防火墙技术案例3_校园网出口网关配置.docx

【防火墙技术案例3】强叔拍案惊奇 校园网出口网关配置论坛的小伙伴们，大家好。强叔刚刚从某著名高校开局归来，气儿还没喘匀，就为大家伏案写下这篇经典的校园网出口网关配置。墨迹未干，就此奉上~这篇案例来源于此次开局的真实组网，是真实组网的“微缩改造”版。但这丝毫不影响这篇案例的真实性和实用性，各位准备部署校园网出口网关的小伙伴们可以尽情参考噢~——————————本案例很长，但看完一定会有收获——————————————【组网需求】如图所示，防火墙（USG9560 V300R001C20版本）作为网关部署在学校网络出口。?学校的具体需求如下：1、?为了保证内网用户的上网体验，学校希望去往特定目的地址的流量能够通过特定的ISP链路转发。例如，去往ISP1的服务器的流量能够通过ISP1提供的链路转发，去往ISP2的服务器的流量能够通过ISP2提供的链路转发，去往教育网服务器的流量能够通过教育网链路转发。另外学校希望特定内网用户的流量能够通过特定的ISP链路转发。例如图书馆的上网流量能够通过教育网链路转发。2、?学校内部署了提供对外访问的服务器，供多个ISP的用户访问。例如学校网站主页、邮件、Portal等服务器。学校内还部署了DNS服务器为以上服务器提供域名解析。学校希望各ISP的外网用户能够解析到自己ISP的地址，从而提高访问服务器的速度。3、?学校希望USG能够保护内部网络，防止SYN-flood攻击，并对网络入侵行为进行告警。4、?学校希望限制P2P流量，包括每个用户的P2P流量，以及网络总体的P2P流量。5、?学校希望能够在网管系统上查看攻击防范和入侵检测的日志，并且能够查看NAT转换前后的IP地址。【配置步骤】1、配置各接口的IP地址。接口的配置我想大家都会的，所以强叔这里只给出GE1/0/0的配置了。本举例中的接口都为10GE接口。【强叔点评】一般ISP分配给你的IP地址都是30位掩码的。建议在接口上配置描述或别名，表示接口的情况。USG system-view[USG] interface GigabitEthernet 1/0/0[USG -GigabitEthernet1/0/0] ip address 218.1.1.1 255.255.255.252[USG -GigabitEthernet1/0/0] description tocernet[USG -GigabitEthernet1/0/0] quit2、创建安全区域，并将各接口加入安全区域。新建安全区域isp1、isp2和cernet（代表教育网），并将各接口加入对应的安全区域。【强叔点评】当防火墙需要连接多个ISP时，一般需要为每个连接ISP的接口都创建一个新的安全区域，而且安全区域的名称最好能够代表此安全区域。[USG] firewall zone name isp1[USG-zone-isp1] set priority 15[USG-zone-isp1] add interface GigabitEthernet 1/0/1[USG-zone-isp1] quit[USG] firewall zone name isp2[USG-zone-isp2] set priority 20[USG-zone-isp2] add interface GigabitEthernet 1/0/2[USG-zone-isp2] quit[USG] firewall zone name cernet[USG-zone-cernet] set priority 25[USG-zone-cernet] add interface GigabitEthernet 1/0/0[USG-zone-cernet] quit[USG] firewall zone trust[USG-zone- trust] add interface GigabitEthernet 1/0/3[USG-zone- trust] quit3、配置IP-Link，探测各ISP提供的链路状态是否正常。[USG] ip-link check enable[USG] ip-link 1 destination 218.1.1.2 interface GigabitEthernet1/0/0[USG] ip-link 2 destination 200.1.1.2 interface GigabitEthernet1/0/1[USG] ip-link 3 destination 202.1.1.2 interface GigabitEthernet1/0/2【强叔点评】当IP-Link监控的链路故障时，与其绑定的静态路由或策略路由失效。4、配置静态路由，保证基础路由可达。配置缺省路由，下一跳为教育网的地址，保