论坛的小伙伴们,大家好。强叔刚刚从某著名高校开局归来,气儿还没喘匀,就为大家伏案写下这篇经典的校园网出口网关配置。墨迹未干,就此奉上~

这篇案例来源于此次开局的真实组网,是真实组网的“微缩改造”版。但这丝毫不影响这篇案例的真实性和实用性,各位准备部署校园网出口网关的小伙伴们可以尽情参考噢~

——————————本案例很长,但看完一定会有收获——————————————

【组网需求】

如图所示,防火墙(USG9560 V300R001C20版本)作为网关部署在学校网络出口。

 

学校的具体需求如下:

1、 为了保证内网用户的上网体验,学校希望去往特定目的地址的流量能够通过特定的ISP链路转发。例如,去往ISP1的服务器的流量能够通过ISP1提供的链路转发,去往ISP2的服务器的流量能够通过ISP2提供的链路转发,去往教育网服务器的流量能够通过教育网链路转发。

另外学校希望特定内网用户的流量能够通过特定的ISP链路转发。例如图书馆的上网流量能够通过教育网链路转发。

2、 学校内部署了提供对外访问的服务器,供多个ISP的用户访问。例如学校网站主页、邮件、Portal等服务器。

学校内还部署了DNS服务器为以上服务器提供域名解析。学校希望各ISP的外网用户能够解析到自己ISP的地址,从而提高访问服务器的速度。

3、 学校希望USG能够保护内部网络,防止SYN-flood***,并对网络***行为进行告警。

4、 学校希望限制P2P流量,包括每个用户的P2P流量,以及网络总体的P2P流量。

5、 学校希望能够在网管系统上查看***防范和***检测的日志,并且能够查看NAT转换前后的IP地址。

【配置步骤】

1、配置各接口的IP地址。

接口的配置我想大家都会的,所以强叔这里只给出GE1/0/0的配置了。本举例中的接口都为10GE接口。

【强叔点评】一般ISP分配给你的IP地址都是30位掩码的。建议在接口上配置描述或别名,表示接口的情况。
<USG> system-view
[USG] interface GigabitEthernet 1/0/0
[USG -GigabitEthernet1/0/0] ip address 218.1.1.1 255.255.255.252
[USG -GigabitEthernet1/0/0] description tocernet
[USG -GigabitEthernet1/0/0] quit

2、创建安全区域,并将各接口加入安全区域。

新建安全区域isp1、isp2和cernet(代表教育网),并将各接口加入对应的安全区域。

【强叔点评】当防火墙需要连接多个ISP时,一般需要为每个连接ISP的接口都创建一个新的安全区域,而且安全区域的名称最好能够代表此安全区域。
[USG] firewall zone name isp1
[USG-zone-isp1] set priority 15
[USG-zone-isp1] add interface GigabitEthernet 1/0/1
[USG-zone-isp1] quit
[USG] firewall zone name isp2
[USG-zone-isp2] set priority 20
[USG-zone-isp2] add interface GigabitEthernet 1/0/2
[USG-zone-isp2] quit
[USG] firewall zone name cernet
[USG-zone-cernet] set priority 25
[USG-zone-cernet] add interface GigabitEthernet 1/0/0
[USG-zone-cernet] quit
[USG] firewall zone trust
[USG-zone- trust] add interface GigabitEthernet 1/0/3
[USG-zone- trust] quit

3、配置IP-Link,探测各ISP提供的链路状态是否正常。