資源描述:
《華賽防火墻動(dòng)態(tài)獲得IP配置》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、通過DHCP接入設(shè)備作為Client,通過DHCP協(xié)議向Server(運(yùn)營商設(shè)備)申請(qǐng)IP地址,實(shí)現(xiàn)接入Internet。組網(wǎng)需求如圖1所示,USG作為出口網(wǎng)關(guān),為局域網(wǎng)內(nèi)PC提供接入Internet出口。公司網(wǎng)絡(luò)規(guī)劃如下:·局域網(wǎng)內(nèi)所有PC都部署在10.1.1.0/24網(wǎng)段,均通過DHCP動(dòng)態(tài)獲得IP地址?!は滦墟溌罚菏褂肔AN以太網(wǎng)接口,通過交換機(jī)連接公司內(nèi)的所有PC?!ど闲墟溌罚菏褂肳AN以太網(wǎng)接口接入Internet。同時(shí),向運(yùn)營商申請(qǐng)Internet接入服務(wù)。運(yùn)營商提供的Internet接入服務(wù)使用DHCP協(xié)議。根據(jù)以上情況,需要將USG作為DHCPClient,向DHCPSe
2、rver(運(yùn)營商設(shè)備)獲得IP地址、DNS地址后,實(shí)現(xiàn)接入Internet。項(xiàng)目數(shù)據(jù)說明(1)接口號(hào):GigabitEthernet6/0/2安全區(qū)域:Untrust通過向DHCPServer(運(yùn)營商設(shè)備)獲得IP地址、DNS地址。(2)接口號(hào):Ethernet6/0/0(VLAN1)安全區(qū)域:TrustLAN以太網(wǎng)接口,缺省屬于VLAN1。(3)接口號(hào):Ethernet6/0/1(VLAN1)安全區(qū)域:TrustLAN以太網(wǎng)接口,缺省屬于VLAN1。Vlanif1IP地址:10.1.1.1/24安全區(qū)域:Trust通過DHCP,給局域網(wǎng)內(nèi)PC動(dòng)態(tài)分配IP地址。配置思路1.配置下行鏈路。
3、在Vlanif1上開啟DHCPServer服務(wù),為PC動(dòng)態(tài)分配IP地址,指定PC獲得的網(wǎng)關(guān)和DNS服務(wù)器地址均為Vlanif1接口。PC上網(wǎng)通常需要解析域名,這就需要為其指定DNS服務(wù)器地址。本例中采用USG作為DNS中繼設(shè)備。2.配置上行鏈路。在GigabitEthernet6/0/2上開啟DHCPClient。3.將接口加入到安全區(qū)域,并在域間配置NAT和包過濾。將連接公司局域網(wǎng)的接口加入到高安全等級(jí)的區(qū)域(Trust),將連接Internet的上行接口加入到低安全等級(jí)的區(qū)域(Untrust)。局域網(wǎng)內(nèi)通常使用私網(wǎng)地址,訪問Internet時(shí),必須配置NAT。本例中,因?yàn)樯闲薪涌谕ㄟ^
4、撥號(hào)獲得IP地址,每次撥號(hào)獲得的IP地址可能不一樣,所以采用EasyIP。4.配置DNS代理。指定DNS服務(wù)器地址為GigabitEthernet6/0/2接口,從運(yùn)營商處獲得。說明:設(shè)備從DHCPServer處獲得IP地址后,通常DHCPServer也會(huì)發(fā)給DHCPClient缺省路由。下一跳地址為運(yùn)營商的設(shè)備。所以此組網(wǎng)下,無需額外配置缺省路由。操作步驟1.配置下行鏈路。#配置Vlanif1接口的IP地址。system-view[USG]interfaceVlanif1[USG-Vlanif1]ipaddress10.1.1.124#在Vlanif1上開啟DHCPServe
5、r服務(wù),為PC動(dòng)態(tài)分配IP地址,指定PC獲得的網(wǎng)關(guān)和DNS服務(wù)器地址均為Vlanif1接口。[USG-Vlanif1]dhcpselectinterface[USG-Vlanif1]dhcpserverdns-list10.1.1.1[USG-Vlanif1]quit1.配置上行鏈路,在GigabitEthernet6/0/2上開啟DHCPClient。2.[USG]interfaceGigabitEthernet6/0/23.[USG-GigabitEthernet6/0/2]dhcpclientenable[USG-GigabitEthernet6/0/2]quit4.將接口加入到安
6、全區(qū)域,并在域間配置NAT和包過濾。#將接口加入到安全區(qū)域。[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet6/0/2[USG-zone-untrust]quit[USG]firewallzonetrust[USG-zone-trust]addinterfacevlanif1[USG-zone-trust]addinterfaceEthernet6/0/0[USG-zone-trust]addinterfaceEthernet6/0/1[USG-zone-trust]quit#域間配置NAT和包過濾
7、。[USG]firewallpacket-filterdefaultpermitall[USG]nat-policyinterzonetrustuntrustoutbound[USG-nat-policy-interzone-trust-untrust-outbound]policy1[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat[USG-nat