案例要求:朋友在一家公司做網絡工程師,平時喜歡網上找資料下東西啥的,現在的做法是電腦無線接入公司內網,有線接外網,默認走外網路由,這樣就很好的實現了工作娛樂兩不誤了。可是他向我抱怨,因無線的不穩定因素,經常出現無線的網關在上了一兩個小時後,電腦會自動獲得,這樣又要手動的刪除一次,很麻煩。也試過了手動增加本機電腦路由的方式,效果還是不爽。當然了公司內網也可以直接上外網的,不過需要走proxy server且還有好幾個上網行爲管理軟件在後臺監控着,他感覺這樣更不爽,呵呵,原因不說了,大家知道的。一問他手裏正好有個juniper的firewall可以玩,那上面的問題解決起來就很簡單了。還瞭解到,他需要經常在家裏連到公司的電腦上或公司的各個server上處理一些事情,瞭解到他公司是通過L2TP方式***到公司的,這個也不是問題啊。
案例實現原理:在firewall中拿兩個interface出來,分別接公司內網和外網,劃這兩個端口到untrust zone 中,再拿一個interface接他電腦,劃到trust zone中,再在firewall中建立virtual router不就可以了嗎,又爲了能使他能正常的解析到公司內網,需要在DNS上配置公司內網DNS首選。綁定朋友電腦的MAC地址到DHCP,在firewall接公司內網的那個interface上做端口靜態轉換MIP,這樣朋友遠端***連到公司網絡就能訪問自己的電腦了。
案例架構圖:
案例配置:
Interface E0/1配置,公網地址,爲了安全管理地址及提供的服務都關閉
Interface E0/7配置
Interface E0/7上配置靜態端口轉換
Interface E0/0配置
DHCP及MAC地址綁定設置
路由設置,juniper有基於目標地址,源地址,原端口的路由設置,可選太多了,可以依自己的情況設置,這個我直接基於目標地址增加兩條路由。
policy設置
設置完成,接上朋友的電腦到E0/0口,得到配置的綁定地址192.168.1.11,ping公司內網公司外網都沒有問題,從公司內網遠端到朋友的電腦,沒有問題。試着應用了下別的應該程式都沒有問題。
所有問題解決,拍着朋友的肩,走今天去哪裏吃飯。