En esta publicación se proporciona un ejemplo para configurar el firewall como un cliente DHCP que solicita una dirección IPv4 para acceder a Internet.
Productos aplicables
USG6000
Requisitos de red
La Figura 1 muestra que el FW funciona como una puerta de enlace de salida y conecta las PC en una intranet a Internet. El plan de la red es el siguiente:
l Un administrador especifica manualmente una dirección IPv4 para cada PC en el segmento de red 10.3.0.0/24.
l Una interfaz con una dirección IPv4 estática conecta el FW a la intranet.
l Otra interfaz en el FW que funciona como un cliente DHCP aplica para una dirección IPv4 de cliente y una dirección IP de servidor DNS desde un servidor DHCP y conecta la intranet a Internet.
Figura 1 Diagrama de red para acceder a Internet mediante DHCP
Ruta de configuración
La ruta de configuración es la siguiente:
1. Habilite la función de cliente DHCP en GigabitEthernet 1/0/1 del FW para obtener una dirección IPv4 de cliente y una dirección de servidor DNS de un servidor DHCP.
2. Especifique una dirección IPv4 estática en GigabitEthernet 1/0/3 que conecte el FW a la intranet.
3. Configure una política de seguridad y una política NAT (easy-IP) en el FW.
Ruta de configuración
La ruta de configuración es la siguiente:
1. Habilite la función de cliente DHCP en GigabitEthernet 1/0/1 del FW para obtener una dirección IPv4 de cliente y una dirección de servidor DNS de un servidor DHCP.
2. Especifique una dirección IPv4 estática en GigabitEthernet 1/0/3 que conecte el FW a la intranet.
3. Configure una política de seguridad y una política NAT (easy-IP) en el FW.
4. Configure las direcciones IP de la puerta de enlace de las PC y un servidor DNS en 10.3.0.1. Este ejemplo proporciona el procedimiento de configuración en el firmware. No se proporciona el procedimiento de configuración para las PC.
Procedimiento
1. Configure la dirección IP de la interfaz y asigne las interfaces a las zonas de seguridad.
<FW> system-view [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 24 [FW-GigabitEthernet1/0/3] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/3 [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-zone-untrust] quit
2. Configurar la función de proxy DNS
[FW] dns proxy enable [FW] dns resolve [FW] dns server unnumbered interface GigabitEthernet1/0/1
3. Configure GigabitEthernet 1/0/1 como cliente DHCP
[FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address dhcp-alloc [FW-GigabitEthernet1/0/1] quit
4. Configure una política de seguridad para permitir que las PC accedan a Internet.
[FW] security-policy [FW-security-policy] rule name policy_sec_1 [FW-security-policy-sec_policy_1] source-address 10.3.0.0 mask 255.255.255.0 [FW-security-policy-sec_policy_1] source-zone trust [FW-security-policy-sec_policy_1] destination-zone untrust [FW-security-policy-sec_policy_1] action permit [FW-security-policy-sec_policy_1] quit [FW-security-policy] quit [FW-security-policy] rule name policy_sec_2 [FW-security-policy-sec_policy_2] source-address 10.3.0.0 mask 255.255.255.0 [FW-security-policy-sec_policy_2] source-zone trust [FW-security-policy-sec_policy_2] destination-zone local [FW-security-policy-sec_policy_2] action permit [FW-security-policy-sec_policy_2] quit [FW-security-policy] quit [FW-security-policy] rule name policy_sec_3 [FW-security-policy-sec_policy_3] source-address 10.3.0.0 mask 255.255.255.0 [FW-security-policy-sec_policy_3] source-zone local [FW-security-policy-sec_policy_3] destination-zone untrust [FW-security-policy-sec_policy_3] action permit [FW-security-policy-sec_policy_3] quit [FW-security-policy] quit
5. Configure una política de NAT para convertir las direcciones IP de la red privada en direcciones IP de la red pública antes de que las PC accedan a Internet.
[FW] nat-policy [FW-policy-nat] rule name policy_nat_1 [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0 [FW-policy-nat-rule-policy_nat_1] source-zone trust [FW-policy-nat-rule-policy_nat_1] egress-interface GigabitEthernet 1/0/1 [FW-policy-nat-rule-policy_nat_1] action source-nat easy-ip [FW-policy-nat-rule-policy_nat_1] quit [FW-policy-nat] quit
Verificación de configuración
1. Verifique el estado de GigabitEthernet 1/0/1 (enlace ascendente).
a. Elija Network > Interface.
b. Verifique que el estado físico y el estado de IPv4 de GigabitEthernet 1/0/1 sean Up, que el tipo de conexión sea DHCP y que la interfaz haya obtenido una dirección IPv4.
2. Compruebe si la PC de la intranet puede utilizar nombres de dominio para acceder a Internet. Si la PC puede acceder a Internet, la configuración es exitosa. Si la PC no puede acceder a Internet, modifique la configuración y vuelva a intentarlo.
Saludos
FIN.
También te puede interesar:
Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática
Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei
Escenario de aplicación típica del firewall como cliente DNS
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente