入门--层 3、NAT 和 DHCP
26947
Created On 09/25/18 19:05 PM - Last Modified 06/05/23 09:17 AM
Resolution
在上一期入门视频教程中, 我向您展示了如何设置管理界面、准备许可证、下载更新以及在全新的防火墙上创建第一个安全策略. 在本部分中, 我将向您展示如何配置3层接口, 确保为网络地址转换或 NAT 设置传出连接, 并帮助您创建 DHCP 服务器, 以便客户端在本地网络上自动分配 IP 地址。
如果您没有看到第一个教程视频, 请花一点时间, 并检查出来, 然后继续这个视频。让我们来
看看我们所拥有的和我们想要完成的:
- 路由器 IP: 198.51.100。1
- 防火墙 IP: 198.51.100。2
- 防火墙内部 IP: 10.0.0。1
- 客户端 DHCP 范围: 10.0. 0.50-10.0. 0.250
现在, 我们可以对接口执行同样的操作: 打开属性到 ethernet1/1, 并将其类型更改为3层。
您将看到 "虚拟线路" 现在已被 "虚拟路由器" 所取代。现在让我们将其设置为 "默认". 等我们到了以后再解释一下。将区域设置为 "不信任", 然后移动到 "IPv4" 选项卡.
这里是我们配置此接口的 IP 地址和子网的位置. 我将继续, 把我的外部 IP 地址在这里, 与28子网。
单击 "确定", 然后移动到接口 ethernet1/2, 将虚拟路由器设置为默认值, 将该区域设为 "信任", 移动到 IPv4 并将接口设置为 IP 地址 10.0. 0.1/24。
接下来, 我们将进入 "高级" 选项卡并创建一个新的管理配置文件。
管理配置文件允许某些服务在物理接口上可用, 包括管理功能, 以防您需要这样做. 但是现在, 我们只会启用 "ping", 这样我们就可以从本地网络和测试连接中 ping 接口。单击 "确定"。
现在, 我们将转到虚拟路由器或 VR. 它被称为虚拟路由器, 因为我们可以配置多个可以在不相互干扰的情况下保存自己的路由表的多村. 通过使用单独的路由表配置多个路由器, 可以通过将接口附加到不同的虚拟路由器来隔离它们。
现在, 我们将坚持默认的一个, 打开属性, 然后转到静态路由。
您需要添加一个允许将出站通信路由到上游路由器的默认路由. 单击 "添加" 创建新路由, 设置说明, 并将目标设置为 0.0. 0.0/0。
接口将被 ethernet1/1, 因为这是出口接口到互联网. 下一个跃点将是您的路由器的 IP 地址-在我的情况下, 这将是198.51.100.1。
接下来, 我们将设置 DHCP. 单击 "添加" 并将接口设置为 etherner1/2, 即本地网络。在分配新 ip 时, 我们将启用 "ping ip", 因为这将在从 ip 池分配 ip 地址之前发出 ICMP 回送请求。初始 ping 可防止网络中的重叠 IPs, 以防已将静态 IP 地址分配给其他工作站。我们将超时设置为24小时, 并为10.0.0.50 创建一个 IP 池. 250。正如您所看到的, 您可以轻松地在此处创建预留, 以防您想为特定主机保留特定 IP, 如管理膝上型计算机。
在 "高级" 选项卡中, 您可以配置客户端将得到的默认网关, 在我的情况下, 这是防火墙 10.0.0.12, 子网掩码 255.255.255.0. 我没有内部 DNS 服务器, 所以我将设置4.2.2.2 和 8.8.8.8, 但如果您在内部设置了 Microsoft 或 bind DNS, 请将其 IP 地址连同您可能需要的任何 WINS 或其他服务 IP 地址一起放置在此处。如果需要, 还可以添加一些自定义 DHCP 选项。
接下来, 我们将准备网络地址转换。
您首先需要创建一个新规则. 您需要给它一个名称, 并在 "原始数据包" 选项卡下, 设置源区域、目标区域和目标接口。在翻译的数据包中, 我们要将源代码转换设置为动态 IP 和端口, 因为我们不一定需要一对一的翻译, 我们将设置地址类型以简单地使用接口 ethernet1/1 及其 IP 进行翻译。如果您愿意, 您可以在这里设置一个不同的 IP, 如果您的 ISP 在您的 internet 连接上提供了一个更大的子网。
最后一件事是在我们的方式之前, 我们可以完成-我们仍然需要删除 previosuly 配置的虚拟线-只需突出显示默认 vwire 对象, 然后单击 "删除"。
现在继续并提交此配置。
在客户端上, 您需要继续并清除 arp 缓存, 因为它们以前连接到其他路由设备, 并刷新 DHCP 租约。
我希望你喜欢这个视频. 请随时留下评论, 看看我们的其他情节在入门系列.