資源描述:
《華賽防火墻動(dòng)態(tài)獲得IP配置》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1���、通過DHCP接入設(shè)備作為Client�,通過DHCP協(xié)議向Server(運(yùn)營商設(shè)備)申請(qǐng)IP地址��,實(shí)現(xiàn)接入Internet。組網(wǎng)需求如圖1所示����,USG作為出口網(wǎng)關(guān)�,為局域網(wǎng)內(nèi)PC提供接入Internet出口���。公司網(wǎng)絡(luò)規(guī)劃如下:·局域網(wǎng)內(nèi)所有PC都部署在10.1.1.0/24網(wǎng)段��,均通過DHCP動(dòng)態(tài)獲得IP地址����?����!は滦墟溌罚菏褂肔AN以太網(wǎng)接口�,通過交換機(jī)連接公司內(nèi)的所有PC�����?��!ど闲墟溌罚菏褂肳AN以太網(wǎng)接口接入Internet��。同時(shí),向運(yùn)營商申請(qǐng)Internet接入服務(wù)�。運(yùn)營商提供的Internet接入服務(wù)使用DHCP協(xié)議�。根據(jù)以上情況,需要將USG作為DHCPClient����,向DHCPSe
2����、rver(運(yùn)營商設(shè)備)獲得IP地址、DNS地址后��,實(shí)現(xiàn)接入Internet����。項(xiàng)目數(shù)據(jù)說明(1)接口號(hào):GigabitEthernet6/0/2安全區(qū)域:Untrust通過向DHCPServer(運(yùn)營商設(shè)備)獲得IP地址、DNS地址���。(2)接口號(hào):Ethernet6/0/0(VLAN1)安全區(qū)域:TrustLAN以太網(wǎng)接口�,缺省屬于VLAN1。(3)接口號(hào):Ethernet6/0/1(VLAN1)安全區(qū)域:TrustLAN以太網(wǎng)接口����,缺省屬于VLAN1�。Vlanif1IP地址:10.1.1.1/24安全區(qū)域:Trust通過DHCP,給局域網(wǎng)內(nèi)PC動(dòng)態(tài)分配IP地址���。配置思路1.配置下行鏈路����。
3�����、在Vlanif1上開啟DHCPServer服務(wù),為PC動(dòng)態(tài)分配IP地址��,指定PC獲得的網(wǎng)關(guān)和DNS服務(wù)器地址均為Vlanif1接口���。PC上網(wǎng)通常需要解析域名,這就需要為其指定DNS服務(wù)器地址��。本例中采用USG作為DNS中繼設(shè)備�。2.配置上行鏈路��。在GigabitEthernet6/0/2上開啟DHCPClient�。3.將接口加入到安全區(qū)域�����,并在域間配置NAT和包過濾�。將連接公司局域網(wǎng)的接口加入到高安全等級(jí)的區(qū)域(Trust)���,將連接Internet的上行接口加入到低安全等級(jí)的區(qū)域(Untrust)。局域網(wǎng)內(nèi)通常使用私網(wǎng)地址�����,訪問Internet時(shí)�,必須配置NAT。本例中,因?yàn)樯闲薪涌谕ㄟ^
4��、撥號(hào)獲得IP地址��,每次撥號(hào)獲得的IP地址可能不一樣,所以采用EasyIP���。4.配置DNS代理。指定DNS服務(wù)器地址為GigabitEthernet6/0/2接口�,從運(yùn)營商處獲得�����。說明:設(shè)備從DHCPServer處獲得IP地址后�,通常DHCPServer也會(huì)發(fā)給DHCPClient缺省路由。下一跳地址為運(yùn)營商的設(shè)備��。所以此組網(wǎng)下���,無需額外配置缺省路由�。操作步驟1.配置下行鏈路�。#配置Vlanif1接口的IP地址。system-view[USG]interfaceVlanif1[USG-Vlanif1]ipaddress10.1.1.124#在Vlanif1上開啟DHCPServe
5���、r服務(wù),為PC動(dòng)態(tài)分配IP地址,指定PC獲得的網(wǎng)關(guān)和DNS服務(wù)器地址均為Vlanif1接口����。[USG-Vlanif1]dhcpselectinterface[USG-Vlanif1]dhcpserverdns-list10.1.1.1[USG-Vlanif1]quit1.配置上行鏈路�����,在GigabitEthernet6/0/2上開啟DHCPClient����。2.[USG]interfaceGigabitEthernet6/0/23.[USG-GigabitEthernet6/0/2]dhcpclientenable[USG-GigabitEthernet6/0/2]quit4.將接口加入到安
6�、全區(qū)域���,并在域間配置NAT和包過濾����。#將接口加入到安全區(qū)域�。[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet6/0/2[USG-zone-untrust]quit[USG]firewallzonetrust[USG-zone-trust]addinterfacevlanif1[USG-zone-trust]addinterfaceEthernet6/0/0[USG-zone-trust]addinterfaceEthernet6/0/1[USG-zone-trust]quit#域間配置NAT和包過濾
7、。[USG]firewallpacket-filterdefaultpermitall[USG]nat-policyinterzonetrustuntrustoutbound[USG-nat-policy-interzone-trust-untrust-outbound]policy1[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat[USG-nat
