华赛防火墙双出口配置.docx

校园网用户通过教育网访问 Internet 和直接访问 Internet 通过配置 NAT 和策略路由功能，可以使校园网用户通过不同的方式访问 Internet。组网需求 某学校的学生用户能够通过教育网访问 Internet，教师用户能够直接访问Internet。教育网分配给学校的 IP 地址为 10.1.1.1，学校从运营商申请的 IP 地址为 200.1.1.1。 （1） 项目 数据 接口号：GigabitEthernet 说明 学生用户的 IP 地址网段 0/0/1 为 192.168.0.0/24。 IP 地址：192.168.0.1/24 安全区域：Trust （2） 接口号：GigabitEthernet 教师用户的 IP 地址网段为 192.168.1.0/24。 项目 数据 说明 0/0/2 IP 地址：192.168.1.1/24 安全区域：Trust （3） 接口号：E1 3/0/0 将 E1/CE1 接口 E1 3/0/0 捆绑成串口 Serial 逻辑接口：Serial 3/0/0:0，Serial 3/0/0:0 3/0/0:0 接口的 IP 地址为 IP 地址：10.1.1.1/24 10.1.1.1/24。 E1 3/0/0 是连接教育网的 安全区域：Untrust 接口。 （4） 接口号：GigabitEthernet GigabitEthernet 0/0/3 0/0/3 是直接连接 Internet 的 接口。 IP 地址：200.1.1.1/24 安全区域：Untrust1 运营商分配给学校的 IP 200.1.1.1 200.1.1.1 用作 地址 Trust-Untrust 域间的 NAT 地址池 0 中的地址。 教育网分配给学校的 IP 10.1.1.1 10.1.1.1 用作 地址 Trust-Untrust1 域间的 NAT 地址池 1 中的地址。 配置思路 将学生用户和教师用户部署在 Trust 区域，将连接教育网的接口加入Untrust 区域，将直接连接 Internet 的接口加入 Untrust1 区域。 为了使学校用户能够访问 Internet，需要通过配置 NAT 功能将校园网的私网 IP 地址转换为公网 IP 地址。即分别在 Trust—Untrust 域间、Trust —Untrust1 域间配置 NAT outbound，且各自使用出接口的 IP 地址作为NAT 地址池的地址。 为了使不同用户能够通过不同接口访问 Internet，需要配置策略路由， 将来自学生用户（192.168.0.0/24 网段）的报文通过 E1 3/0/0 接口转发到教育网，将来自教师用户（192.168.1.0/24 网段）的报文通过GigabitEthernet 0/0/3 接口直接转发到 Internet。 操作步骤 配置 USG 各接口的 IP 地址，将接口加入相应的安全区域，并配置域间包过滤规则。 配置 GigabitEthernet 0/0/1 接口的 IP 地址。 USG system-view [USG] interface GigabitEthernet 0/0/1 [USG-GigabitEthernet0/0/1] ip address 192.168.0.1 24 [USG-GigabitEthernet0/0/1] quit 配置 GigabitEthernet 0/0/2 接口的 IP 地址。 [USG] interface GigabitEthernet 0/0/2 [USG-GigabitEthernet0/0/2] ip address 192.168.1.1 24 [USG-GigabitEthernet0/0/2] quit 配置 GigabitEthernet 0/0/3 接口的 IP 地址。 [USG] interface GigabitEthernet 0/0/3 [USG-GigabitEthernet0/0/3] ip address 200.1.1.1 24 [USG-GigabitEthernet0/0/3] quit 将 E1/CE1 接口 E1 3/0/0 捆绑成串口 Serial 3/0/0:0，并配置Serial 3/0/0:0 接口的 IP 地址。 [USG] controller E1 3/0/0 [USG-E1 3/0/0] channel-set 0 timeslot-list 1-10 [USG-E1 3/0/0] quit [USG] interface Serial 3/0/0:0 [USG-Serial3/0/0:0] ip address 10.1.1.1 24 [USG-Serial3/0/0:0]