6.

1 CLI- Ejemplo para acceder a Internet usando una dirección IPv4

estática
A FW se le asigna una dirección IPv4 estática para acceder a Internet y proporciona servicios de acceso para los
usuarios de la intranet.

Requisitos de red
Una empresa implementa un FW como una puerta de enlace de seguridad en la red que se muestra en la Figura 6-
1 y compra servicios de banda ancha de un ISP.
Los requisitos de red son los siguientes:
 Las PC de intranet se comunican entre sí mediante direcciones en el segmento de red
10.3.0.0/25. El FW asigna direcciones de red privada y una dirección de servidor DNS a las PC.
 Intranet PC puede acceder a Internet.
Figura 6-1 Enlace Ethernet que conecta las PC de intranet a Internet

La siguiente información se utiliza como ejemplo. Obtenga la información de servicio deseada de su ISP local.
Tabla 6-1 Parámetros proporcionados por un ISP

ít Datos Descripción

Dirección de empresa 1.1.1.1/24 Dirección de red pública que el ISP asigna a la

empresa.

Dirección de la puerta 1.1.1.254 Proporcionado por el ISP

de enlace
predeterminada

Dirección del servidor 9.9.9.9 Proporcionado por el ISP

DNS

Mapa de configuración
La hoja de ruta de configuración es la siguiente:
1. Asigne direcciones IP a las interfaces y agregue las interfaces a las zonas de seguridad. Establezca la
dirección de la puerta de enlace predeterminada en 1.1.1.254 para GigabitEthernet 1/0/1.
2. Configure la función del servidor DHCP en el FW para asignar direcciones IP y una dirección de
servidor DNS a las PC de la intranet.
3. Configure políticas de seguridad para permitir que las PC accedan a Internet.
 4. Configure las políticas NAT para la traducción de la dirección de origen. A medida que el FW traduce
las direcciones privadas en una dirección de red pública fija asignada por el ISP, easy-IP se usa para
simplificar la configuración.

Procedimiento
1. Establezca las direcciones IP de las interfaces y luego asigne las interfaces a las zonas de seguridad.
2. <FW> system-view
3. [FW] interface GigabitEthernet 1/0/1
4. [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
5. [FW-GigabitEthernet1/0/1] quit
6. [FW] interface GigabitEthernet 1/0/3
7. [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.128
8. [FW-GigabitEthernet1/0/3] quit
9. [FW] firewall zone untrust
10. [FW-zone-untrust] add interface GigabitEthernet 1/0/1
11. [FW-zone-untrust] quit
12. [FW] firewall zone trust
13. [FW-zone-trust] add interface GigabitEthernet 1/0/3
14. [FW-zone-trust] quit

15. Configure el FW como un servidor DHCPv4.

# Habilitar la función DHCP.
[ FW ] dhcp enable

# Cree un grupo de direcciones de interfaz y especifique la dirección IP de la puerta de enlace

predeterminada y la dirección del servidor DNS para las PC en la intranet.
16. [FW] interface GigabitEthernet 1/0/3
17. [FW-GigabitEthernet1/0/3] dhcp select interface
18. [FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.125
19. [FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9
20. [FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1
21. [FW-GigabitEthernet1/0/3] quit

22. Configure una política de seguridad que permita a las PC en la intranet acceder a Internet.
23. [FW] security-policy
24. [FW-security-policy] rule name policy_sec_1
25. [FW-security-policy-sec_policy_1] source-address 10.3.0.0 mask 255.255.255.128
26. [FW-security-policy-sec_policy_1] source-zone trust
27. [FW-security-policy-sec_policy_1] destination-zone untrust
28. [FW-security-policy-sec_policy_1] action permit
29. [FW-security-policy-sec_policy_1] quit
[FW-security-policy] quit

30. Configure una política de NAT que permita a las PC en la intranet acceder a Internet utilizando la
dirección IP pública derivada de la traducción de la dirección de red.
31. [FW] nat-policy
32. [FW-policy-nat] rule name policy_nat_1
33. [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.128
34. [FW-policy-nat-rule-policy_nat_1] source-zone trust
35. [FW-policy-nat-rule-policy_nat_1] egress-interface GigabitEthernet 1/0/1
36. [FW-policy-nat-rule-policy_nat_1] action nat easy-ip
37. [FW-policy-nat-rule-policy_nat_1] quit
[FW-policy-nat] quit

38. Configure la ruta predeterminada cuya siguiente dirección IP de salto es 1.1.1.254.

[ FW ] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
Verificación de la configuración
1. Ver detalles sobre GigabitEthernet 1/0/1 y verificar si la interfaz GigabitEthernet 1/0/1 ha obtenido una
dirección IP pública y los estados físico e IPv4 están arriba.
2. [FW] display interface GigabitEthernet 1/0/1
3. GigabitEthernet 1/0/1 current state : UP
4. Line protocol current state : UP
5. GigabitEthernet 1/0/1 current firewall zone : untrust
6. Description : GigabitEthernet 1/0/1 Interface, Route Port
7. The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)
8. Internet Address is 1.1.1.1/24
9. IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101
10. Media type is twisted pair, loopback not set, promiscuous mode not set
11. 100Mb/s-speed mode, full-duplex mode, link type is auto negotiation
12. max-bandwidth : 100000 Kbps
13. Last physical up time : -
14. Last physical down time : 2015-05-07 20:33:13
15. Current system time: 2015-05-11 10:08:18
16. Max input bit rate:528530448 bits/sec at 2015-05-07 12:53:46
17. Max output bit rate:5280418 bits/sec at 2015-05-07 12:54:26
18. Max input packet rate:750753 packets/sec at 2015-05-07 22:43:46
19. Max output packet rate:7843 packets/sec at 2015-05-07 22:53:58
20. Last 300 seconds input rate 8 bytes/sec, 0 packets/sec
21. Last 300 seconds output rate 8 bytes/sec, 0 packets/sec
22. Input: 1149 packets, 99478 bytes
23. 12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses
24. 0 overruns, 0 runts, 0 jumbos, 0 FCS errors
25. 0 length errors, 0 code errors, 0 align errors
26. 0 fragment errors, 0 giants, 0 jabber errors
27. 0 dribble condition detected, 0 other errors
28. Output: 1104 packets, 94646 bytes
29. 7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses
30. 0 underruns, 0 runts, 0 jumbos, 0 FCS errors
31. 0 fragment errors, 0 giants, 0 jabber errors
32. 0 collisions, 0 late collisions
33. 0 ex. collisions, 0 deferred, 0 other errors

34. Ejecute el comando ipconfig / all en una PC para verificar que la PC haya obtenido una dirección IP
y DNS válidas. El siguiente ejemplo utiliza una PC con Windows XP. La salida del comando real puede
variar.
35. Ethernet adapter Local Area Connection:
36.
37. Connection-specific DNS Suffix . :
38. Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network
Connection
39. Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
40. Dhcp Enabled. . . . . . . . . . . : Yes
41. Autoconfiguration Enabled . . . . : Yes
42. IP Address. . . . . . . . . . . . : 10.3.0.2
43. Subnet Mask . . . . . . . . . . . : 255.255.255.128
44. Default Gateway . . . . . . . . . : 10.3.0.1
45. DHCP Server . . . . . . . . . . . : 10.3.0.1
46. DNS Servers . . . . . . . . . . . : 9.9.9.9
47. Lease Obtained. . . . . . . . . . : Tuesday, December 6, 2011, 05:58:28 AM
Lease Expires . . . . . . . . . . : Friday, December 16, 2011, 05:58:28 AM
 48. Compruebe si una PC de la intranet puede acceder a un nombre de dominio en Internet. Si la PC puede
acceder a Internet, la configuración se realiza correctamente. Si la PC no puede acceder a Internet,
modifique la configuración e intente nuevamente.

Guión de configuración
#
dhcp enable
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 10.3.0.1 255.255.255.128
dhcp select interface
dhcp server ip-range 10.3.0.1 10.3.0.125
dhcp server gateway-list 10.3.0.1
dhcp server dns-list 9.9.9.9
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 25
action permit
#
nat-policy
rule name policy_nat_1
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 10.3.0.0 25
action nat easy-ip
#
return
Easy IP=1.1.1.1

Desde PC client web ip static a server web url: http://www.tapia.cl

[FW1]dis firewall session table
Current Total Sessions : 2
http VPN: public --> public 10.3.0.126:2051[1.1.1.1:2050] --> 8.8.8.8:80
dns VPN: public --> public 10.3.0.126:49153[1.1.1.1:2049] --> 9.9.9.9:53
[FW1]

<FW1>dis firewall session table

Current Total Sessions : 2
http VPN: public --> public 10.3.0.126:2051[1.1.1.1:2050] --> 8.8.8.8:80
dns VPN: public --> public 10.3.0.126:49153[1.1.1.1:2053] --> 9.9.9.9:53
<FW1>

<FW1>display dhcp server statistics

DHCP Server Statistics:

Client Request : 9
Dhcp Discover : 6
Dhcp Request : 3
Dhcp Decline : 0
Dhcp Release : 0
Dhcp Inform : 0
Server Reply : 9
Dhcp Offer : 6
Dhcp Ack : 3
Dhcp Nak : 0
Bad Messages : 0

<FW1>

<FW1>display dhcp server statistics

DHCP Server Statistics:
 Client Request : 11
Dhcp Discover : 7
Dhcp Request : 4
Dhcp Decline : 0
Dhcp Release : 0
Dhcp Inform : 0
Server Reply : 11
Dhcp Offer : 7
Dhcp Ack : 4
Dhcp Nak : 0
Bad Messages : 0

<FW1>

PC-1 SOLICITANDO UNA IP DINAMICA AL SERVER FW1

Primero muestra la ip gateway y después la ip entregada por el

server FW1
Configuración FW1
#
sysname FW1
#
#
dhcp enable
#
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 10.3.0.1 255.255.255.128
dhcp select interface
dhcp server ip-range 10.3.0.1 10.3.0.125
dhcp server gateway-list 10.3.0.1
dhcp server dns-list 9.9.9.9
#
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 25
action permit
#
#
nat-policy
rule name policy_nat_1
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 10.3.0.0 25
action nat easy-ip
#

Configuración router ISP

#
sysname ISP
#
#
interface GigabitEthernet0/0/0
ip address 1.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 9.9.9.1 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 8.8.8.1 255.255.255.0

#
ip route-static 1.1.1.0 255.255.255.0 1.1.1.1
#

Captura en g 0/0/0 de ISP – enlace DNS

Captura en g 1/0/1 de FW1 hacia ISP

Captura en g 1/0/3 enlace hacia red privada pc-client Web enlaza con server web

PC2
PC3
Captura en g 1/0/3 de FW1
Prueba envío datos por udp

<FW1>dis firewall session table

Current Total Sessions : 1
udp VPN: public --> public 10.3.0.124:2051[1.1.1.1:2050] --> 8.8.8.8:80
<FW1>