1.配置下行链路。
在Vlanif 1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。
PC上网通常需要解析域名,这就需要为其指定DNS服务器地址。本例中USG作为DNS中继设备。
2.配置上行链路,采用PPPoE方式获取IP地址和DNS地址。
3.将接口加入到安全区域,并在域间配置包过滤。
将连接公司局域网的接口加入到高安全等级的区域(Trust),将连接Internet的上行接口加入到低安全等级的区域(Untrust)。
4.局域网内通常使用私网地址,访问Internet时,必须配置NAT。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不一样,所以采用Easy IP。
操作步骤
1.配置Vlanif(下行链路)的IP地址。
a.选择“网络 接口 接口”。
b.在“接口列表”中单击“新建”,依次输入或选择各项参数,具体参数配置如下:
・接口名称:Vlanif1
・类型:VLAN
・安全区域:Trust
・VLAN ID:1
・接口成员:Eth6/0/0和Eth6/0/1
・连接类型配置如图2所示。
其他参数均为缺省值。
c.单击“应用”。
图2配置Vlanif的IP地址![\"http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_network_0002_fig03.png\"](\"data/attachment/forum/dm/ecommunity/uploads/2015/0330/15/5518fe6372525.jpg\")
2.配置DHCP功能,使Vlanif1为局域网内的PC分配IP地址。
a.选择“网络 DHCP服务器 服务”。
b.在“配置DHCP基本参数”中单击“启用”,启用DHCP服务。
c.单击“应用”。
d.在“DHCP服务信息列表”中单击“新建”,依次输入或选择各项接口名称、服务类型、指定首选DNS服务器,其他参数均为缺省值。具体参数配置如下:
・接口名称:Vlanif1
・服务类型:服务器
・DNS服务:
指定
首选DNS服务器:200.1.10.1
e.单击“应用”。
3.配置三层以太网接口(上行链路)的采用PPPoE方式获得IP地址和DNS地址。
a.选择“网络 接口 接口”。
b.在“接口列表”中单击GigabitEthernet 0/0/1所在行的![\"http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/change1.gif\"](\"data/attachment/forum/dm/ecommunity/uploads/2015/0330/15/5518fe63921d7.gif\")
,依次输入或选择各项参数,具体参数配置如下:
・接口名称:GigabitEthernet0/0/1(不能修改)
・安全区域:Untrust
・模式和连接类型如图3所示。
・NAT功能:启用
其他参数均为缺省值。
c.单击“应用”。
图3配置三层以太网接口的IP地址![\"http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_network_0004_fig02.png\"](\"data/attachment/forum/dm/ecommunity/uploads/2015/0330/15/5518fe63afb0d.jpg\")
4.对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。
a.选择“防火墙 安全策略 转发策略”。
b.在“转发策略列表”中单击“新建”。配置如下参数。
・源安全区域:trust
・目的安全区域:untrust
・源地址:192.168.0.0/24
・动作:permit
c.单击“应用”。
5.配置缺省路由,确保局域网用户访问Internet路由可达。下一跳为运营商分配给企业的网关地址。
a.选择“路由 静态 静态路由”。
b.在“静态路由列表”中,单击“新建”,依次输入或选择各项参数,具体参数配置如下:
・目的地址:0.0.0.0
・掩码:0.0.0.0
・下一跳:202.98.215.2
其他参数均为缺省值。
c.单击“应用”。
结果验证
1.检查接口(1)GigabitEthernet 0/0/1(上行链路)的连通性。
a.选择“网络 接口 接口”。
b.在“接口列表”中查看接口状态为Up,连接类型为PPPoE,获取了IP地址。
2.检查局域网内的PC是否能够获得正确的IP地址和DNS服务器地址。
在PC上执行命令ipconfig/all检查是否正确分配到IP地址和DNS地址。
C:\\ ipconfig /all
Windows IP Configuration
Host Name: test
Primary Dns Suffix. . . . . . . : test.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : test.com
Ethernet adapter 1 :
Connection-specific DNS Suffix. : dhcpserver.com
Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC
Physical Address. . . . . . . . . : 00-1B-B9-7A-7D-61
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . :192.168.0.5
Subnet Mask . . . . . . . . . . . :255.255.255.0
Default Gateway . . . . . . . . . :192.168.0.1
DHCP Server . . . . . . . . . . . :192.168.0.1
DNS Servers . . . . . . . . . . . :200.1.10.1
Lease Obtained. . . . . . . . . . : 2011年11月15日15:00:00
Lease Expires . . . . . . . . . . : 2011年11月16日15:00:00
3.检查局域网内PC是否能通过域名访问Internet。若能访问,则表示配置成功。否则,请检查配置。
本文链接: http://usg123.immuno-online.com/view-755990.html
