配置思路 配置接口的IP地址和到对端的静态路由,保证两端路由可达。 防火墙还需要配置接口加入安全区域、域间安全策略。 配置ACL,以定义需要IPSec保护的数据流。 配置IPSec安全提议,定义IPSec的保护方法。 配置IKE安全提议,定义IKE协商的参数。 配置IKE对等体,定义对等体间IKE协商时的属性。
在SwitchA上配置策略路由,将所有外网进入内网的流量重定向到防火墙进行安全检测 # 配置流分类,匹配所有流量。 [SwitchA]traffic classifier c1[SwitchA-classifier-c1]if-match any[SwitchA-classifier-c1]quit # 配置流行为,将匹配到的流量重定向到防火墙,下一跳IP地址为10.1.10.5。
[LSW1-ospf-20-area-0.0.0.0]network 10.1.3.0 0.0.0.255 3. 配置策略路由,将所有外网进入内网的流量重定向到防火墙进行安全检测 [LSW1]traffic classifier a1 [LSW1-classifier-a1]if-match any [LSW1]traffic behavior b1 [LSW1-behavior-b1]redirect ip-nexthop 10.1.3.3 [LSW1]traffic policy c1 [LSW1...
1、配置业务网段ACLacl 3000 ###此处必须先匹配内网段之间业务互访,不将流量重定向至防火墙,若重定向后,可能会由于策略因素导致无法互访。rule perimit ip source 172.16.1.64 0.0.0.15 destination 172.16.1.64 0.0.0.15rule perimit ip source 172.16.1.64 0.0.0.15 destination 172.16.9.0 0.0.0.63rule perimit ...
2.配置防火墙的IP地址及区域:网络—接口—分别编辑相应的接口参数如下—确定 3.配置nat:策略—nat策略—nat策略—新建—参数如下图—确定 4.配置安全策略:策略—安全策略—安全策略—新建安全策略—参数如下图—确定 5.配置默认路由,连通内外 (1)网络—路由—静态路由—新建两条参数如下图的默认路由—确定 ...
当不同网段用户需要通过不同的路由到达同一目的地址时,可以配置策略路由实现。 组网需求 如图所示,在企业内网出口部署一台USG,其中和内部网络相连的接口位于Trust区域,和外部网络相连的两个接口位于Untrust区域。内网中两个不同网段(网段A和网段B)的用户通过不同的路由访问Internet。 需求如下: 内部A网段从ISP-A线路出...
1、配置接口IP地址和安全区域,完成网络基本参数配置。 [FW] interface GigabitEthernet 0/0/2 [FW-GigabitEthernet0/0/2] ip address 10.10.1.1 255.255.255.0 [FW-GigabitEthernet0/0/2] quit [FW] interface GigabitEthernet 0/0/3 [FW-GigabitEthernet0/0/3] ip address 10.1.1.1 255.255.255.0 ...
实验配置: FW1: interface GigabitEthernet1/0/0 undo shutdown ip address 10.10.1.1 255.255.255.0 interface GigabitEthernet1/0/1 undo shutdown ip address 10.20.1.1 255.255.255.0 interface GigabitEthernet1/0/2 undo shutdown ip address 10.1.1.1 255.255.255.0 ...
2、为了使学校用户能够访问Internet,需要通过配置NAT功能将校园网的私网IP地址转换为公网IP地址。即分别在Trust—Untrust域间、Trust—Untrust1域间配置NAT outbound,且各自使用出接口的IP地址作为NAT地址池的地址。 3、为了使不同用户能够通过不同接口访问Internet,需要配置策略路由,将来自学生用户(192.168.0.0/24网段)...