雙互聯(lián)網(wǎng)出口實(shí)現(xiàn)范文

本站小編為你精心準(zhǔn)備了雙互聯(lián)網(wǎng)出口實(shí)現(xiàn)參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

為了提高局域網(wǎng)的上網(wǎng)質(zhì)量，單位分別租用了電信和移動(dòng)兩路互聯(lián)網(wǎng)出口，為了達(dá)到充分利用這兩路互聯(lián)網(wǎng)出口的目的，我們使用了一臺(tái)三端口的硬件防火墻(型號(hào)為CISCOPIX520)，從系統(tǒng)的軟件升級(jí)到調(diào)試成功前后經(jīng)歷了一周左右的時(shí)間。經(jīng)過(guò)一段時(shí)間的實(shí)踐驗(yàn)證，該系統(tǒng)運(yùn)行穩(wěn)定，確實(shí)達(dá)到了流量分擔(dān)和互為備份的功能，下面是具體的實(shí)現(xiàn)過(guò)程。1確定雙互聯(lián)網(wǎng)出口的實(shí)現(xiàn)方式當(dāng)我們做完P(guān)IX520硬件防火墻的軟硬件升級(jí)后，根據(jù)實(shí)際情況。最終的互聯(lián)網(wǎng)雙出口的使用方案為：當(dāng)用戶訪問(wèn)電信的網(wǎng)站的時(shí)候走電信的出口(通過(guò)靜態(tài)路由實(shí)現(xiàn))，訪問(wèn)其他的網(wǎng)站均走移動(dòng)的出口(通過(guò)默認(rèn)路由實(shí)現(xiàn))。這樣兼顧了效率和可行性。2PIX520硬件防火墻的軟硬件升級(jí)和組網(wǎng)拓?fù)鋱D本次雙互聯(lián)網(wǎng)出口的實(shí)現(xiàn)關(guān)鍵設(shè)備為PIX520，有3個(gè)網(wǎng)絡(luò)模塊，即可以實(shí)現(xiàn)兩進(jìn)(接兩路互聯(lián)網(wǎng)出口)一出(連接內(nèi)部局域網(wǎng))：升級(jí)了防火墻的軟件版本至6.3，相關(guān)信息如下：pixfirewall#showverCiscoPIXFirewallVersion6.3(5)CiscoPIXDeviceManagerVersion3.0(4)0:ethernet0:addressis00d0.b78f.2cfc.irq111:ethernet1:addressis00d0.b784.f820.irq152:ethernet2:addressis0002.b326.ad25.irq10在這里要介紹一下PIX520防火墻的網(wǎng)絡(luò)模塊命名規(guī)則，第一塊網(wǎng)卡名為e0，連接外網(wǎng)。第二塊網(wǎng)卡名為e1，連接內(nèi)網(wǎng)(這兩個(gè)網(wǎng)絡(luò)模塊是系統(tǒng)自帶的，名字和連接的網(wǎng)絡(luò)不可修改)。以后新加的網(wǎng)絡(luò)模塊依次為e2、e3、e4等，可以視所連接的網(wǎng)絡(luò)自行定義，本例中我們新增了一塊連接電信網(wǎng)段的網(wǎng)絡(luò)模塊，命名為e2。組網(wǎng)拓?fù)淙鐖D1所示：3具體配置步驟如圖1所示，PIX520防火墻的e0口連移動(dòng)，e2口連電信，下面是具體的步驟：(1)為網(wǎng)絡(luò)模塊命名nameifethernet0outsidesecurity0nameifethernet1insidesecurity100nameifethernet2outside2security0定義了e0口為連移動(dòng)的口，e2口為連電信的口，e1口為連內(nèi)網(wǎng)的口。(2)定義網(wǎng)口的lP地址ipaddressoutside218.*.*.105255.255.255.240ipaddressoutside2222,*.*,93255.255.255.224addressinside192.168.201.1255.255.255.0連接移動(dòng)的網(wǎng)卡的lP地址為218.*.*.105，連接電信的網(wǎng)卡的IP地址為222.*.*.93。連接內(nèi)網(wǎng)的網(wǎng)卡的IP地址為192.168.2011。(3)設(shè)置訪問(wèn)電信的網(wǎng)段走電信的口routeoutside211.0.0.0255.252.0.0222.*.*.651通過(guò)靜態(tài)路由來(lái)實(shí)現(xiàn)，電信的網(wǎng)段有多個(gè)，這些靜態(tài)路由也要相應(yīng)地寫多條，本例中只列舉了其中一條。(4)設(shè)置默認(rèn)路由routeoutside0.0.0.0.0.0.0.0218.*.*.971這里要注意route后面跟的是e0網(wǎng)卡的名稱。(5)設(shè)置指向內(nèi)部網(wǎng)絡(luò)的路由routeinside10.0.0.0255.0.0.0192,168.201,21routeinside192.168.0.0255.255.0.0192.168.201.21routeinside172.19.0.0255.255.0.0192.168.201.21同理，內(nèi)部局域網(wǎng)中有多個(gè)網(wǎng)段(通過(guò)在三層交換機(jī)上創(chuàng)建相應(yīng)的VLAN)，我們就要在PIX520防火墻上針對(duì)內(nèi)部網(wǎng)段寫多條路由。本例中我們列舉了三條。(6)配置動(dòng)態(tài)NAT①創(chuàng)建一個(gè)ACL，里面包含允許訪問(wèn)外部網(wǎng)絡(luò)的網(wǎng)段access-listacl_insidedenyudpanyanyeatftp……(省略了多條不允許進(jìn)行的網(wǎng)絡(luò)訪問(wèn)規(guī)則)access-listacl_nsidepermitioanyany這個(gè)名為acl_inside的ACL很重要，它描述了一些不允許訪問(wèn)的端口(主要是為了防止網(wǎng)絡(luò)攻擊)，然后放開(kāi)了其他的限制(即per-mitipanyany)。②在內(nèi)網(wǎng)端口上應(yīng)用這個(gè)ACLaccess-groupacl_insidelninterfaceinside③分別在兩個(gè)外網(wǎng)端口上應(yīng)用這個(gè)ACLaccess-groupacl_insideininterfaceoutsideaccess-groupacl_insideininterfaceoutside2④執(zhí)行動(dòng)態(tài)NAT(PAT)global(outside)1interfaceglobal(outside2)1interfacenat(inside)10.0.0.0.00.0.0.0.0我們?cè)赑IX520防火墻上采用PAT(端口映射)的NAT方式。4雙互聯(lián)網(wǎng)出口的測(cè)試局域網(wǎng)用戶可以通過(guò)tracert命令針對(duì)分別位于移動(dòng)和電信運(yùn)營(yíng)商的網(wǎng)站進(jìn)行測(cè)試。確實(shí)實(shí)現(xiàn)了訪問(wèn)電信的網(wǎng)段走電信的出口，其余的均走移動(dòng)的出口的設(shè)計(jì)思路，而且我們還通過(guò)MRTG軟件對(duì)防火墻的各個(gè)端口進(jìn)行了流量監(jiān)控，連接電信和移動(dòng)的端口均有一定的流量，同時(shí)證明我們雙互聯(lián)網(wǎng)出口的實(shí)現(xiàn)是成功的。