一、組網(wǎng)需求
外網(wǎng)接口使用專線,由運營商分配指定的靜態(tài)地址,內(nèi)網(wǎng)為192.168.1.0/24網(wǎng)段,實現(xiàn)基本上網(wǎng)功能。
二、網(wǎng)絡(luò)拓撲
假設(shè)運營商分配的地址如下:
網(wǎng)段: 202.1.1.8/29
分配ip地址:202.1.1.10,
網(wǎng)關(guān)地址:202.1.1.9,
DNS:202.106.196.115
三、配置要點
1、配置接口
wan1口: ip地址配置為互聯(lián)網(wǎng)運營商所提供的地址;
internal口: IP地址設(shè)置格式為:192.168.1.200/24,可選擇性地開啟接口的管理功能。
2、配置靜態(tài)路由表。
3、配置地址對象”lan“,內(nèi)容為192.168.1.0/24。
4、配置從internal到wan1口的策略,并開啟NAT。
四、操作步驟
1、配置接口地址
進入:網(wǎng)絡(luò)配置--接口配置--編輯wan1
對于 202.1.1.8/29 網(wǎng)段,,2202.1.1.8為網(wǎng)絡(luò)地址和202.1.1.15廣播地址均不可用, 202.1.1.9為運營商網(wǎng)關(guān)所用,202.1.1.9---202.1.1.14 為可用IP地址范圍。
所以配置給wan1接口的地址我們選擇為202.1.1.10.
編輯internal,該接口的默認地址為192.168.1.200/24,根據(jù)實際情況更改即可。
可選擇性地開啟接口的管理功能。建議內(nèi)部開啟https ,ssh, ping服務(wù)。
2、配置靜態(tài)路由表
菜單: 網(wǎng)絡(luò)配置--靜態(tài)路由,點擊 “新建”
按如下方式創(chuàng)建路由表:
目的的IP/子網(wǎng)掩碼: 由于是默認網(wǎng)關(guān),使用默認的0.0.0.0/0.0.0.0即可。
接口: 該路由所關(guān)聯(lián)的接口,wan1口,必須正確填寫,否則該路由無法工作。
網(wǎng)關(guān)地址: 下一跳ip地址, 即wan1口對端運營商設(shè)備接口的ip地址。
管理距離:默認10
優(yōu)先級:默認0,在高級選項中設(shè)置。
3、配置地址資源
菜單: 對象配置--IP地址對象,點擊”新建“
名稱配置為”lan“,地址節(jié)點選擇子網(wǎng):”192.168.1.0/24“,點擊確認.
4、配置策略
注意:為了響應(yīng)國家對于安全的諸多要求,V5.2-R6.0版本默認不再有任何允許的安全策略,必須手工添加安全策略,否則會導(dǎo)致業(yè)務(wù)無法通過防火墻。
進入: 策略配置--IPv4策略, 點擊 "新建"
在新建窗口內(nèi),按如下的方式,添加一條策略:
流入接口:inernal
源地址:lan
流出接口:wan1
目的地址選擇: all,代表所有的地址。
服務(wù): ALL
NAT: 選擇 ”啟用ANT“, 系統(tǒng)會自動將內(nèi)網(wǎng)的lan地址段ip,轉(zhuǎn)換為wan1接口的202.1.1.10 地址,進行互聯(lián)網(wǎng)訪問。如需要使用其他IP,可選擇動態(tài)IP池,在彈出的右側(cè)窗口中選擇已有地址池或新建地址池均可:
點擊”確定“按鈕后,系統(tǒng)自動保存配置,策略生效
注意:新建策略中-日志記錄選項,啟用“記錄允許流量(記錄流日志)”將會給系統(tǒng)帶來額外的資源消耗,所以非必要情況下請不要啟用記錄日志。
五、驗證效果
將電腦IP地址設(shè)置為192.168.1.1/24,網(wǎng)關(guān)設(shè)置地為192.168.1.200,DNS配置為114.114.114.114(一般設(shè)置為當?shù)氐腄NS即可),電腦可正常上網(wǎng)。
