一、 調整原因
呼叫中心單臺pc IP:172.16.8.184,需要訪問香港主頁需要在防火牆上配置nat轉換
二、 防火牆需調整內容
由於呼叫中心所有ip地址段(172.16.1/7/8)已經做了免認證設置,所以只需在2.2 SRX3400防火牆上放通IP地址:172.16.8.184訪問香港主頁即刻
三、 防火牆需配置內容
(1)防火牆SRX3400配置:
set security zones security-zone Trust address-book address 172.16.7.207 172.16.7.207/32
///定義地址,將ip加入到地址頁address-book中,並且取別名,本次的別名即是ip
set security zones security-zone Trust address-book address-set 2.2-peixunzuoxi address 172.16.7.207
///將地址頁172.16.7.207加入到地址薄2.2-peixunzuoxi
set security nat source rule-set Rule1 rule N62 match source-address 172.16.7.207/32
set security nat source rule-set Rule1 rule N62 match destination-address
set security nat source rule-set Rule1 rule N62 then source-nat pool A6
///配置地址nat策略,junos配置策略必須是源地址、目標地址、匹配情況下,then執行,本句話是符合需求,源地址是172.16.7.207,目標地址任何,都執行nat轉換,A6是一個nat後地址的別名。N62是看到原來配置rule,重新取得名字,不衝突即可
(2)由於防火牆SRX3400的策略是基於IP實現,所以必須在DHCP服務器上做MAC綁定,或在用戶電腦上設置固定,確保IP不會改變,本次修改,客戶已經設定固定IP,無需在DHCP服務器做任何設置。
(3)完成配置後,進行相關測試的指令:
[email protected]
set security nat source rule-set Rule1 rule N62 match source-address 172.16.7.207/32
set security zones security-zone Trust address-book address 172.16.7.207 172.16.7.207/32
set security zones security-zone Trust address-book address-set 2.2-peixunzuoxi address 172.16.7.207
查看是否定義了policy,是否定義好IP,是否已經加入到地址薄
四、 防火牆調整工作安排
4.1 配置時間安排
由於本次調整風險較少,計劃時間爲:
5.2 風險控制
在修改防火牆配置前進行配置備份,如配置過程中出現異常風險,5分鐘內無法解決,立即回退配置。