- 1、本文档共15页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
出口网关双链路接入不同运营商举例一
USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以实现外网用户访问内网服务器,并保护内网不受网络攻击。
组网需求
某学校网络通过USG连接到Internet,校内组网情况如下:
校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。
学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了5个IP地址。ISP1分配的IP地址是~,ISP2分配的IP地址是~,掩码均为24位。
该学校网络需要实现以下需求:
校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。
当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
校内用户和校外用户都可以访问图书馆中部署的2台服务器。
保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。
图1 出口网关双链路接入不同运营商举例一组网图
项目 数据 说明 (1) 接口号:GigabitEthernet 0/0/0
IP地址:/16
安全区域:Trust 接口(1)是连接内网汇聚交换机的接口。
校内用户分配到网段为/16的私网地址和DNS服务器地址/24,部署在Trust区域。 (2) 接口号:GigabitEthernet 0/0/1
IP地址:/24
安全区域:DMZ 接口(2)是连接图书馆内服务器的接口。
图书馆区部署在DMZ区域。 (3) 接口号:GigabitEthernet 0/0/2
IP地址:/24
安全区域:ISP1
安全优先级:15 接口(3)是连接ISP1的接口,去往ISP1所属网段的数据通过接口(3)转发。 (4) 接口号:GigabitEthernet 5/0/0
IP地址:/24
安全区域:ISP2
安全优先级:20 接口(4)是连接ISP2的接口。去往ISP2所属网段的数据通过接口(4)转发。 (5) 接口号:GigabitEthernet 0/0/0
IP地址:0/24 接口(5)是ISP1端与USG相连的接口。 (6) 接口号:GigabitEthernet 0/0/0
IP地址:0/24 接口(6)是ISP2端与USG相连的接口。 Web服务器 内网IP:/24
转换成的ISP1的公网IP:/24
转换成的ISP2的公网IP:/24 对于ISP1所属网段的外部用户,Web服务器的IP地址为/24。
对于ISP2所属网段的外部用户,Web服务器的IP地址为/24。 FTP服务器 内网IP:0/24
转换成的ISP1的公网IP:/24
转换成的ISP2的公网IP:/24 对于ISP2所属网段的外部用户,FTP服务器的IP地址为/24。
对于ISP2所属网段的外部用户,FTP服务器的IP地址为/24。 ISP1分配给学校的IP地址 ~,掩码24位。 其中用作USG的出接口地址,和用作Trust—ISP1域间的NAT地址池1的地址。 ISP2分配给学校的IP地址 ~,掩码24位。 其中用作USG的出接口地址,和用作Trust—ISP2域间的NAT地址池2的地址。 配置思路
为了实现校园网用户使用有限公网IP地址接入Internet,需要配置NAPT方式的NAT,借助端口将多个私网IP地址转换为有限的公网IP地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网地址。即创建两个安全区域ISP1和ISP2(安全优先级低于DMZ区域),并分别在Trust—ISP1域间、Trust—ISP2域间配置NAT策略。
为了实现去往不同运营商的流量由对应接口转发,需要收集ISP1和ISP2所属网段的信息,并配置到这些网段的静态路由。使去往ISP1的流量通过连接ISP1的接口转发,去往ISP2的流量通过连接ISP2的接口转发。
为了提高链路可靠性,避免业务中断,需要配置两条缺省路由。当报文无法匹配静态路由时,通过缺省路由发送给下一跳。
由于图书馆的服务器部署在内网,其IP地址为私网IP地址。如果想对校外用户提供服务,就需要将服务器的私网IP地址转换为公网IP地址。即分别基于ISP1、ISP2区域配置NAT Server。
在USG上启用攻击防范功能,保护校园网内部网络。
操作步骤
配置USG各接口的IP地址并将接口加入安全区域。
# 配置USG各接口的IP地址。
USG system-view
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip addres
您可能关注的文档
- 鄂教版三年级语文下册《语文乐园(五)》.ppt
- 十字路口交通灯控制器要素.doc
- 部落守卫战-电玩巴士合作方案(改).ppt
- 十年内这样的人容易死掉要素.ppt
- 鄂教版五年级《我的写作梦》.ppt
- 鄂教版六年级《科学》(上册)单元复习.doc
- 鄂教版二年级语文下册 语文乐园(五).ppt
- 鄂教版六上语文《凉州词》.ppt
- 鄂教版三年级上册语文 五彩池课件.ppt
- 鄂教版三年级上18《青蛙和蛇》.ppt
- 2023-2024学年9全物理举一反三(人教版)-13.2 内能(含答案及解析).pdf
- 2023-2024学年9全物理举一反三(人教版)-16.3 电阻(含答案及解析).pdf
- 2023-2024学年9全物理举一反三(人教版)-13.3 比热容(含答案及解析).pdf
- 2023-2024学年9全物理举一反三(人教版)-17.2 欧姆定律(含答案及解析).pdf
- 【Top5强校】【湖南卷】湖南省长沙市炎嘚英才大联考雅礼中学2024-2025学年2025届高三上学期月考试卷(二)(10.6-10.7)英语试卷+答案.pdf
- 2023-2024学年七年级数学下册单元速记·巧练(湘教版)第三章 因式分解(知识归纳+题型突破)(原卷版).docx
- 2023-2024学年七年级数学下册单元速记·巧练(湘教版)第四章 相交线与平行线(知识归纳+题型突破)(解析版).docx
- 【Top10强校】【四川卷】四川省成都市第七中学2024-2025学年高2025届10月阶段性测试(10.9-10.10)数学试卷.pdf
- 2023-2024学年9全物理举一反三(人教版)-15.3 串联和并联(含答案及解析).pdf
- 2023-2024学年9全物理举一反三(人教版)-17.4 欧姆定律在串、并联电路中的应用(含答案及解析).pdf
最近下载
- 浅谈基层工会在新形势下如何做好职工的思想政治工作.docx VIP
- 中级经济师考试题(卷)库1000题.doc
- DG∕T 015-2021 玉米收获机(农机推广鉴定大纲).pdf
- 标准图集-05S506-1 自承式平直型架空钢管.pdf
- 新人教版七年级语文上册期中复习.ppt VIP
- 部编物理八年级上册专题7机械运动与声现象计算压轴培优专题训练(解析版)含答案.pdf VIP
- 市政道路工程分项工程施工方案及关键施工技术、工程重点难点方案.docx
- YB-T 5106-2009 黏土质耐火砖.pdf VIP
- 风电场安全验收评价现场安全检查表.docx VIP
- 江苏 2023年自考公共课考试:行政法学历年真题汇编(共135题).pdf VIP
文档评论(0)