案例要求:朋友在一家公司做网络工程师,平时喜欢网上找资料下东西啥的,现在的做法是电脑无线接入公司内网,有线接外网,默认走外网路由,这样就很好的实现了工作娱乐两不误了。可是他向我抱怨,因无线的不稳定因素,经常出现无线的网关在上了一两个小时后,电脑会自动获得,这样又要手动的删除一次,很麻烦。也试过了手动增加本机电脑路由的方式,效果还是不爽。当然了公司内网也可以直接上外网的,不过需要走proxy server且还有好几个上网行为管理软件在后台监控着,他感觉这样更不爽,呵呵,原因不说了,大家知道的。一问他手里正好有个juniper的firewall可以玩,那上面的问题解决起来就很简单了。还了解到,他需要经常在家里连到公司的电脑上或公司的各个server上处理一些事情,了解到他公司是通过L2TP方式***到公司的,这个也不是问题啊。

案例实现原理:在firewall中拿两个interface出来,分别接公司内网和外网,划这两个端口到untrust zone 中,再拿一个interface接他电脑,划到trust zone中,再在firewall中建立virtual router不就可以了吗,又为了能使他能正常的解析到公司内网,需要在DNS上配置公司内网DNS首选。绑定朋友电脑的MAC地址到DHCP,在firewall接公司内网的那个interface上做端口静态转换MIP,这样朋友远端***连到公司网络就能访问自己的电脑了。

案例架构图:

 

案例配置:

Interface E0/1配置,公网地址,为了安全管理地址及提供的服务都关闭

clip_image002

Interface E0/7配置

clip_image003

Interface E0/7上配置静态端口转换

clip_image004

Interface E0/0配置

clip_image005

DHCP及MAC地址绑定设置

clip_image006

clip_image007

clip_image008

路由设置,juniper有基于目标地址,源地址,原端口的路由设置,可选太多了,可以依自己的情况设置,这个我直接基于目标地址增加两条路由。

clip_image009

clip_image010

policy设置

clip_image011

clip_image012

设置完成,接上朋友的电脑到E0/0口,得到配置的绑定地址192.168.1.11,ping公司内网公司外网都没有问题,从公司内网远端到朋友的电脑,没有问题。试着应用了下别的应该程式都没有问题。

所有问题解决,拍着朋友的肩,走今天去哪里吃饭。