De acuerdo

Ejemplo de configuración de acceso a Internet mediante una dirección IPv4 estática

217 0 6 0 0

Al FW se le asigna una dirección IPv4 estática para acceder a Internet y proporciona servicios de acceso a los usuarios de la intranet.

 

Requisitos de red

Una empresa implementa el FW como puerta de enlace de seguridad en la red que se muestra en la Figura 1 y compra servicios de banda ancha de un ISP.

 

Los requisitos de la red son los siguientes:

 

l  Las PC de intranet se comunican entre sí mediante direcciones en el segmento de red 10.3.0.0/24. El FW asigna direcciones de red privada y una dirección de servidor DNS a las PC.

l  Las PC de intranet pueden acceder a Internet.

 

Figura 1 Enlace Ethernet que conecta las PC de la intranet a Internet


firewall


La siguiente información se utiliza como ejemplo. Obtenga la información de servicio deseada de su ISP local.

 

Tabla 1 Parámetros proporcionados por un ISP


firewall


Ruta de configuración

La ruta de configuración es la siguiente:

 

1. Asigne direcciones IP a las interfaces y agregue las interfaces a las zonas de seguridad. Establezca la dirección de puerta de enlace predeterminada en 1.1.1.254 para GigabitEthernet 1/0/1.

 

2. Configure la función del servidor DHCP en el firmware para asignar direcciones IP y una dirección de servidor DNS a las PC de la intranet.

 

3. Configure políticas de seguridad para permitir que las PC accedan a Internet.

 

4. Configure las políticas de NAT para la traducción de la dirección de origen. Como el FW traduce direcciones privadas en una dirección de red pública fija asignada por el ISP, se utiliza easy-IP para simplificar la configuración.

 

Procedimiento

1. Configure las direcciones IP de las interfaces y luego asigne las interfaces a las zonas de seguridad.

<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit


2. Configure el FW como servidor DHCPv4.

# Habilite la función DHCP.

dhcp enable


# Cree un grupo de direcciones de interfaz y especifique la dirección IP de la puerta de enlace predeterminada y la dirección del servidor DNS para las PC en la intranet.

[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] dhcp select interface
[FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254
[FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9
[FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1
[FW-GigabitEthernet1/0/3] quit


3. Configurar políticas de seguridad, permitiendo que las PC de la intranet accedan a Internet

[FW] security-policy
[FW-security-policy] rule name policy_sec_1
[FW-security-policy-sec_policy_1] source-address 10.3.0.0 mask 255.255.255.0
[FW-security-policy-sec_policy_1] source-zone trust
[FW-security-policy-sec_policy_1] destination-zone untrust
[FW-security-policy-sec_policy_1] action permit
[FW-security-policy-sec_policy_1] quit
[FW-security-policy] quit


4. Configure una política de NAT que permita a las PC de la intranet acceder a Internet utilizando la dirección IP pública resultante de la traducción.

[FW] nat-policy
[FW-policy-nat] rule name policy_nat_1
[FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0
[FW-policy-nat-rule-policy_nat_1] source-zone trust
[FW-policy-nat-rule-policy_nat_1] egress-interface GigabitEthernet 1/0/1
[FW-policy-nat-rule-policy_nat_1] action source-nat easy-ip
[FW-policy-nat-rule-policy_nat_1] quit
[FW-policy-nat] quit


5. Configure la ruta predeterminada cuya dirección IP del próximo salto es 1.1.1.254

[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254


Verificación de configuración

1. Vea los detalles sobre GigabitEthernet 1/0/1 y verifique si la interfaz GigabitEthernet 1/0/1 ha obtenido una dirección IP pública y tanto el estado físico como el de IPv4 están activos.

[FW] display interface GigabitEthernet 1/0/1
GigabitEthernet 1/0/1 current state : UP                                        
Line protocol current state : UP      
GigabitEthernet 1/0/1 current firewall zone : untrust
Description : GigabitEthernet 1/0/1 Interface, Route Port
The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)
Internet Address is 1.1.1.1/24
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101
Media type is twisted pair, loopback not set, promiscuous mode not set    
100Mb/s-speed mode, full-duplex mode, link type is auto negotiation
max-bandwidth : 100000 kbps       
Last physical up time   : -                                                     
Last physical down time : 2018-01-16 20:33:13                                   
Current system time: 2018-01-17 10:08:18 
Top 3 input bit rate: 672688 bits/sec at 2018-01-15 11:11:41                                                                        
                      20872 bits/sec at 2018-01-15 11:11:40                                                                         
                      17456 bits/sec at 2018-01-14 19:23:00                                                                         
Top 3 output bit rate: 672000 bits/sec at 2018-01-15 11:11:41                                                                       
                       19568 bits/sec at 2018-01-15 11:11:40                                                                        
                       9064 bits/sec at 2018-01-14 11:11:53                                                                         
Top 3 input packet rate: 8008 packets/sec at 2018-01-15 11:11:41                                                                    
                         248 packets/sec at 2018-01-15 11:11:40                                                                     
                         216 packets/sec at 2018-01-14 11:11:56                                                                     
Top 3 output packet rate: 8000 packets/sec at 2018-01-15 11:11:41                                                                   
                          232 packets/sec at 2018-01-15 11:11:40                                                                    
                          80 packets/sec at 2018-01-14 11:11:53Last 300 seconds input rate 8  bytes/sec, 0  packets/sec  
Last 300 seconds output rate 8  bytes/sec, 0  packets/sec 
    Input: 1149 packets, 99478 bytes  
          12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses
          0 overruns, 0 runts, 0 jumbos, 0 FCS errors         
          0 length errors,  0 code errors, 0 align errors     
          0 fragment errors,  0 giants, 0 jabber errors       
          0 dribble condition detected,  0 other errors       
    Output: 1104 packets, 94646 bytes 
          7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses
          0 underruns, 0 runts, 0 jumbos, 0 FCS errors        
          0 fragment errors, 0 giants, 0 jabber errors        
          0 collisions, 0 late collisions         
          0 ex. collisions, 0 deferred, 0 other errors

  

2. Ejecute el comando ipconfig / all en una PC para verificar que la PC haya obtenido una dirección IP y una dirección DNS válidas. El siguiente ejemplo usa una PC con Windows XP. La salida real del comando puede variar.

Ethernet adapter Local Area Connection:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
        Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
        Dhcp Enabled. . . . . . . . . . . : Yes
        Autoconfiguration Enabled . . . . : Yes
        IP Address. . . . . . . . . . . . : 10.3.0.2
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 10.3.0.1
        DHCP Server . . . . . . . . . . . : 10.3.0.1
        DNS Servers . . . . . . . . . . . : 9.9.9.9
        Lease Obtained. . . . . . . . . . : Tuesday, December 6, 2011, 05:58:28 AM
        Lease Expires . . . . . . . . . . : Friday, December 16, 2011, 05:58:28 AM

 

3. Compruebe si una PC de intranet puede utilizar un nombre de dominio para acceder a Internet. Si la PC puede acceder a Internet, la configuración es exitosa. Si la PC no puede acceder a Internet, modifique la configuración y vuelva a intentarlo.


Saludos.


FIN. 


También te puede interesar:

Conoce como operar y mantener la solución NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


La publicación está sincronizada con: Configuraciones típicas para firewalls

  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.