校园网(大型企业)出口网关举例.docx

校园网（大型企业）出口网关举例USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，还可以避免P2P流量阻塞网络，并保护内网不受网络攻击。组网需求某学校网络通过USG连接到Internet，校内组网情况如下：学校有校内用户约500个、提供对外访问的服务器2台。校内用户主要分布在教学楼和宿舍区，校内2台提供对外访问的服务器分布在图书馆，是该校主页、招生及资源共享等网站。学校分别通过两个不同运营商链路连接到Internet，带宽都是100M。两个运营商ISP1、ISP2分别为该校分配了5个IP地址。ISP1分配的IP地址是～，ISP2分配的IP地址是～。ISP1提供的接入点为0，ISP2提供的接入点为0。该学校网络需要实现以下需求：校内用户能够通过两个运营商访问Internet，且为了提高访问速度，需要去往不同运营商的流量由分别连接两个运营商的对应接口转发。 当一条链路出现故障时，能够保证流量及时切换到另一条链路，避免网络长时间中断。 校内用户和校外用户都能够访问学校提供对外访问的服务器。 由于该学校P2P流量较大，对网络影响严重，需要对校内用户进行P2P限流。 需要保护内部网络不受到SYN Flood、UDP Flood和ICMP Flood攻击。网络规划根据校园网络情况和需求，网络规划如下：为了实现校园网用户使用有限公网IP地址接入Internet，需要配置NAPT方式的NAT，借助端口将多个私网IP地址转换为有限的公网IP地址。由于校园网连接两个运营商，因此需要分别进行地址转换，将私网地址转换为公网地址。即创建两个安全区域ISP1和ISP2（安全优先级低于DMZ区域），并分别在Trust—ISP1域间、Trust—ISP2域间配置NAT outbound。为了实现去往不同运营商的流量由对应接口转发，需要收集ISP1和ISP2所属网段的信息，并配置到这些网段的静态路由。使去往ISP1的流量通过连接ISP1的接口转发，去往ISP2的流量通过连接ISP2的接口转发。为了提高链路可靠性，避免业务中断，需要配置两条缺省路由。当报文无法匹配静态路由时，通过缺省路由发送给下一跳。由于图书馆的服务器部署在内网，其IP地址为私网IP地址。如果想对校外用户提供服务，就需要将服务器的私网IP地址转换为公网IP地址。即分别基于ISP1、ISP2区域配置NAT Server。由于运营商提供给该学校的带宽为2*100M，为了保证其他业务不受影响，将P2P流量限制在30M。在USG上启用攻击防范功能，保护校园网内部网络。网络规划后的组网图如图1所示。图1 网络规划后组网图项目数据说明（1）接口号：GigabitEthernet 0/0/0IP地址：/16安全区域：TrustGigabitEthernet 0/0/0是连接内网汇聚交换机的接口。校内用户分配到网段为 的私网地址，部署在Trust区域。（2）接口号：GigabitEthernet 0/0/1IP地址：/24安全区域：DMZGigabitEthernet 0/0/1是连接图书馆服务器的接口。图书馆区部署在DMZ区域。（3）接口号：GigabitEthernet 0/0/2IP地址：/24安全区域：ISP1安全优先级：15GigabitEthernet 0/0/2是连接ISP1的接口，去往ISP1所属网段的数据通过GigabitEthernet 0/0/2转发。ISP1接入点的IP地址为0。（4）接口号：GigabitEthernet 5/0/0IP地址：/24安全区域：ISP2安全优先级：20GigabitEthernet 5/0/0是连接ISP2的接口。去往ISP2所属网段的数据通过GigabitEthernet 5/0/0转发。ISP2接入点的IP地址为0。Web服务器内网IP：转换成的ISP1的公网IP：转换成的ISP2的公网IP：对于ISP1所属网段的外部用户，Web服务器的IP地址为。对于ISP2所属网段的外部用户，Web服务器的IP地址为。FTP服务器内网IP：0转换成的ISP1的公网IP：转换成的ISP2的公网IP：对于ISP2所属网段的外部用户，Web服务器的IP地址为。对于ISP2所属网段的外部用户，Web服务器的IP地址为。ISP1分配给学校的IP地址～其中用作USG的出接口地址，和用作Trust—ISP1域间的NAT地址池1的地址。ISP2分配给学校的IP地址～其中用作USG的出接口地址，和用作Trust—ISP2域间的NAT地址池2的地址。操作步骤配置USG各接口的IP地址并将接口加入安全区域。 # 配置USG各接口的IP地址。USG system-view[USG] interface GigabitEthernet 0/0/0[USG-G