通过本实验,你将了解双出口NAT的工作原理及详细配置。
组网设备USG防火墙一台,PC机两台台,交换机一台,双公网出口或路由器三台模拟公网。
实验拓扑图双出口私网用户访问Internet配置思路配置接口的地址,并将接口加入相应的安全区域。
配置多条静态路由,使去往特定目的地址的流量经由相应的运营商来转发。
配置安全策略,允许内部网络中的PC访问Internet。
配置NAT策略,提供源地址转换功能。
在运营商ISP1和ISP2网络的设备上配置回程路由,该配置由运营商完成,本举例中不作介绍。
实验步骤(命令行)交换机配置和路由器配置
[SW]vlanbatch
interfaceVlanif10
ipaddress10.1.10....0
dhcpselectinterface
#
interfaceVlanif20
ipaddress10.1.20....0
dhcpselectinterface
#
interfaceVlanif0
ipaddress10..0....0
interfaceGigabitEthernet0/0/1
portlink-typeaccess
portdefaultvlan0
#
interfaceGigabitEthernet0/0/2
portlink-typeaccess
portdefaultvlan10
#
interfaceGigabitEthernet0/0/
portlink-typeaccess
portdefaultvlan20
路由器配置AR1
[AR1]intg0/0/0
[AR1-GigabitEthernet0/0/0]ipaddress1.1.1....0
#
interfaceGigabitEthernet0/0/1
ipaddress......0
ospf
area0.0.0.0
network1.1.1..0.0.0
network....0.0.0
路由器配置AR2
[AR2]intg0/0/0
[AR2-GigabitEthernet0/0/0]ipadd2.2.2.
interfaceGigabitEthernet0/0/1
ipaddress4.4.4....0
ospf
area0.0.0.0
network2.2.2..0.0.0
network4.4.4..0.0.0
路由器配置AR
[AR]intg0/0/0
[AR-GigabitEthernet0/0/0]ipadd...
interfaceGigabitEthernet0/0/1
ipaddress4.4.4....0
#
interfaceLoopBack0
ipaddress.1.1....0
ospfnetwork-typebroadcas
ospf
area0.0.0.0
network...10.0.0.0
network4.4.4.10.0.0.0
network.1.1.10.0.0.0
USG防火墙配置
interfaceGigabitEthernet1/0/
undoshutdown
ipaddress10..0....0
interfaceGigabitEthernet1/0/1
undoshutdown
ipaddress1.1.1....0
interfaceGigabitEthernet1/0/6
undoshutdown
ipaddress2.2.2.2...0
将接口GigabitEthernet1/0/加入Trust区域。
firewallzonetrust
setpriority85
addinterfaceGigabitEthernet1/0/
将接口GigabitEthernet1/0/1加入isp1区域。
firewallzonenameisp1
setpriority10
addinterfaceGigabitEthernet1/0/1
将接口GigabitEthernet1/0/6加入isp2区域。
firewallzonenameisp2
setpriority20
addinterfaceGigabitEthernet1/0/6
配置静态路由。
iproute-static0.0.0.00.0.0.01.1.1.
iproute-static0.0.0.00.0.0.02.2.2.
iproute-static10.1.10.0.....0.
iproute-static10.1.20.0.....0.
配置NAT地址池。
nataddress-groupgroup1
modepat
routeenable
section01.1.1..1.1.12
#
nataddress-groupgroup2
modepat
routeenable
section02.2.2..2.2.12
配置安全策略,允许私网指定网段与Internet进行报文交互。
security-policy
rulenamep1
source-zonetrust
destination-zoneisp1
source-address10.1.10.0mask...0
source-address10.1.20.0mask...0
actionpermit
rulenamep2
source-zonetrust
destination-zoneisp2
source-address10.1.10.0mask...0
source-address10.1.20.0mask...0
actionpermit
配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
nat-policy
rulenamepolicy_nat1
source-zonetrust
destination-zoneisp1
source-address10.1.10.0mask...0
source-address10.1.20.0mask...0
actionsource-nataddress-groupgroup1
rulenamepolicy_nat2
source-zonetrust
destination-zoneisp2
source-address10.1.10.0mask...0
source-address10.1.20.0mask...0
actionsource-nataddress-groupgroup2
