Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Requisitos de red
Una empresa implementa un FW como una puerta de enlace de seguridad en la red que se muestra en la Figura 6-
1 y compra servicios de banda ancha de un ISP.
Los requisitos de red son los siguientes:
Las PC de intranet se comunican entre sí mediante direcciones en el segmento de red
10.3.0.0/25. El FW asigna direcciones de red privada y una dirección de servidor DNS a las PC.
Intranet PC puede acceder a Internet.
Figura 6-1 Enlace Ethernet que conecta las PC de intranet a Internet
La siguiente información se utiliza como ejemplo. Obtenga la información de servicio deseada de su ISP local.
Tabla 6-1 Parámetros proporcionados por un ISP
ít Datos Descripción
Mapa de configuración
La hoja de ruta de configuración es la siguiente:
1. Asigne direcciones IP a las interfaces y agregue las interfaces a las zonas de seguridad. Establezca la
dirección de la puerta de enlace predeterminada en 1.1.1.254 para GigabitEthernet 1/0/1.
2. Configure la función del servidor DHCP en el FW para asignar direcciones IP y una dirección de
servidor DNS a las PC de la intranet.
3. Configure políticas de seguridad para permitir que las PC accedan a Internet.
4. Configure las políticas NAT para la traducción de la dirección de origen. A medida que el FW traduce
las direcciones privadas en una dirección de red pública fija asignada por el ISP, easy-IP se usa para
simplificar la configuración.
Procedimiento
1. Establezca las direcciones IP de las interfaces y luego asigne las interfaces a las zonas de seguridad.
2. <FW> system-view
3. [FW] interface GigabitEthernet 1/0/1
4. [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
5. [FW-GigabitEthernet1/0/1] quit
6. [FW] interface GigabitEthernet 1/0/3
7. [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.128
8. [FW-GigabitEthernet1/0/3] quit
9. [FW] firewall zone untrust
10. [FW-zone-untrust] add interface GigabitEthernet 1/0/1
11. [FW-zone-untrust] quit
12. [FW] firewall zone trust
13. [FW-zone-trust] add interface GigabitEthernet 1/0/3
14. [FW-zone-trust] quit
22. Configure una política de seguridad que permita a las PC en la intranet acceder a Internet.
23. [FW] security-policy
24. [FW-security-policy] rule name policy_sec_1
25. [FW-security-policy-sec_policy_1] source-address 10.3.0.0 mask 255.255.255.128
26. [FW-security-policy-sec_policy_1] source-zone trust
27. [FW-security-policy-sec_policy_1] destination-zone untrust
28. [FW-security-policy-sec_policy_1] action permit
29. [FW-security-policy-sec_policy_1] quit
[FW-security-policy] quit
30. Configure una política de NAT que permita a las PC en la intranet acceder a Internet utilizando la
dirección IP pública derivada de la traducción de la dirección de red.
31. [FW] nat-policy
32. [FW-policy-nat] rule name policy_nat_1
33. [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.128
34. [FW-policy-nat-rule-policy_nat_1] source-zone trust
35. [FW-policy-nat-rule-policy_nat_1] egress-interface GigabitEthernet 1/0/1
36. [FW-policy-nat-rule-policy_nat_1] action nat easy-ip
37. [FW-policy-nat-rule-policy_nat_1] quit
[FW-policy-nat] quit
34. Ejecute el comando ipconfig / all en una PC para verificar que la PC haya obtenido una dirección IP
y DNS válidas. El siguiente ejemplo utiliza una PC con Windows XP. La salida del comando real puede
variar.
35. Ethernet adapter Local Area Connection:
36.
37. Connection-specific DNS Suffix . :
38. Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network
Connection
39. Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
40. Dhcp Enabled. . . . . . . . . . . : Yes
41. Autoconfiguration Enabled . . . . : Yes
42. IP Address. . . . . . . . . . . . : 10.3.0.2
43. Subnet Mask . . . . . . . . . . . : 255.255.255.128
44. Default Gateway . . . . . . . . . : 10.3.0.1
45. DHCP Server . . . . . . . . . . . : 10.3.0.1
46. DNS Servers . . . . . . . . . . . : 9.9.9.9
47. Lease Obtained. . . . . . . . . . : Tuesday, December 6, 2011, 05:58:28 AM
Lease Expires . . . . . . . . . . : Friday, December 16, 2011, 05:58:28 AM
48. Compruebe si una PC de la intranet puede acceder a un nombre de dominio en Internet. Si la PC puede
acceder a Internet, la configuración se realiza correctamente. Si la PC no puede acceder a Internet,
modifique la configuración e intente nuevamente.
Guión de configuración
#
dhcp enable
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 10.3.0.1 255.255.255.128
dhcp select interface
dhcp server ip-range 10.3.0.1 10.3.0.125
dhcp server gateway-list 10.3.0.1
dhcp server dns-list 9.9.9.9
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 25
action permit
#
nat-policy
rule name policy_nat_1
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 10.3.0.0 25
action nat easy-ip
#
return
Easy IP=1.1.1.1
Client Request : 9
Dhcp Discover : 6
Dhcp Request : 3
Dhcp Decline : 0
Dhcp Release : 0
Dhcp Inform : 0
Server Reply : 9
Dhcp Offer : 6
Dhcp Ack : 3
Dhcp Nak : 0
Bad Messages : 0
<FW1>
<FW1>
#
ip route-static 1.1.1.0 255.255.255.0 1.1.1.1
#
Captura en g 1/0/3 enlace hacia red privada pc-client Web enlaza con server web
PC2
PC3
Captura en g 1/0/3 de FW1
Prueba envío datos por udp