网吧小型企业出口网关举例Word格式.docx
- 文档编号:21933216
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:14
- 大小:48.78KB
网吧小型企业出口网关举例Word格式.docx
《网吧小型企业出口网关举例Word格式.docx》由会员分享,可在线阅读,更多相关《网吧小型企业出口网关举例Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
即分别基于Untrust、Untrust1区域配置NATServer。
由于IP地址有限,可以使用出接口IP地址作为NATServer的公网IP地址,并且使用端口号区分Web服务器和FTP服务器。
∙网吧的总带宽是200M且有100台PC,为了保证网吧正常运行,需要配置IP-CAR限制每个用户的上传报文流量和下载报文流量为1M。
∙为了在不中断业务的前提下可以精确分析网络流量,需要配置端口镜像功能。
∙为了防止网吧受到SYNFlood攻击和ARP攻击,需要启用攻击防范功能,并将网吧PC的IP地址和MAC地址绑定。
网络规划后的组网图如图1所示。
图1网络规划后组网图
项目
数据
说明
(1)
接口号:
GigabitEthernet0/0/0
IP地址:
192.168.0.1/24
安全区域:
Trust
GigabitEthernet0/0/0是连接内网的接口。
100台PC分配到网段为192.168.0.0/24的私网IP地址,部署在Trust区域。
(2)
GigabitEthernet0/0/1
10.1.1.1/24
DMZ
GigabitEthernet0/0/1是连接服务器的接口。
服务器部署在DMZ区域。
(3)
GigabitEthernet0/0/2
200.1.1.1/24
Untrust
网吧去往Internet的流量通过GigabitEthernet0/0/2和GigabitEthernet5/0/0两个出接口转发,实现逐流的负载分担。
(4)
GigabitEthernet5/0/0
200.1.2.3/24
Untrust1
安全优先级:
10
(5)
GigabitEthernet6/0/0
172.16.1.1/24
GigabitEthernet6/0/0是用于进行流量审计的端口,端口镜像的观测端口。
Web服务器
内网IP:
10.1.1.5
转换后的基于Untrust区域的IP地址:
200.1.1.1
转换后的基于Untrust1区域的IP地址:
200.1.2.3
端口号:
80
外网用户能够通过200.1.1.1或200.1.2.3访问网吧的Web服务器,端口号为80。
FTP服务器
10.1.1.10
21
外网用户能够通过200.1.1.1或200.1.2.3访问网吧的FTP服务器,端口号为21。
运营商分配给网吧的IP地址
200.1.1.1和200.1.2.3
200.1.1.1用作GigabitEthernet0/0/2接口的IP地址、Trust-Untrust域间的NAT地址池1的地址和网吧服务器的公网IP地址。
200.1.2.3用作GigabitEthernet5/0/0接口的IP地址、Trust-Untrust1域间的NAT地址池2的地址和网吧服务器的公网IP地址。
运营商指定的两个接入点的IP地址
200.1.1.2和200.1.2.4
GigabitEthernet0/0/2接口连接到IP地址为200.1.1.2的接入点。
GigabitEthernet5/0/0接口连接到IP地址为200.1.2.4的接入点。
操作步骤
1.配置USG各接口的IP地址,将接口加入安全区域,并开启域间包过滤规则。
#配置USG各接口的IP地址。
<
USG>
system-view
[USG]interfaceGigabitEthernet0/0/0
[USG-GigabitEthernet0/0/0]ipaddress192.168.0.124
[USG-GigabitEthernet0/0/0]quit
[USG]interfaceGigabitEthernet0/0/1
[USG-GigabitEthernet0/0/1]ipaddress10.1.1.116
[USG-GigabitEthernet0/0/1]quit
[USG]interfaceGigabitEthernet0/0/2
[USG-GigabitEthernet0/0/2]ipaddress200.1.1.124
[USG-GigabitEthernet0/0/2]quit
[USG]interfaceGigabitEthernet5/0/0
[USG-GigabitEthernet5/0/0]ipaddress200.1.2.324
[USG-GigabitEthernet5/0/0]quit
[USG]interfaceGigabitEthernet6/0/0
[USG-GigabitEthernet6/0/0]ipaddress172.16.1.124
[USG-GigabitEthernet6/0/0]quit
#在GigabitEthernet0/0/0上配置基于接口的DHCP功能,为局域网的用户自动分配IP地址。
[USG-GigabitEthernet0/0/0]dhcpselectinterface
[USG-GigabitEthernet0/0/0]dhcpserverdns-list202.111.80.106
#配置将USG各接口加入相应的安全区域。
[USG]firewallzonetrust
[USG-zone-trust]addinterfaceGigabitEthernet0/0/0
[USG-zone-trust]addinterfaceGigabitEthernet6/0/0
[USG-zone-trust]quit
[USG]firewallzonedmz
[USG-zone-dmz]addinterfaceGigabitEthernet0/0/1
[USG-zone-dmz]quit
[USG]firewallzoneuntrust
[USG-zone-untrust]addinterfaceGigabitEthernet0/0/2
[USG-zone-untrust]quit
[USG]firewallzonenameuntrust1
[USG-zone-untrust1]setpriority10
[USG-zone-untrust1]addinterfaceGigabitEthernet5/0/0
[USG-zone-untrust1]quit
#开启域间包过滤规则,确保各种业务顺利进行。
[USG]firewallpacket-filterdefaultpermitall
2.配置NAToutbound,使内网用户通过转换后的公网IP地址访问Internet。
#配置应用于Trust—Untrust域间的NAT地址池1。
地址池1的IP地址为200.1.1.1。
[USG]nataddress-group1200.1.1.1200.1.1.1
#配置应用于Trust—Untrust1域间的NAT地址池2。
地址池2的IP地址为200.1.2.3。
[USG]nataddress-group2200.1.2.3200.1.2.3
#在Trust—Untrust域间配置NAToutbound,将网吧内用户的私网IP地址转换为GigabitEthernet0/0/2接口的IP地址。
[USG]nat-policyinterzonetrustuntrustoutbound
[USG-nat-policy-interzone-trust-untrust-outbound]policy1
[USG-nat-policy-interzone-trust-untrust-outbound-1]policysource192.168.0.00.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat
[USG-nat-policy-interzone-trust-untrust-outbound-1]address-group1
[USG-nat-policy-interzone-trust-untrust-outbound-1]quit
[USG-nat-policy-interzone-trust-untrust-outbound]quit
#在Trust—Untrust1域间配置NAToutbound,将网吧内用户的私网IP地址转换为GigabitEthernet5/0/0接口的IP地址。
[USG]nat-policyinterzonetrustuntrust1outbound
[USG-nat-policy-interzone-trust-untrust1-outbound]policy1
[USG-nat-policy-interzone-trust-untrust1-outbound-1]policysource192.168.0.00.0.0.255
[USG-nat-policy-interzone-trust-untrust1-outbound-1]actionsource-nat
[USG-nat-policy-interzone-trust-untrust1-outbound-1]address-group2
[USG-nat-policy-interzone-trust-untrust1-outbound-1]quit
[USG-nat-policy-interzone-trust-untrust1-outbound]quit
3.配置两条缺省路由,并配置相同的优先级,实现负载分担。
4.[USG]iproute-static0.0.0.00.0.0.0GigabitEthernet0/0/2200.1.1.2
[USG]iproute-static0.0.0.00.0.0.0GigabitEthernet5/0/0200.1.2.4
5.配置NATServer,使外网用户能够通过公网IP地址访问DMZ区域的服务器。
#配置基于Untrust区域的NATServer,使外网用户能够通过200.1.1.1访问Web服务器(端口号为80)和FTP服务器(端口号为21)。
[USG]natserverzoneuntrustprotocol80global200.1.1.1inside10.1.1.5
[USG]natserverzoneuntrustprotocol21global200.1.1.1inside10.1.1.10
#配置基于Untrust1区域的NATServer,使外网用户能够通过200.1.2.3访问Web服务器(端口号为80)和FTP服务器(端口号为21)。
[USG]natserverzoneuntrust1protocol80global200.1.2.3inside10.1.1.5
[USG]natserverzoneuntrust1protocol21global200.1.2.3inside10.1.1.10
6.配置基于IP地址的带宽限制(IP-CAR功能),限制每个用户的上传报文流量和下载报文流量为1M。
#配置带宽限制等级及对应的阈值,其中car-class1是上传的限制等级,阈值是1Mbps,car-class2是下载的限制等级,阈值是1Mbps,
[USG]firewallcar-class11000000
[USG]firewallcar-class21000000
#创建用来限流的ACL,对匹配ACL中permit规则的用户进行限流。
其中3001用于匹配上传的流量,3002用于匹配下载的流量。
[USG]aclaclnumber3001
[USG-acl-adv-3001]rule0permitipsource192.168.0.00.0.0.255
[USG-acl-adv-3001]quit
[USG]aclaclnumber3002
[USG-acl-adv-3002]rule0permitipdestination192.168.0.00.0.0.255
#在全局下开启IP-CAR功能,然后再在Trust的入域和出域方向开启IP-CAR功能。
[USG]ip-carenable
[USG-zone-trust]statisticenableipinzone
[USG-zone-trust]statisticenableipoutzone
#引用ACL配置带宽限制,对匹配ACL中permit规则的流量进行带宽的限制。
3001用于匹配上传流量,所以应用在outbound方向上,3002用于匹配下载流量,所以应用在inbound方向上。
[USG-zone-trust]statisticcaripoutbound1acl-number3001
[USG-zone-trust]statisticcaripinbound2acl-number3002
7.配置端口镜像功能,利用GigabitEthernet6/0/0接口审计网吧的流量。
注意:
∙当一个接口被用作观测端口时,该接口上的其他业务将不可用。
∙为防止由于接口传输速率不同导致的无法全部接收镜像报文的情况发生,请确保观测端口和镜像端口传输速率一致。
∙开启端口镜像功能,会影响设备的性能。
建议在流量审计完成后,执行undoport-mirroring命令,关闭端口镜像功能。
#配置GigabitEthernet6/0/0接口为观测端口,GigabitEthernet0/0/0接口为镜像端口。
[USG]observing-portGigabitEthernet6/0/0
[USG]port-mirroringGigabitEthernet0/0/0bothGigabitEthernet6/0/0
8.配置IP和MAC地址绑定,防止IP地址仿冒,防范恶意攻击。
#将网吧每台PC和服务器的IP地址和MAC地址绑定,由于PC数量较多,这里就不一一列出了。
[USG]firewallmac-bindingenable
[USG]firewallmac-binding192.168.0.200e0-4d07-af86
[USG]firewallmac-binding192.168.0.300e0-4d07-23ab
[USG]firewallmac-binding10.1.1.50030-6739-e7fa
[USG]firewallmac-binding10.1.1.100030-6737-4734
9.配置攻击防范功能,防止网吧受到SYNFlood攻击和ARP攻击。
请根据网络实际情况开启攻击防范功能,本例中配置的攻击防范功能仅供参考。
[USG]firewalldefendsyn-floodenable
[USG]firewalldefendarp-floodenable
[USG]firewalldefendarp-spoofingenable
结果验证
1.执行命令displaynatall,可以看到NAT地址池与NATServer使用相同的IP地址,且网吧的服务器的IP地址相同并用端口号区分Web服务器和FTP服务器。
2.[USG]displaynatall
3.
4.NATaddress-groupinformation:
5.number:
1name:
---
6.startaddr:
200.1.1.1endaddr:
200.1.1.1
7.reference:
0vrrp:
8.vpninstance:
public
9.
10.number:
2name:
11.startaddr:
200.1.2.3endaddr:
200.1.2.3
12.reference:
13.vpninstance:
14.
15.Total2address-groups
16.
17.Serverinprivatenetworkinformation:
18.id:
0
19.zone:
untrust
20.globaladdr:
200.1.1.1insideaddr:
10.1.1.5
21.globalport:
---insideport:
22.globalvpn:
publicinsidevpn:
23.protocol:
80vrrp:
24.
25.id:
1
26.zone:
27.globaladdr:
10.1.1.10
28.globalport:
29.globalvpn:
30.protocol:
21vrrp:
31.
32.id:
2
33.zone:
untrust1
34.globaladdr:
200.1.2.3insideaddr:
35.globalport:
36.globalvpn:
37.protocol:
38.
39.id:
3
40.zone:
41.globaladdr:
42.globalport:
43.globalvpn:
44.protocol:
45.
Total4NATservers
46.通过在网络中操作,检查业务是否能够正常实现。
#在网吧的一台主机上,访问Internet的一台服务器(假设IP地址为202.1.5.10),通过执行命令displayfirewallsessiontable,可以看到私网IP地址转换成了公网IP地址。
[USG]displayfirewallsessiontable
CurrentTotalSessions:
httpVPN:
public->
public192.168.0.10:
1674[200.1.1.1:
12889]-->
202.1.5.10:
80
#在Internet上的一台主机上,访问网吧的FTPServer(对外IP地址为200.1.1.1),通过执行命令displayfirewallserver-map,可以看到服务器的IP地址进行了转换。
[USG]displayfirewallserver-map
server-mapitem(s)
------------------------------------------------------------------------------
NatServer,ANY->
200.1.1.1[10.1.1.10],Zone:
Protocol:
ANY(Appro:
---),Left-Time:
--:
--:
--,Addr-
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网吧 小型企业 出口 网关 举例