锐捷防火墙(WEB) | 您所在的位置:网站首页 › 静态地址配置命令有哪些 › 锐捷防火墙(WEB) |
目录 Ⅰ 静态路由 Ⅱ 策略路由 Ⅲ RIP Ⅰ 静态路由 一、静态路由 静态路由是由系统管理员,根据网络的结构,在防火墙上手工添加路由条目。对于防火墙设备来说,静态路由是最基本的方式,也是最常用的添加路由的方式。 二、网络拓扑 防火墙外网口wan1ip地址为202.1.1.10, 对端ISP路由器G1/0口地址为202.1.1.9. 三、配置方法 菜单: 路由--静态--静态路由,点击 "创建新的",按如下方式创建路由表: 目的的IP/子网掩码: 由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。 设备: 该路由所关联的接口,wan1口,必须正确填写,否则该路由无法工作。 网关: 下一跳ip地址, 即wan1口对端运营商设备接口的ip地址。 路径长度:默认10。 对于相同的路由条目,管理距离短的会被放入路由表。如果管理距离相同,则都会被放入路由表。 优先级:默认0. 管理距离相同的两条路由,防火墙优先使用优先级参数较低的路由工作。 四、配置命令 1、默认路由配置命令 RG-WALL # config router static RG-WALL (static) # edit 1 RG-WALL (1) # set gateway 202.1.1.9 //本条目没有定义dst目的网络,则默认为为0.0.0.0/0.0.0.0 RG-WALL (1) # set device wan1 RG-WALL (1) # next
2、目的网段静态路由配置 RG-WALL # config router static RG-WALL (static) # edit 2 RG-WALL (2) # set dst 1.24.0.0 255.248.0.0 RG-WALL (2) # set gateway 202.1.1.5 RG-WALL (2) # set device wan2 RG-WALL (2) # next 五、验证效果 通过图形页面查看路由表,页面: 路由--当前路由--路由监控表或通过命令行查看该路由是否生效: get router info routing-table static 通过ping 202.1.1.9 ,确认链路正常。 Ⅱ 策略路由一、策略路由 静态动态路由等,都属于目的路由,即根据目的地址进行选路。 策略路由则可以根据原地址,协议类型,流控标签,目的地址等多个参数进行选路。 策略路由优于静态路由,被先执行。 二、应用示例 假定场景: 路由模式典型功能--度链路上网---双线路不同运营商上网配置, 强制192.168.1.0/29的地址,从wan2口访问互联网, 菜单: 路由--静态--策略路由,点击 创建新的 该策略路由定义所以从internal进入的,源地址是192.168.1.0 255.255.255.248,目的地址是0.0.0.0 0.0.0.0的数据包,都会被强制由wan2转发,转发时下一条的网关地址为100.1.1.1 页面内选项如下: 协议端口: 协议类型,0为所有任何协议,可以指定6 tcp,17 udp,132等 进入接口: 流量进入接口。 源地址掩码: 数据包的源地址 目的地址掩码: 数据包的目的地址 目的端口: 目的端口,默认为所有。从1-65536 强制流量到: 流出接口: 数据包的流出接口。 网关地址: 流出接口的下一条网关地址。 Ⅲ RIP应用场景 当网络路由设备较多,且不超过16个,为避免写大量静态路由,且路由可自动学习,可在NGFW上配置RIP路由协议,让NGFW也能动态学习到其他网络的路由,且能自动老化更新。 若网络中路由设备超过16个,建议使用OSPF,它的路由学习更新速度更快,更适合16个路由设备以上的网络。 当网络中路由设备较少,建议使用静态路由即可,维护简单,且对路由器要求不高,因为路由器都支持静态路由,而普通小路由一般不支持RIP协议。 一、组网需求 如图所示:内网三层交换机和出口NGFW间通过动态路由RIP互相通告路由,实现内网用户正常上网。 NGFW手动配置默认路由,并将其重发布引入RIP,三层交换机与NGFW之间通过RIP互相学习路由,实现内网用户正常上网。 二、组网拓扑 三、配置要点 1、配置接口地址 2、配置防火墙 3、配置路由器 四、配置步骤 1、配置接口地址 配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:配置结果如下: 2 、配置默认路由 配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节,配置结果如下: 3、配置RIP 菜单: 路由--动态路由--RIP 1)配置基本信息: RIP版本: 选择版本2. 启用产生缺省路由:启用,向邻居(路由器)发送缺省路由。 路由分发:是否对其他协议的路由进行分发。 2)添加RIP网络 点击“新建”,在网络后面的ip/掩码除添加网络:192.168.1.0/255.255.255.0 ,点击添加。 添加好网段后,如下 3、配置路由器 interface FastEthernet 0/1 ip address 192.168.1.111 255.255.255.0 interface FastEthernet 0/2 ip address 192.168.200.100 255.255.255.0 配置RIP : router rip version 2 network 192.168.1.0 network 192.168.10.0 no auto-summary 五、验证效果 查看当前路由: 页面: 路由--当前路由--路由监控表 命令行查看: |
CopyRight 2018-2019 实验室设备网 版权所有 |