返回
网吧(小型企业)出口网关举例

网吧(小型企业)出口网关举例

ID:25431220

大小:64.81 KB

页数:16页

时间:2018-11-20

网吧(小型企业)出口网关举例_第1页
网吧(小型企业)出口网关举例_第2页
网吧(小型企业)出口网关举例_第3页
网吧(小型企业)出口网关举例_第4页
网吧(小型企业)出口网关举例_第5页
资源描述:

《网吧(小型企业)出口网关举例》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网吧(小型企业)出口网关举例USG作为网吧或小型企业出口网关可以通过两个出接口连接到Internet,实现负载分担。还可以对内网的每个用户进行流量限制,对网络流量进行审计,并保护内网不受网络攻击。组网需求某网吧通过USG连接到Internet,组网情况如下:·网吧有100台PC和2台服务器。2台服务器分别提供网页访问和下载服务。·网吧的总带宽是2*100M,从运营商处申请了两个IP地址(200.1.1.1和200.1.2.3),并且通过两个出接口连接到Internet(运营商提供了两个接入点:200.1.1.2和200.1.2.4)。·DNS服务器的IP地址为202.111.80.1

2、06。该网络需要实现以下需求:·网吧去往Internet的流量通过两个出接口转发,实现流量的负载分担。·网吧的用户和外网用户能够访问网吧的服务器。·为了保证网吧正常运行,需要对每台PC进行限速。·在不中断业务的前提下可以精确分析网络流量,用于相关部门进行审计。·防止网吧受到SYNFlood攻击和ARP攻击。网络规划根据网吧的网络情况和需求,网络规划如下:·将100台PC部署在Trust区域,将服务器部署在DMZ区域。将连接Internet的接口分别加入Untrust和Untrust1区域。·为了实现网吧用户使用有限公网IP地址接入Internet,需要配置NAPT方式的NAT,借助端

3、口将多个私网IP地址转换为有限的公网IP地址。由于网吧有两个接口连接到Internet,并且只有两个IP地址。因此这两个IP地址既要做出接口的IP地址又要做NAT转换后的公网IP地址。即分别在Trust—Untrust域间、Trust—Untrust1域间配置NAToutbound,且各自使用出接口的IP地址作为NAT地址池的地址。·为了实现出接口流量的负载分担,需要配置两条缺省路由,下一跳分别指向运营商提供的接入点,并且需要配置相同的优先级。·由于网吧的服务器部署在内网,其IP地址为私网IP地址。外网用户如果想访问,需要将私网IP地址转换为公网IP地址。即分别基于Untrust、U

4、ntrust1区域配置NATServer。由于IP地址有限,可以使用出接口IP地址作为NATServer的公网IP地址,并且使用端口号区分Web服务器和FTP服务器。·网吧的总带宽是200M且有100台PC,为了保证网吧正常运行,需要配置IP-CAR限制每个用户的上传报文流量和下载报文流量为1M。·为了在不中断业务的前提下可以精确分析网络流量,需要配置端口镜像功能。·为了防止网吧受到SYNFlood攻击和ARP攻击,需要启用攻击防范功能,并将网吧PC的IP地址和MAC地址绑定。网络规划后的组网图如图1所示。图1网络规划后组网图项目数据说明(1)接口号:GigabitEthernet0

5、/0/0GigabitEthernet0/0/0是连接内网的接口。IP地址:192.168.0.1/24安全区域:Trust100台PC分配到网段为192.168.0.0/24的私网IP地址,部署在Trust区域。(2)接口号:GigabitEthernet0/0/1IP地址:10.1.1.1/24安全区域:DMZGigabitEthernet0/0/1是连接服务器的接口。服务器部署在DMZ区域。(3)接口号:GigabitEthernet0/0/2IP地址:200.1.1.1/24安全区域:Untrust网吧去往Internet的流量通过GigabitEthernet0/0/2和G

6、igabitEthernet5/0/0两个出接口转发,实现逐流的负载分担。(4)接口号:GigabitEthernet5/0/0IP地址:200.1.2.3/24安全区域:Untrust1安全优先级:10网吧去往Internet的流量通过GigabitEthernet0/0/2和GigabitEthernet5/0/0两个出接口转发,实现逐流的负载分担。(5)接口号:GigabitEthernet6/0/0IP地址:172.16.1.1/24安全区域:TrustGigabitEthernet6/0/0是用于进行流量审计的端口,端口镜像的观测端口。Web服务器内网IP:10.1.1.5

7、转换后的基于Untrust区域的IP地址:200.1.1.1转换后的基于Untrust1区域的IP地址:200.1.2.3外网用户能够通过200.1.1.1或200.1.2.3访问网吧的Web服务器,端口号为80。端口号:80FTP服务器内网IP:10.1.1.10转换后的基于Untrust区域的IP地址:200.1.1.1转换后的基于Untrust1区域的IP地址:200.1.2.3端口号:21外网用户能够通过200.1.1.1或200.1.2.3访问网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。