精品路由器设置带宽路由器频段带宽路由器带宽控制无线

精品路由器设置带宽路由器频段带宽路由器带宽控制无线 ZJIPC 工作任务14:利用防火墙进行网络 路由优化及网络带宽管理 毛 颉 浙江工业职业技术学院计算机分院 mj_edu163.comZJIPC 学习目标 熟悉防火墙带宽管理及策略路由功能 掌握防火墙路由优化功能设置 掌握防火墙带宽管理配置方法 能根据要求，配置防火墙实现路由优化 及带宽管理ZJIPC 学习情境1ZJIPC 学习情境1 某企业为解决跨网访问速度较慢的问题，企业 网络通过防火墙对外连接了两个ISP (电信和 网通) ，外网用户可以访问企业内网的一台 服务器，为了达到网络的稳定畅通，公司希望 电信和网通用户可以分别通过两个不同的公网 地址来访问该服务器服务器;而且内网服务器 回复报文遵循电信用户使用电信出口，网通用 户使用网通出口的规则。为实现这一目标，防 火墙应作如何配置,ZJIPC 学习性任务1 为满足上述需求，可以通过设置防火墙 策略路由来解决。 策略路由与静态路由都用于定义数据包 转发规则，但基于策略的路由根据制定 的策略灵活转发数据包。ZJIPC 学习性任务1 策略路由配置 1)在左侧导航菜单中选择 网络管理 路 由， 点击“策略路由”页签，可以看到策 略路由。 2)点击“添加”，添加一条空的策略路由 。 a)在“名称”处输入字符作为策略路由的唯一 标识，不得与已有策略路由名相同，而且不得超 过31个字符，否则会提示错误信息。 b)在“属性绑定”下方选择属性，将此策略绑 定到一个属性上。ZJIPC 学习性任务1 根据绑定的属性不同，将策略路由分为三类: 接口相关的策略路由 当选择接口相关的属性时，由于接口和属性是一一对应的，因此 将策略与属性绑定实现了策略与接口的绑定，从而使得不同的接 口收到的数据包可以使用不同的路由策略。 全局的策略路由 当属性选择global时。任何接口收到的数据包都会查找全局的策 略路由。 本机外出的策略路由: 当属性选择local时，表示为本机发出的数据报文匹配的策略路 由(即源地址为防火墙上的接口地址)。 如果全局的策略路由和接口相关的策略路由定义相冲 突，则全局策略路由的优先级低于接口相关的策略路 由。ZJIPC 学习性任务1 参数说明 源地址:用来标识IP包的源地址或源网 络。注意填写源地址转换前的IP及掩码 ，也就是真实的子网地址。 源掩码:源IP地址的掩码。与源地址一 起来标识源主机或路由器所在的网段的 地址。ZJIPC 学习性任务1 3)添加策略后，点击“路由条目”对应的图 标，管理员可以向策略路由中添加新的策略路 由条目。 4)策略路由条目管理。 点击策略路由左侧的三角形图标，可以查看其中的 策略路由表，策略路由按照默认添加顺序显示。 注意:策略路由执行顺序匹配原则，即策略的 顺序与策略的逻辑相关，用户应该根据网络实 际情况及时调整策略路由的位置进而改变路由 的执行顺序。ZJIPC 工作任务1 某企业网络通过防火墙连接了两个 ISP(电信和网通)，网络连接情况 如图1。其中网通用户使用企业提供 的地址:202.99.1.3访问内部网络; 电信用户使用企业提供的地址: 202.98.1.3访问内部网络。 需求1:电信和网通用户可以分别通 过两个不同的公网地址来访问企业内 网的一台服务器;而且内网服务器回 复报文遵循电信用户使用电信出口， 网通用户使用网通出口的规则。 需求2:电信和网通用户可以分别通 过两个不同的公网地址(即两个接口 地址)来对防火墙进行管理。 图1 策略路由配置ZJIPC 工作任务1 配置要点(需求1) 配置主机资源 配置目的地址转换策略 配置策略路由 配置要点(需求2) 配置策略路由 图1 策略路由配置 ZJIPC 配置要点(需求1) 配置主机资源 2.配置策略路由 1.配置主机资源 添加路由条目 添加策略路由并设置绑定属性 配置目的地址转换策略 选择 资源管理 地址，在“主机”页面中点击 在已添加的策略路 由a上点击“路由条目”，添加下 选择 网络管理 路由，并点击“策略路由”页签，点 配置策略路由 “添加”添加下列主机资源?列路由条目， 击“添加”“源地址”处要填入 网通 和电信的子网地址。“转换后的源”要设为开 启。ZJIPC 配置要点(需求2) 配 置策略路由 添加路由条目 添加策略路由并设置绑定属性 选择 网络管理 路由， 并点击“策略路由”页签，点击 在已添加的策略路由b上点击“路由条目”，添加两条 路 “添加” 由条目“源地址”处要填入网通和电信用户所 访问设备的真实地址。 ZJIPC 扩展训练 CLI配置 需求1 1)配置主机资源 define host add name 202.99.1.3 ipaddr 202.99.1.3 define host add name 202.98.1.3 ipaddr 202.98.1.3 define host add name 172.16.98.222 ipaddr 172.16.98.222 2)配置目的地址转换策略 nat policy add orig_src any orig_dst 202.99.1.3 trans_dst 172.16.98.222 nat policy add orig_src any orig_dst 202.98.1.3 trans_dst 172.16.98.222ZJIPC 扩展训练 3)添加策略路由 , network route-policy add name a 4)绑定策略路由属性(global) ,network route-policy global-bind set a 5)添加策略路由条目 ,network route-policy add-entry name a src 202.99.1.0/24 gw 202.99.1.1 masq-src on ,network route-policy add-entry name a src 202.98.1.0/24 gw 202.98.1.1 masq-src onZJIPC 扩展训练 需求2: 1)添加策略路由 ,network route-policy add name b 2)绑定策略路由属性(local) ,network route-policy local-bind set b 3)添加策略路由条目 ,network route-policy add-entry name b src 202.99.1.2/32 gw 202.99.1.1 ,network route-policy add-entry name b src 202.98.1.2/32 gw 202.98.1.1ZJIPC 学习情境2 某公司网络信息管理部门发现，因内 网 部分员工的网络滥用而导致网络流量偏 高，上网速度很慢，影响企业关键业务 。 应该如何利用防火墙解决出现的问题 ,ZJIPC 学习性任务2 为满足上述需求，可 以通过设置防火墙 带宽管理，控制网络访问，保证企业主 要业务带宽。ZJIPC 学 习性任务2 设置带宽策略的具体步骤: 1 设置采用带宽控制的物理接口。 1. 选择 网络管理 流量管理，选择“带宽控制”页签。 2. 点击“添加接口”。 3. 在“接口”处 填写需要进行带宽控制的物理接口名称。 2)设置类，分为两种情况:在接口下添 加类和为 普通类添加子类。 1. 在接口下添加类只能添加共享类。 2. 在普通类下 可以设置共享子类或独享子类。此时需要保 证父类下没有设置规则，否则会弹出提 示框，无法完成 添加。 3)在没有子类的普通类下设置数据流的匹配规则 。ZJIPC 工作任务2 某企业的网络结构示意图如图2所示。 图2 企业网络结构