配置NAT_Server双出口举例.doc

出口网关双链路接入不同运营商举例一 USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，还可以实现外网用户访问内网服务器，并保护内网不受网络攻击。 组网需求 某学校网络通过USG连接到Internet，校内组网情况如下： 校内用户主要分布在教学楼和宿舍区，通过汇聚交换机连接到USG。图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。 学校分别通过两个不同运营商（ISP1和ISP2）连接到Internet，两个运营商分别为该校分配了5个IP地址。ISP1分配的IP地址是～，ISP2分配的IP地址是～，掩码均为24位。 该学校网络需要实现以下需求： 校内用户能够通过两个运营商访问Internet，且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。 当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免网络长时间中断。 校内用户和校外用户都可以访问图书馆中部署的2台服务器。 保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。 图1 出口网关双链路接入不同运营商举例一组网图  项目 数据 说明 （1） 接口号：GigabitEthernet 0/0/0 IP地址：/16 安全区域：Trust 接口（1）是连接内网汇聚交换机的接口。 校内用户分配到网段为/16的私网地址和DNS服务器地址/24，部署在Trust区域。 （2） 接口号：GigabitEthernet 0/0/1 IP地址：/24 安全区域：DMZ 接口（2）是连接图书馆内服务器的接口。 图书馆区部署在DMZ区域。 （3） 接口号：GigabitEthernet 0/0/2 IP地址：/24 安全区域：ISP1 安全优先级：15 接口（3）是连接ISP1的接口，去往ISP1所属网段的数据通过接口（3）转发。 （4） 接口号：GigabitEthernet 5/0/0 IP地址：/24 安全区域：ISP2 安全优先级：20 接口（4）是连接ISP2的接口。去往ISP2所属网段的数据通过接口（4）转发。 （5） 接口号：GigabitEthernet 0/0/0 IP地址：0/24 接口（5）是ISP1端与USG相连的接口。 （6） 接口号：GigabitEthernet 0/0/0 IP地址：0/24 接口（6）是ISP2端与USG相连的接口。 Web服务器 内网IP：/24 转换成的ISP1的公网IP：/24 转换成的ISP2的公网IP：/24 对于ISP1所属网段的外部用户，Web服务器的IP地址为/24。 对于ISP2所属网段的外部用户，Web服务器的IP地址为/24。 FTP服务器 内网IP：0/24 转换成的ISP1的公网IP：/24 转换成的ISP2的公网IP：/24 对于ISP2所属网段的外部用户，FTP服务器的IP地址为/24。 对于ISP2所属网段的外部用户，FTP服务器的IP地址为/24。 ISP1分配给学校的IP地址 ～，掩码24位。 其中用作USG的出接口地址，和用作Trust—ISP1域间的NAT地址池1的地址。 ISP2分配给学校的IP地址 ～，掩码24位。 其中用作USG的出接口地址，和用作Trust—ISP2域间的NAT地址池2的地址。 配置思路 为了实现校园网用户使用有限公网IP地址接入Internet，需要配置NAPT方式的NAT，借助端口将多个私网IP地址转换为有限的公网IP地址。 由于校园网连接两个运营商，因此需要分别进行地址转换，将私网地址转换为公网地址。即创建两个安全区域ISP1和ISP2（安全优先级低于DMZ区域），并分别在Trust—ISP1域间、Trust—ISP2域间配置NAT策略。 为了实现去往不同运营商的流量由对应接口转发，需要收集ISP1和ISP2所属网段的信息，并配置到这些网段的静态路由。使去往ISP1的流量通过连接ISP1的接口转发，去往ISP2的流量通过连接ISP2的接口转发。 为了提高链路可靠性，避免业务中断，需要配置两条缺省路由。当报文无法匹配静态路由时，通过缺省路由发送给下一跳。 由于图书馆的服务器部署在内网，其IP地址为私网IP地址。如果想对校外用户提供服务，就需要将服务器的私网IP地址转换为公网IP地址。即分别基于ISP1、ISP2区域配置NAT Server。 在USG上启用攻击防范功能，保护校园网内部网络。 操作步骤 配置USG各接口的IP地址并将接口加入安全区域。 # 配置USG各接口的IP地址。 USG system-view [USG] interface GigabitEthernet 0/0/0 [USG-GigabitEthernet0/0/0] ip addres