完整版强叔侃墙校园网出口网关配置Word下载.docx
- 文档编号:15729359
- 上传时间:2022-11-15
- 格式:DOCX
- 页数:11
- 大小:94.99KB
完整版强叔侃墙校园网出口网关配置Word下载.docx
《完整版强叔侃墙校园网出口网关配置Word下载.docx》由会员分享,可在线阅读,更多相关《完整版强叔侃墙校园网出口网关配置Word下载.docx(11页珍藏版)》请在冰豆网上搜索。
例如图书馆的上网流量能够通过教育网链路转发.
2、学校内部署了提供对外访问的服务器,供多个ISP的用户访问。
例如学校网站主页、邮件、Portal等服务器.
学校内还部署了DNS服务器为以上服务器提供域名解析.学校希望各ISP的外网用户能够解析到自己ISP的地址,从而提高访问服务器的速度。
3、学校希望USG能够保护内部网络,防止SYN—flood攻击,并对网络入侵行为进行告警。
4、学校希望限制P2P流量,包括每个用户的P2P流量,以及网络总体的P2P流量。
5、学校希望能够在网管系统上查看攻击防范和入侵检测的日志,并且能够查看NAT转换前后的IP地址.
【配置步骤】
1、配置各接口的IP地址。
接口的配置我想大家都会的,所以强叔这里只给出GE1/0/0的配置了.本举例中的接口都为10GE接口。
【强叔点评】一般ISP分配给你的IP地址都是30位掩码的。
建议在接口上配置描述或别名,表示接口的情况.
〈USG〉system-view
[USG]interfaceGigabitEthernet1/0/0
[USG—GigabitEthernet1/0/0]ipaddress218.1。
1.1255.255。
255.252
[USG-GigabitEthernet1/0/0]descriptiontocernet
[USG-GigabitEthernet1/0/0]quit
#
hrpmirrorsessionenable
hrpenable
hrpospf—costadjust-enable
hrploadbalance-device
hrpinterfaceGigabitEthernet1/0/7
interfaceGigabitEthernet1/0/1
ipaddress10。
2。
0。
1255.255.255.0
hrptrackactive
hrptrackstandby
#
interfaceGigabitEthernet1/0/3
ipaddress10.3。
1255。
255。
0
interfaceGigabitEthernet1/0/7
10。
255.0
2、创建安全区域,并将各接口加入安全区域。
新建安全区域isp1、isp2和cernet(代表教育网),并将各接口加入对应的安全区域。
【强叔点评】当防火墙需要连接多个ISP时,一般需要为每个连接ISP的接口都创建一个新的安全区域,而且安全区域的名称最好能够代表此安全区域。
[USG]firewallzonenameisp1
[USG—zone—isp1]setpriority15
[USG-zone-isp1]addinterfaceGigabitEthernet1/0/1
[USG—zone—isp1]quit
[USG]firewallzonenameisp2
[USG-zone—isp2]setpriority20
[USG-zone—isp2]addinterfaceGigabitEthernet1/0/2
[USG—zone-isp2]quit
[USG]firewallzonenamecernet
[USG—zone—cernet]setpriority25
[USG-zone-cernet]addinterfaceGigabitEthernet1/0/0
[USG—zone—cernet]quit
[USG]firewallzonetrust
[USG-zone-trust]addinterfaceGigabitEthernet1/0/3
[USG—zone—trust]quit
3、配置IP-Link,探测各ISP提供的链路状态是否正常.
[USG]ip—linkcheckenable
[USG]ip—link1destination218。
1。
1.2interfaceGigabitEthernet1/0/0
[USG]ip—link2destination200.1。
1.2interfaceGigabitEthernet1/0/1
[USG]ip—link3destination202。
1.1.2interfaceGigabitEthernet1/0/2
【强叔点评】当IP-Link监控的链路故障时,与其绑定的静态路由或策略路由失效。
4、配置静态路由,保证基础路由可达.
配置缺省路由,下一跳为教育网的地址,保证未匹配其他路由的流量都能够通过教育网转发出去.
[USG]iproute-static0。
0.0.00。
0.0.0218.1.1。
1
配置静态路由,目的地址为内网网段,下一跳为内网交换机的地址,保证外网的流量能够到达内网。
[USG]iproute-static10。
1.0。
0255.255。
0172.16.1.2
【强叔点评】当在网关上配置静态路由时,既要有出方向的路由,也要有入方向的路由。
一般情况下,出方向都会至少配置一条缺省路由。
5、配置ISP选路,保证去往特定目的地址的流量能够通过特定链路(接口)转发。
1)从各ISP获取最新的目的地址明细。
2)按如下格式分别编辑各ISP的csv文件。
3)导入所有ISP的csv文件。
4)执行以下命令,分部加载各ISP的csv文件,并指定下一跳.
[USG]ispsetfilenamecsnet。
csvGigabitEthernet1/0/0next-hop218.1.1。
2trackip—link1
[USG]ispsetfilenameisp1。
csvGigabitEthernet1/0/1next-hop200.1.1.2trackip—link2
[USG]ispsetfilenameisp2。
csvGigabitEthernet1/0/2next-hop202.1。
2trackip—link3
【强叔点评】ISP选路功能其实就是批量下发明细路由,目的地址为ISP文件中的地址,下一跳为配置命令指定的地址。
ISP选路能够实现去往特定ISP目的地址的流量都通过对应的ISP链路转发。
各位小伙伴注意,ISP选路功能是USG9000系列V300R001C20版本的新功能噢。
6、配置策略路由,保证特定内网用户(IP)的流量能够通过特定链路(接口)转发。
【强叔点评】策略路由的作用是基于源IP地址的选路(当然通过高级ACL也能实现基于目的地址的选路).例如图书管的上网用户(10。
1.2.0/24网段)只能通过教育网访问Internet。
策略路由的配置方式是华为经典的CB对(classifier和behavior配对)配置方式。
[USG]aclnumber2000
[USG-acl-basic—2000]rulepermitsource10.1。
2.00.0.0.255
[USG-acl-basic—2000]quit
[USG]trafficclassifierclasslb
[USG—classifier—classlb]if—matchacl2000
[USG—classifier—classlb]quit
[USG]trafficbehaviorbehaviorlb
[USG-behavior—behaviorlb]redirectip—nexthop218。
2interfaceGigabitEthernet1/0/0trackip-link1
[USG—behavior-behaviorlb]quit
[USG]trafficpolicypolicylb
[USG—trafficpolicy-policylb]classifierclasslbbehaviorbehaviorlb
[USG—trafficpolicy—policylb]quit
[USG]interfaceGigabitEthernet1/0/3
[USG-GigabitEthernet1/0/3]traffic-policypolicylbinbound
[USG—GigabitEthernet1/0/3]quit
7、配置安全策略和IPS,保证流量能够正常转发的同时,进行入侵行为检测.
开启trust与isp1、isp2、csnet间的安全策略,并引用缺省的配置文件ids,进行入侵行为检测.下面仅以trust与isp1间的安全策略配置为例。
[USG]policyinterzonetrustisp1outbound
[USG-policy-interzone-trust—isp1-outbound]policy0
[USG—policy-interzone-trust—isp1—outbound—0]actionpermit
[USG—policy—interzone—trust—isp1-outbound-0]profileipsids
[USG-policy-interzone-trust-isp1-outbound-0]quit
[USG]policyinterzonetrustisp1inbound
[USG-policy—interzone-trust—isp1-inbound]policy0
[USG-policy-interzone-trust-isp1—inbound—0]actionpermit
[USG-policy-interzone-trust-isp1—inbound-0]profileipsids
[USG—policy—interzone—trust—isp1—inbound—0]quit
启用IPS功能,并配置特征库定时在线升级。
[USG]ipsenable
[USG]updatescheduleips—sdbenable
[USG]updatescheduleweeklysun02:
00
[USG]updateschedulesa-sdbenable
[USG]
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 完整版 强叔侃墙 校园网 出口 网关 配置