一、網絡環境說明,100M光纖,30M光纖用戶上網使用,70M光纖服務器使用,因此使用控流交換機。
二、拓撲圖
三、配置控流交換機(h3c 5024E交換機,只要配置1端口流量最大達到30M即可)
四、配置H3C ER5200路由器
1、配置靜態IP地址
2、配置DHCP服務器
客戶端自動獲取IP即可上網
五、防火牆透明模式設置(jnuiper ssg-320m)
首先理解什麼是防火牆的透明模式,就是相當於把防火牆當成交換機,防火牆將過濾通過的IP數據包,但不會修改IP數據包包頭中的任何信息。
透明模式的優點:
1、 不需要改變已有的網絡和配置
2、不需要創建映射或者虛擬的IP
3、透明模式對系統資源消耗最少
配置如下:
1、配置透明模式的內網接口
2、配置路由模式的外網接口
3 配置vlan 1 的IP,也就是管理IP:
4、查看下所有端口配置圖如下:
5、配置信任IP
6、配置防火牆ACL
ACL配置有兩部分,一部分是內部對外部,另一個是外部對內部
v1-trust to v1-untrust ###這個是內部對外部,是所有動作都放行
v1-untrust to v1-trust #### 這個是外部對內問訪問權限,這裏只允許外問訪問"WEB IP地址" 這臺服務器(注意由於這裏不方便透露IP,web IP地址==是後端服務器的IP地址)
################################到些配置完成#############################
六、配置web服務器(這裏只測試一臺)
IP=“web IP 地址”
vi /var/www/html/index.html
the is juniper firewall test !!!
七、測試
v1-untrust to v1-trust ACL對http服務信任,訪問如下:
v1-untrust to v1-trust ACL拒絕了http服務
測試結果如下:
另外注意下需要遠程管理的設置: