搜索
双ISP在NS防火墙上的配置方案一、示意图如下:Zone:ISP1—66.129.80.96/27ISP2—132.132.120.120/24Trust—192.168.1.X/24Azone—10.1.1.X/24接口IP:E1—192.168.1.1/24E2—10.1.1.1/24E3—66.129.80.107/27下一跳IP:66.129.80.97E4--132.132.120.1/24下一跳IP:132.132.120.2二、实施步骤:(CLI)1、建立Untrust-VR设置两个路由表中只有自己直连的路由。Unsetvroutertrust-vrroute0.0.0.0/0vrouteruntrust-vrUnsetvroutertrustauto-route-export2、建立ZoneISP1、ISP2、Azone,并将相应接口加入Zone,配置IP地址。WebUI下或CLI操作。getzone查看Zone;getint查看接口3、定义trust-VR和untrust-VR的默认路由setroute0.0.0.0/0inte3gateway66.129.80.97setroute0.0.0.0/0inte4gateway132.132.120.2getroute查看路由表。4、配置策略:setpolicyfromtrusttoISP1anyanyanynatpermitsetpolicyfromAZonetoISP2anyanyanytunnelvpnxxx5、配置trust和Azone间的访问配置静态路由和策略setvroutertrust-vrroute10.1.1.0/24vrouteruntrust-vrsetvrouteruntrust-vrroute192.168.1.0/24vroutertrust-vrgetroute查看路由表。setpolicyfromtrusttoAZoneanyanyanynatpermitsetpolicyfromAZonetotrustanyanyanynatpermitgetpolicy查看策略表。三、其它问题:如果没有E2口,E1口接交换机,下面有两个子网的话,可以设置E1的子接口,并划分到相应Zone中。需要交换机支持802.1Q标记VLAN。