一、組網需求
外網接口使用專線,由運營商分配指定的靜態地址,內網為192.168.1.0/24網段,實現基本上網功能。
二、網絡拓撲
假設運營商分配的地址如下:
網段: 202.1.1.8/29
分配ip地址:202.1.1.10,
網關地址:202.1.1.9,
DNS:202.106.196.115
三、配置要點
1、配置接口
wan1口: ip地址配置為互聯網運營商所提供的地址;
internal口: IP地址設置格式為:192.168.1.200/24,可選擇性地開啟接口的管理功能。
2、配置靜態路由表。
3、配置地址對象”lan“,內容為192.168.1.0/24。
4、配置從internal到wan1口的策略,并開啟NAT。
四、操作步驟
1、配置接口地址
進入:網絡配置--接口配置--編輯wan1
對于 202.1.1.8/29 網段,,2202.1.1.8為網絡地址和202.1.1.15廣播地址均不可用, 202.1.1.9為運營商網關所用,202.1.1.9---202.1.1.14 為可用IP地址范圍。
所以配置給wan1接口的地址我們選擇為202.1.1.10.
編輯internal,該接口的默認地址為192.168.1.200/24,根據實際情況更改即可。
可選擇性地開啟接口的管理功能。建議內部開啟https ,ssh, ping服務。
2、配置靜態路由表
菜單: 網絡配置--靜態路由,點擊 “新建”
按如下方式創建路由表:
目的的IP/子網掩碼: 由于是默認網關,使用默認的0.0.0.0/0.0.0.0即可。
接口: 該路由所關聯的接口,wan1口,必須正確填寫,否則該路由無法工作。
網關地址: 下一跳ip地址, 即wan1口對端運營商設備接口的ip地址。
管理距離:默認10
優先級:默認0,在高級選項中設置。
3、配置地址資源
菜單: 對象配置--IP地址對象,點擊”新建“
名稱配置為”lan“,地址節點選擇子網:”192.168.1.0/24“,點擊確認.
4、配置策略
注意:為了響應國家對于安全的諸多要求,V5.2-R6.0版本默認不再有任何允許的安全策略,必須手工添加安全策略,否則會導致業務無法通過防火墻。
進入: 策略配置--IPv4策略, 點擊 "新建"
在新建窗口內,按如下的方式,添加一條策略:
流入接口:inernal
源地址:lan
流出接口:wan1
目的地址選擇: all,代表所有的地址。
服務: ALL
NAT: 選擇 ”啟用ANT“, 系統會自動將內網的lan地址段ip,轉換為wan1接口的202.1.1.10 地址,進行互聯網訪問。如需要使用其他IP,可選擇動態IP池,在彈出的右側窗口中選擇已有地址池或新建地址池均可:
點擊”確定“按鈕后,系統自動保存配置,策略生效
注意:新建策略中-日志記錄選項,啟用“記錄允許流量(記錄流日志)”將會給系統帶來額外的資源消耗,所以非必要情況下請不要啟用記錄日志。
五、驗證效果
將電腦IP地址設置為192.168.1.1/24,網關設置地為192.168.1.200,DNS配置為114.114.114.114(一般設置為當地的DNS即可),電腦可正常上網。
