ImageVerifierCode 换一换
格式:DOCX , 页数:10 ,大小:94.55KB ,
资源ID:19157704      下载积分:12 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/19157704.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(强叔侃墙 校园网出口网关配置Word格式文档下载.docx)为本站会员(b****6)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

强叔侃墙 校园网出口网关配置Word格式文档下载.docx

1、1、 配置各接口的IP地址。接口的配置我想大家都会的,所以强叔这里只给出GE1/0/0的配置了。本举例中的接口都为10GE接口。【强叔点评】一般ISP分配给你的IP地址都是30位掩码的。建议在接口上配置描述或别名,表示接口的情况。 system-viewUSG interface GigabitEthernet 1/0/0USG -GigabitEthernet1/0/0 ip address 218.1.1.1 255.255.255.252USG -GigabitEthernet1/0/0 description tocernetUSG -GigabitEthernet1/0/0 quit

2、# hrp mirror session enable hrp enable hrp ospf-cost adjust-enable hrp loadbalance-device hrp interface GigabitEthernet 1/0/7interface GigabitEthernet 1/0/1 ip address 10.2.0.1 255.255.255.0 hrp track active hrp track standby interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 interfac

3、e GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.02、 创建安全区域,并将各接口加入安全区域。新建安全区域isp1、isp2和cernet(代表教育网),并将各接口加入对应的安全区域。【强叔点评】当防火墙需要连接多个ISP时,一般需要为每个连接ISP的接口都创建一个新的安全区域,而且安全区域的名称最好能够代表此安全区域。USG firewall zone name isp1USG-zone-isp1 set priority 15USG-zone-isp1 add interface GigabitEthernet 1/0/1U

4、SG-zone-isp1 quitUSG firewall zone name isp2USG-zone-isp2 set priority 20USG-zone-isp2 add interface GigabitEthernet 1/0/2USG-zone-isp2 quitUSG firewall zone name cernetUSG-zone-cernet set priority 25USG-zone-cernet add interface GigabitEthernet 1/0/0USG-zone-cernet quitUSG firewall zone trustUSG-zo

5、ne- trust add interface GigabitEthernet 1/0/3USG-zone- trust quit3、 配置IP-Link,探测各ISP提供的链路状态是否正常。USG ip-link check enableUSG ip-link 1 destination 218.1.1.2 interface GigabitEthernet1/0/0USG ip-link 2 destination 200.1.1.2 interface GigabitEthernet1/0/1USG ip-link 3 destination 202.1.1.2 interface Gi

6、gabitEthernet1/0/2【强叔点评】当IP-Link监控的链路故障时,与其绑定的静态路由或策略路由失效。4、 配置静态路由,保证基础路由可达。配置缺省路由,下一跳为教育网的地址,保证未匹配其他路由的流量都能够通过教育网转发出去。USG ip route-static 0.0.0.0 0.0.0.0 218.1.1.1配置静态路由,目的地址为内网网段,下一跳为内网交换机的地址,保证外网的流量能够到达内网。USG ip route-static 10.1.0.0 255.255.0.0 172.16.1.2【强叔点评】当在网关上配置静态路由时,既要有出方向的路由,也要有入方向的路由。一

7、般情况下,出方向都会至少配置一条缺省路由。5、 配置ISP选路,保证去往特定目的地址的流量能够通过特定链路(接口)转发。1) 从各ISP获取最新的目的地址明细。2) 按如下格式分别编辑各ISP的csv文件。3) 导入所有ISP的csv文件。4) 执行以下命令,分部加载各ISP的csv文件,并指定下一跳。USG isp set filename csnet.csv GigabitEthernet 1/0/0 next-hop 218.1.1.2 track ip-link 1USG isp set filename isp1.csv GigabitEthernet 1/0/1 next-hop

8、200.1.1.2 track ip-link 2USG isp set filename isp2.csv GigabitEthernet 1/0/2 next-hop 202.1.1.2 track ip-link 3【强叔点评】ISP选路功能其实就是批量下发明细路由,目的地址为ISP文件中的地址,下一跳为配置命令指定的地址。ISP选路能够实现去往特定ISP目的地址的流量都通过对应的ISP链路转发。各位小伙伴注意,ISP选路功能是USG9000系列V300R001C20版本的新功能噢。6、 配置策略路由,保证特定内网用户(IP)的流量能够通过特定链路(接口)转发。【强叔点评】策略路由的作用

9、是基于源IP地址的选路(当然通过高级ACL也能实现基于目的地址的选路)。例如图书管的上网用户(10.1.2.0/24网段)只能通过教育网访问Internet。策略路由的配置方式是华为经典的CB对(classifier和behavior配对)配置方式。USG acl number 2000USG-acl-basic-2000 rule permit source 10.1.2.0 0.0.0.255USG-acl-basic-2000 quitUSG traffic classifier classlbUSG-classifier-classlb if-match acl 2000USG-cla

10、ssifier-classlb quitUSG traffic behavior behaviorlbUSG-behavior-behaviorlb redirect ip-nexthop 218.1.1.2 interface GigabitEthernet 1/0/0 track ip-link 1USG-behavior-behaviorlb quitUSG traffic policy policylbUSG-trafficpolicy-policylb classifier classlb behavior behaviorlbUSG-trafficpolicy-policylb q

11、uitUSG interface GigabitEthernet 1/0/3USG-GigabitEthernet1/0/3 traffic-policy policylb inboundUSG-GigabitEthernet1/0/3 quit7、 配置安全策略和IPS,保证流量能够正常转发的同时,进行入侵行为检测。开启trust与isp1、isp2、csnet间的安全策略,并引用缺省的配置文件ids,进行入侵行为检测。下面仅以trust与isp1间的安全策略配置为例。USG policy interzone trust isp1 outboundUSG-policy-interzone-t

12、rust-isp1-outbound policy 0USG-policy-interzone-trust-isp1-outbound-0 action permitUSG-policy-interzone-trust-isp1-outbound-0 profile ips idsUSG-policy-interzone-trust-isp1-outbound-0 quitUSG policy interzone trust isp1 inboundUSG-policy-interzone-trust-isp1- inbound policy 0USG-policy-interzone-tru

13、st-isp1- inbound -0 action permitUSG-policy-interzone-trust-isp1- inbound -0 profile ips idsUSG-policy-interzone-trust-isp1- inbound -0 quit启用IPS功能,并配置特征库定时在线升级。USG ips enableUSG update schedule ips-sdb enableUSG update schedule weekly sun 02:00USG update schedule sa-sdb enableUSG update schedule we

14、ekly sun 03:USG undo update confirm ips-sdb enableUSG undo update confirm sa-sdb enable【强叔点评】当防火墙作网关且网络对安全性要求不高时,可以配置域间的安全策略动作为允许。通过在安全策略上引用入侵防御配置文件可以实现安全区域间流量的入侵防御。USG缺省存在配置文件default和ids。配置文件default用于入侵行为检测并阻断,配置文件ids用于入侵行为检测并告警(不阻断)。8、 配置源NAT,保证多个内网用户能够同时访问外网。需要分别在trust与isp1、isp2、csnet间配置源NAT,下面仅以

15、trust与isp1间的源NAT配置为例。NAT地址池中的地址是从ISP获取的。USG nat address-group isp1USG-address-group- isp1 mode patUSG-address-group- isp1 section 200.1.1.10 200.1.1.12USG-address-group- isp1 quitUSG nat-policy interzone trust isp1 outboundUSG-nat-policy-interzone-trust-isp1-outbound policy 0USG-nat-policy-interzone

16、-trust-isp1-outbound-0 action source-natUSG-nat-policy-interzone-trust-isp1-outbound-0 address-group isp1USG ip route-static 200.1.1.10 32 NULL 0USG ip route-static 200.1.1.11 32 NULL 0USG ip route-static 200.1.1.12 32 NULL 0【强叔点评】源NAT和NAT Server都必须配置黑洞路由。9、 配置基于zone的NAT Server,使外网用户能够访问内网服务器。一般情况下一

17、台服务器的私网IP会映射成多个ISP的公网地址,供各个ISP的用户访问。下面以其中一台图书馆服务器10.1.10.10为例配置基于zone的NAT Server。USG nat server 1 zone isp1 global 200.1.10.10 inside 10.1.10.10 description lb-isp1USG nat server 1 zone isp2 global 202.1.10.10 inside 10.1.10.10 description lb-isp2USG nat server 1 zone csnet global 218.1.10.10 inside

18、 10.1.10.10 description csnetUSG ip route-static 218.1.10.10 32 NULL 010、配置智能DNS,使各个ISP的外网用户都能够使用自己所在的ISP地址访问内网服务器。智能DNS的作用是确保各个ISP的用户访问学校的服务器时,都能够解析到自己ISP的地址,从而提高访问速度。例如ISP1的用户通过域名访问图书馆服务器10.1.10.10时,会解析到服务器的ISP1地址200.1.10.10。【强叔点评】使用智能DNS的前提是内网部署了DNS服务器(本案例仅以10.1.10.20为例)。智能DNS将分配给每个ISP的服务器地址与连接IS

19、P的出接口绑定。各位小伙伴注意,智能DNS功能是USG9000系列V300R001C20版本的新功能噢USG dns resolveUSG dns server 10.1.10.20USG dns-smart enableUSG dns-smart group 1 type singleUSG-dns-smart-group-1 description lbUSG-dns-smart-group-1 real-server-ip 10.1.10.10USG-dns-smart-group-1 out-interface GigabitEthernet 1/0/0 map 218.1.10.10

20、USG-dns-smart-group-1 out-interface GigabitEthernet 1/0/1 map 200.1.10.10USG-dns-smart-group-1 out-interface GigabitEthernet 1/0/2 map 202.1.10.1011、配置攻击防范,保护内部网络安全。 USG firewall defend land enableUSG firewall defend smurf enableUSG firewall defend fraggle enableUSG firewall defend winnuke enableUSG

21、 firewall defend source-route enableUSG firewall defend route-record enableUSG firewall defend time-stamp enableUSG firewall defend ping-of-death enableUSG firewall defend syn-flood enableUSG firewall defend syn-flood interface GigabitEthernet1/0/0 max-rate 24000 tcp-proxy autoUSG firewall defend sy

22、n-flood interface GigabitEthernet1/0/1 max-rate 24000 tcp-proxy autoUSG firewall defend syn-flood interface GigabitEthernet1/0/2 max-rate 24000 tcp-proxy auto【强叔点评】一般情况下,如果对网络安全没有特殊要求,开启以上攻击防范即可。对于syn flood攻击防范,建议10GE接口阈值取值16000pps。本案例的接口都是10GE接口,之所以取值为24000pps,也是实际试验的结果。因为实际经验往往是配置较大的阈值,然后一边观察一边调小阈

23、值,直到调整到合适的范围(既很好的限制了攻击,又不影响正常业务)。12、配置带宽管理,限制网络的P2P流量。【强叔点评】带宽管理的配置方法是先创建带宽通道(也就是指定各种限流动作),然后在带宽策略中引用带宽通道。需要特别注意的是上传、下载的方向与outbound、inbound的关系。另外一般情况下建议限制P2P流量到网络总流量的20%到30%。各位小伙伴注意,带宽管理功能是USG9000系列V300R001C20版本的新功能噢 USG car-class p2p_all_downloadUSG-car-class-p2p_all_download car-mode per-ipUSG-car

24、-class-p2p_all_download cir 100000USG-car-class-p2p_all_download cir 4000000 totalUSG-car-class-p2p_all_download quitUSG car-class p2p_all_uploadUSG-car-class-p2p_all_upload car-mode per-ipUSG-car-class-p2p_all_upload cir 100000USG-car-class-p2p_all_upload cir 4000000 totalUSG-car-class-p2p_all_uplo

25、ad quit USG car-policy zone trust inboundUSG-car-policy-zone-trust-inbound policy 0USG-car-policy-zone-trust-inbound-0 policy application category p2p USG-car-policy-zone-trust-inbound-0 action carUSG-car-policy-zone-trust-inbound-0 car-class p2p_all_downloadUSG-car-policy-zone-trust-inbound-0 descr

26、iption p2p_limit_downloadUSG-car-policy-zone-trust-inbound-0 quitUSG car-policy zone trust outboundUSG-car-policy-zone-trust-outbound policy 0USG-car-policy-zone-trust-outbound-0 policy application category p2p USG-car-policy-zone-trust-outbound-0 action carUSG-car-policy-zone-trust-outbound-0 car-c

27、lass p2p_all_uploadUSG-car-policy-zone-trust-outbound-0 description p2p_limit_uploadUSG-car-policy-zone-trust-outbound-0 quit13、配置日志和NAT溯源功能,在网管系统eSight上查看日志。 配置USG向日志主机(10.1.10.30)发送系统日志(本案例发送IPS日志和攻击防范日志)。 USG info-center enableUSG engine log ips enableUSG info-center source ips channel loghost lo

28、g level emergenciesUSG info-center source ANTIATTACK channel loghostUSG info-center loghost 10.1.10.30配置USG向日志主机(10.1.10.30)发送会话日志(端口9002)。这里需要在trust与isp、isp2、csnet间的双方向都配置审计策略。本案例仅以trust与isp1间的outbound方向的审计策略为例。USG firewall log source 172.16.1.1 9002USG firewall log host 2 10.1.10.30 9002USG audit-policy interzone trust isp1 outboundUSG- audit-policy -interzone-trust-isp1-outbound policy 0USG- audit-policy -interzone-trust-isp1-o

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1