本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
Host A、Host B和Server通过 Switch、Device与Internet通信,应用需求如下:
Switch透传Host、Server与Internet之间的流量。
Device作为Host的DHCP服务器,为Host动态分配网段为10.1.1.0/24的IP地址,DNS服务器地址为20.1.1.15,网关地址为10.1.1.1。
Device拥有20.1.1.1/24和20.1.1.2/24两个外网IP地址,内部网络中10.1.1.0/24网段的Host使用20.1.1.2/24地址访问Internet地址。
Server的内网IP地址是10.1.1.2,Server使用外网IP地址20.1.1.2的21端口对Internet提供FTP服务。
Device通过安全策略控制匹配的报文进行转发,对不匹配的报文丢弃处理。
Device通过默认路由访问Internet。
图-1 Device三层直路部署组网图
登录设备的Web界面:
用以太网线将PC和设备的以太网管理口相连。
修改IP地址为192.168.0.0/24(除192.168.0.1)子网内任意地址,例如192.168.0.2。
在PC上启动浏览器,在地址栏中输入IP地址“192.168.0.1”后回车,即可进入设备的Web登录页面,输入设备默认的用户名和密码(admin/admin),单击<登录>按钮即可登录。
配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的IP地址,并将GigabitEthernet1/0/1和GigabitEthernet1/0/2分别加入安全域Untrust和Trust中:
选择“网络>接口>接口”,选中GE1/0/1接口,单击GE1/0/1的编辑按钮。
选择安全域为Untrust,配置IP地址/掩码长度为20.1.1.1/255.255.255.0,单击<应用>按钮。
图-2 编辑GE1/0/1安全域和IPv4地址
选择“网络>接口>接口”,选中GE1/0/2接口,单击GE1/0/2的编辑按钮。
选择安全域为Trust,配置IP地址/掩码长度为10.1.1.1/255.255.255.0,单击<应用>。
图-3 编辑GE1/0/2安全域和IPv4地址
配置默认路由使内网可以访问Internet。
选择“网络>路由>静态路由”,单击<新建>,配置目的IP地址为0.0.0.0,掩码长度为0,下一跳IP地址为20.1.1.3(此处以20.1.1.3为例,请以实际情况为准),单击<确定>完成默认路由配置。
图-4 配置默认路由
开启DHCP服务,配置DHCP地址池1,用来为10.1.1.0/24网段内的客户端分配IP地址和网络配置参数:
选择“网络>DHCP>服务”,单击DHCP服务<开启>按钮开启DHCP服务。
图-5 开启DHCP服务
选择“网络>DHCP>地址池”,单击<新建地址池>,地址池名称为1。
图-6 配置DHCP服务器地址池名称
配置DHCP地址池动态分配的地址段为10.1.1.0/24。
图-7 配置DHCP服务器地址池动态分配地址段
配置DHCP地址池中不参与自动分配FTP服务器10.1.1.2的IP地址。
[Device] dhcp server ip-pool 1
[Device-dhcp-pool-1] forbidden-ip 10.1.1.2
[Device-dhcp-pool-1] quit
单击<地址池选项>,配置DHCP地址池的网关为10.1.1.1,DNS服务器为20.1.1.15,单击底部的<确定>完成DHCP地址池的配置。
图-8 配置DHCP服务器地址池网关和DNS服务器
配置全局NAT规则和NAT地址组,并使全局NAT规则使用NAT地址组中的地址和端口配置:
选择“策略>策略NAT”,单击<新建>,配置全局NAT规则的规则名称为1,源目的安全域分别为Trust和Untrust,源地址为10.1.1.0/24,源地址转换的转换方式为动态IP+端口。
图-9 配置全局NAT规则1
配置全局NAT使用的地址类型为NAT地址组,转换为地址为新建的NAT地址组0,配置地址组成员为20.1.1.2,单击<确定>完成地址组配置,返回后单击<确定>。
图-10 配置NAT地址组0
选择“策略>策略NAT”,单击<新建>,配置全局NAT规则的规则名称为2,转换模式为目的地址转换,源安全域为Untrust,目的地址为20.1.1.2,服务为ftp。转换方式为IP地址转换,转换为地址为10.1.1.2,转换为端口为21,单击<确定>。
图-11 配置全局NAT规则2
转换方式为IP地址转换,转换为地址为10.1.1.2,转换为端口为21,单击<确定>。
图-12 配置全局NAT规则2
选择“策略>安全策略”,单击“新建>新建策略”,配置新建策略名称为dhcpin,源安全域为Trust,目的安全域为Local,协议/端口号为dhcp-client,配置操作动作为允许,单击<确认>完成dhcpin策略的配置。
图-13 配置安全策略dhcpin
图-14 配置安全策略dhcpin的动作
选择“策略>安全策略”,单击“新建>新建策略”,配置新建策略名称为dhcpout,源安全域为Local,目的安全域为Trust,协议/端口号为dhcp-server,配置操作动作为允许,单击<确认>完成dhcpout策略的配置。
图-15 配置安全策略dhcpout
图-16 配置安全策略dhcpout的动作
配置安全策略放行用户业务报文
单击“新建>新建策略”,配置新建策略名称为trust-untrust,源安全域为Trust,源IPv4地址为10.1.1.0/24,目的安全域为Untrust,配置操作动作为允许,单击<确认>完成trust-untrust策略的配置。
图-17 配置安全策略trust-untrust
图-18 配置安全策略trust-untrust的动作
单击“新建>新建策略”,配置新建策略名称为untrust-trust,源安全域为Untrust,目的安全域为Trust,目的IPv4地址为10.1.1.2,配置操作动作为允许,单击<确认>完成untrust-trust策略的配置。
图-19 配置安全策略untrust-trust
图-20 配置安全策略untrust-trust的动作
在Host A上去ping测试20.1.1.3的连通性,可以ping通目的地址。
选择“监控>会话列表”查询IPv4会话列表和NAT会话表:
查询IPv4会话列表,发现一条发起方源IP地址为DHCP地址池中的一个IP地址,发起方目的IP地址为20.1.1.3,发起方协议是ICMP的会话。
图-21 检查Device的IPv4会话信息
查询NAT会话列表,发现一条发起方源IP地址为DHCP地址池中的一个IP地址,发起方目的IP地址为20.1.1.3,发起方协议是ICMP的NAT会话。
图-22 检查Device的NAT会话信息
