和ISP2所属网段的信息,并配置到这些网段的静态路由。使去往ISP1的流量通过连接ISP1的接口转发,去往ISP2的流量通过连接ISP2的接口转发。
为了提高链路可靠性,避免业务中断,需要配置两条缺省路由。当报文无法匹配静态路由时,通过缺省路由发送给下一跳。
∙ 由于图书馆的服务器部署在内网,其IP地址为私网IP地址。如果想对校外用户提供服务,就需要将服务器的私网IP地址转换为公网IP地址。即分别基于ISP1、ISP2区域配置NAT S
erver。
∙ 在USG上启用攻击防范功能,保护校园网内部网络。
操作步骤
1. 配置USG各接口的IP地址并将接口加入安全区域。
# 配置USG各接口的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 16
[USG-GigabitEthernet0/0/0] quit
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 200.1.1.1 24
[USG-GigabitEthernet0/0/2] quit
[USG] interface GigabitEthernet 5/0/0
[USG-GigabitEthernet5/0/0] ip address 202.1.1.1 24
[USG-GigabitEthernet5/0/0] quit
# 将GigabitEthernet 0/0/0接口加入Trust安全区域
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
# 将GigabitEthernet 0/0/1接口加入DMZ安全区域
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/1
[USG-zone-dmz] quit
空调风叶# 创建安全区域ISP1,并将GigabitEthernet 0/0/2接口加入ISP1。
[USG] firewall zone name isp1
[USG-zone-isp1] set priority 15
[USG-zone-isp1] add interface GigabitEthernet 0/0/2
[USG-zone-isp1] quit
# 创建安全区域ISP2,并将GigabitEthernet 5/0/0接口加入ISP2。
[USG] firewall zone name isp2
[USG-zone-isp2] set priority 20
[USG-zone-isp2] add interface GigabitEthernet 5/0/0
[USG-zone-isp2] quit
2. 配置域间包过滤及ASPF功能,对校内外数据流进行访问控制。
# 配置Trust—ISP1的域间包过滤,允许校内用户访问ISP1。
[USG] policy interzone trust isp1 outbound
[USG-policy-interzone-trust-isp1-outbound] policy 1
[USG-policy-interzone-trust-isp1-outbound-1] policy source 10.1.0.0 0.0.255.255
[USG-policy-interzone-trust-isp1-outbound-1] action permit
[USG-policy-interzone-trust-isp1-outbound-1] quit
[USG-policy-interzone-trust-isp1-outbound] quit
# 配置Trust—ISP2的域间包过滤,允许校内用户访问ISP2。
[USG] policy interzone trust isp2 outbound
[USG-policy-interzone-trust-isp2-outbound] 车用暖风机policy 1
[USG-policy-interzone-trust-isp2-outbound-1] policy source 10.1.0.0 0.0.255.255
[USG-policy-interzone-trust-isp2-outbound-1] action permit
[USG-policy-interzone-trust-isp2-outbound-1] quit
[USG-policy-interzone-trust-isp2-outbound] quit
# 配置ISP1—DMZ的域间包过滤,允许校外用户访问DMZ区域的服务器(注意Policy配置目的地址为服务器的内网地址)。
844vv
[USG] policy interzone dmz isp1 inbound
[USG-policy-interzone-dmz-isp1-inbound] policy 1
[USG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.5 0
[USG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.10 0
[USG-policy-interzone-dmz-isp1-inbound-1] action permit
[USG-policy-interzone-dmz-isp1-inbound-1] quit
[USG-policy-interzone-dmz-isp1-inbound] quit
# 配置ISP2—DMZ的域间包过滤,允许校外用户访问DMZ区域的服务器(注意Policy配置目的地址为服务器的内网地址)。
[USG] policy interzone dmz isp2 inbound
[USG-policy-interzone-dmz-isp2-inbound] policy 1
[USG-policy-interzone-dmz-isp2-inbound-1] policy destination 192.168.1.5 0
[USG-policy-interzone-dmz-isp2-inbound-1] policy destination 192.168.1.10 0
雨棚信号灯
[USG-policy-interzone-dmz-isp2-inbound-1] action permit
[USG-policy-interzone-dmz-isp2-inbound-1] quit
[USG-policy-interzone-dmz-isp2-inbound] quit
# 配置Trust—DMZ的域间包过滤,允许校内用户访问服务器。
[USG] policy interzone trust dmz outbound
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议