USG 2000以太网链路接入配置手册_第1页
USG 2000以太网链路接入配置手册_第2页
USG 2000以太网链路接入配置手册_第3页
USG 2000以太网链路接入配置手册_第4页
USG 2000以太网链路接入配置手册_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

以太网链路接入如果您购买了宽带上网服务,从运营商处获得了一个固定IP,并希望利用USG通过网线接入Internet,请阅读此节。组网需求某企业(或家庭)从运营商处购买了宽带上网服务,获得的固定IP地址为/30,网关的IP地址为/30,DNS服务器的IP地址为0/24。企业(或家庭)的用户希望利用USG通过以太网链路接入Interneto图1以太网链路接入项目数据说明从运营商处获取到的信息GigabitEthernet6/0/2的IP地址:/30USG的网关的IP地址:/30DNS服务器的IP地址:0/24注意:该参数作为接入Internet的必备数据,建议优先从运营商处获取该数据,然后再准备其他数据。(1)物理接口:GigabitEthernet6/0/2IP地址:/30安全区域:Untrust_(2)物理接口:Ethernet1/0/0逻辑接口:Vlanif1Ethernet1/0/0是连接交换机的二层接口。项目数据说明IP地址:/24安全区域:Trust缺省情况下,所有二层接口都属于VLAN1,Vlanif1的IP地址为/24。VLAN1中用户通过DHCP获取到的IP地址范围是〜54(3)USG的网关的IP地址:/30作为USG的缺省路由的一跳地址。配置思路如图!所示,用网线连接USG上的三层以太网接口和运营商的入户宽带接口。用网线连接USG上的二层以太网接口和交换机(交换机连接企业或家庭的所有电脑)。接入Internet首先要获取IP地址,因此需要在GigabitEthernet6/0/2接口上配置从运营商获取的固定IP地址。为了能够组建企业内部局域网,局域网内的电脑需要从USG获取IP地址和DNS服务器的IP地址,因此需要将USG的二层以太网接口加入VLAN,并在Vlanif上配置IP地址和DHCP功能。为了局域网用户和Internet间的流量通过,需要将Vlanif和GigabitEthernet6/0/2接口加入相应的安全区域,并配置域间包过滤规则。为了确保局域网用户访问Internet时路由可达,需要配置下一跳为的缺省路由。为了实现多个局域网用户能够同时访问Internet,需要配置基于接口的NAT。操作步骤1.配置三层以太网接口的IP地址,使设备能够接入InternetoIP地址由企业(或家庭)从运营商处获取。<USG>system-view[USG]interfaceGigabitEthernet6/0/2[USG-GigabitEthernet6/0/2]ipaddress52配置Vlanif(下行接口),通过DHCP给局域网的电脑分配IP地址和DNS地址。L-说明:本例以USG2110-X/2100、USG2100BSR/HSR系列设备为例进行说明,缺省情况下,这些设备二层接口都属于VLAN1,Vlanif1的IP地址为/24。#配置将USG的二层以太网接口(LAN0-LAN7)加入Vlan1。[USG]VLAN1[USG-vlan-1]portEthernet1/0/0to1/0/7#创建Vlanif1并配置IP地址。[USG]interfaceVlanif1[USG-Vlanif1]ipaddress24[USG-Vlanif1]quit#配置基于接口的DHCP功能,使Vlanif1为局域网内的电脑分配IP地址。[USG]dhcpenable[USG]interfaceVlanif1[USG-Vlanif1]dhcpselectinterface#配置DNS服务器的IP地址,使局域网内电脑获得的DNS地址为0。DNS地址由企业(或家庭)从运营商处获取。[USG-Vlanif1]dhcpserverdns-list0[USG-Vlanif1]quit配置域间包过滤规则,实现局域网用户和Internet间的流量通过。#配置将Vlanif1加入到Trust区域,即将局域网部署在Trust区域。[USG]firewallzonetrust[USG-zone-trust]addinterfaceVlanif1[USG-zone-trust]quit#配置将GigabitEthernet6/0/2加入到Untrust区域,即将Internet部署在Untrust区域。[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet6/0/2[USG-zone-untrust]quit#开启域间包过滤规则,确保各种业务顺利进行。[USG]policyinterzonetrustuntrustoutbound[USG-policy-interzone-trust-untrust-outbound]policy0[USG-policy-interzone-trust-untrust-outbound-0]policysource55[USG-policy-interzone-trust-untrust-outbound-0]actionpermit[USG-policy-interzone-trust-untrust-outbound-0]quit[USG-policy-interzone-trust-untrust-outbound]quit"J说明:当对网络安全性要求较高时,建议通过policy命令对域间数据流进行访问控制。配置缺省路由,确保局域网用户访问Internet路由可达。下一跳为运营商分配给企业(或家庭)的网关地址。[USG]iproute-static配置NAT,实现多个局域网用户能够同时访问Interneto[USG]nat-policyinterzonetrustuntrustoutbound[USG-nat-policy-interzone-trust-untrust-outbound]policy1[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat[USG-nat-policy-interzone-trust-untrust-outbound-1]policysource55[USG-nat-policy-interzone-trust-untrust-outbound-1]easy-ipGigabitEthernet6/0/2[USG-nat-policy-interzone-trust-untrust-outbound-1]quit[USG-nat-policy-interzone-trust-untrust-outbound]quit结果验证检查上行链路执行displayinterfaceGigabitEthernet6/0/2命令,查看GigabitEthernet6/0/2接口是否配置成功。[USG]displayinterfaceGigabitEthernet6/0/2GigabitEthernet6/0/2currentstate:UPLineprotocolcurrentstate:UPDescription:USGSeries,GigabitEthernet6/0/2Interface,RoutePortTheMaximumTransmitUnitis1500bytes,Holdtimeris10(sec)InternetAddressis/30IPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis00e0-fc00-1200Mediatypeistwistedpair,loopbacknotset,promiscuousmodenotset100Mb/s-speedmode,Full-duplexmode,linktypeisautonegotiationOutputflow-controlisunsupported,inputflow-controlisunsupportedQoSmax-bandwidth:100000KbpsOutputqueue:(Urgentqueue:Size/Length/Discards)0/50/0Outputqueue:(Fragqueue:Size/Length/Discards)0/1000/0Outputqueue:(Protocolqueue:Size/Length/Discards)0/1000/0Outputqueue:(FIFOqueue:Size/Length/Discards)0/256/0Last300secondsinputrate0.60bytes/sec,0.01packets/secLast300secondsoutputrate0.00bytes/sec,0.00packets/secInput:318packets,19080bytes318broadcasts(100.00%),0multicasts(0.00%)0runts,0giants,0errors,0CRC,0collisions,0latecollisions,0overruns,0jabbers,0inputnobuffers,0Resourceerrors,0othererrorsOutput:2packets,120bytes0errors,0latecollisions,0underruns,0retransmitlimits由此可见,GigabitEthernet6/0/2接口配置成功,处于UP状态。检查下行链路在局域网内的电脑上通过ipconfig/all命令检查是否正确分配到IP地址和DNS地址。C:\DocumentsandSettings\Administrator>ipconfig/allWindowsIPConfigurationHostName : testPrimaryDnsSuffix : NodeType : HybridIPRoutingEnabled : NoWINSProxyEnabled : NoDNSSuffixSearchList : Ethernetadapter1:Connection-specificDNS Suffix. : Description : RealtekRTL8139/810x FamilyEthernetNICPhysicalAddress : 00-1B-B9-7A-7D-61DhcpEnabled : YesAutoconfigurationEnabled....: YesIPAddress : SubnetMask : DefaultGateway : DHCPServer : DNSServers : 0LeaseObtained : 2011年1月15日15:00:00LeaseExpires : 2011年1月26日03:00:00由此可见,电脑获得了DNS服务器地址和IP地址。检查局域网内电脑是否能通过域名访问Internet,例如访问jackme空气净化器,若能访问,则表示配置成功。否则,请检查配置。配置脚本"Vlanif1ipaddressIdhcpselectinterfacedhcpserverdns-list0interfaceGigabitEthernet6/0/2ipaddress52"llzonelocal「WE100firewallzonetrustsetpriority85addinterfaceVlanif1:irewallzoneuntrustsetpr

人人文库> 全部分类> 行业资料 > 机电工程

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论