李勝

摘要：根據(jù)源地址及目的地址選擇路由走向，進行天融信防火墻的策略路由配置，來控制穿越防火墻的數(shù)據(jù)流，從而實現(xiàn)內網(wǎng)分流訪問互聯(lián)網(wǎng)；通過設置VPN功能，實現(xiàn)從外部網(wǎng)絡訪問單位內部網(wǎng)絡的功能。

關鍵詞：雙線路；源地址；靜態(tài)路由；策略路由；VPN

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）09-2087-02

隨著網(wǎng)絡通信資費的下調和新業(yè)務的增加，現(xiàn)在有些單位有兩條或兩條以上的外網(wǎng)線路，如何有效利用網(wǎng)絡帶寬，合理分流網(wǎng)絡流量，顯得十分必要。另外，出差在外不能在單位辦公時，如何訪問單位內部網(wǎng)絡也是大家關心的問題。

1 雙線路路由

1.1 雙線路路由簡介

在天融信防火墻的兩個ETH口同時接入不同外網(wǎng)線路，該文中ETH1接內網(wǎng)網(wǎng)絡，ETH2接電信線路、ETH3接聯(lián)通線路，通過設置天融信防火墻的策略路由，使得內網(wǎng)不同網(wǎng)段分別經(jīng)由電信和聯(lián)通線路訪問外網(wǎng)，合理地解決了單位因機器過多，造成單條線路負載過大或要求不同業(yè)務互不干擾等問題，使得網(wǎng)絡更加暢通。

1.2 具體設置

1.2.1 初始配置

拿到一個新的防火墻后，首先就要從Console口登陸，對它進行初始化設置，配置其web管理接口，具體方法如下[1]：

首先定義一個防火墻的管理域，并給這個域命名

define area add name area_內網(wǎng) attribute 'eth1 ' access on

其次給這個域賦予webui管理權限

pf service add name webui area area_內網(wǎng) addressname any

再次給管理接口eth1配置內網(wǎng)地址

network interface eth1 ip add 內網(wǎng)IP地址 mask 內網(wǎng)的子網(wǎng)掩碼

最后啟動防火墻的web服務

system httpd start

打開瀏覽器，輸入https：//內網(wǎng)IP，這樣就可以從瀏覽器登陸并配置防火墻了。

1.2.2 配置內網(wǎng)網(wǎng)段的機器上外網(wǎng)

1.2.2.1 定義區(qū)域

在左側菜單區(qū)找到“資源管理/區(qū)域”，然后添加一些接口區(qū)域命名，用來標識內網(wǎng)或外網(wǎng)，“被選屬性”要選實際的接口ethx

1.2.2.2 配置接口IP地址

在左側菜單區(qū)找到“網(wǎng)絡管理/接口”，給其它接口ethx配置接口IP地址

1.2.2.3 添加雙線路路由

首先添加一條電信外網(wǎng)的靜態(tài)路由，在左側菜單區(qū)找到“網(wǎng)絡管理/路由/靜態(tài)路由”，添加外網(wǎng)路由，目的地址和目的掩碼都是0.0.0.0，網(wǎng)關是電信外網(wǎng)網(wǎng)關，接口選接電信外網(wǎng)的eth2；其次添加內網(wǎng)回指路由，目的地址寫內網(wǎng)B類網(wǎng)段地址，接口選接內網(wǎng)的eth1；最后添加兩條策略路由：

源地址為內網(wǎng)網(wǎng)段1，目的地址為0.0.0.0，網(wǎng)關為電信外網(wǎng)網(wǎng)關，接口為eth2

源地址為內網(wǎng)網(wǎng)段2，目的地址為0.0.0.0，網(wǎng)關為聯(lián)通外網(wǎng)網(wǎng)關，接口為eth3

1.2.2.4 添加地址轉換

在左側菜單區(qū)找到“防火墻/地址轉換”，轉換類型選“源轉換”，“源”選內網(wǎng)區(qū)域，“目的”選電信外網(wǎng)區(qū)域，“源地址轉換為”選電信外網(wǎng)的eth2；再添加一條地址轉換，轉換類型選“源轉換”，“源”選內網(wǎng)區(qū)域，“目的”選聯(lián)通外網(wǎng)區(qū)域，“源地址轉換為”選聯(lián)通外網(wǎng)的eth3。

1.3 命令行方式設置

當然，也可以使用命令行方式設置防火墻的雙線路路由，方法如下：

首先是設置防火墻各接口IP地址的命令：

2 VPN設置

2.1 VPN簡介[2]

VPN，虛擬專用網(wǎng)絡（Virtual Private Network）指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。首先通過公用互聯(lián)網(wǎng)連接到單位的

VPN服務器，然后利用其作為跳板進入單位內網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務器和客戶機之間的通訊數(shù)據(jù)都進行了加密處理，有了數(shù)據(jù)加密，就可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸，就如同專門架設了一個專用網(wǎng)絡一樣，但實際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)，VPN技術實質上就是利用加密技術在公網(wǎng)上封裝出一條數(shù)據(jù)通訊隧道。

2.2 VPN設置

首先在左側菜單找到“系統(tǒng)管理/配置/開放服務”，開放外網(wǎng)區(qū)域的L2TP或PPTP服務；其次在“用戶認證/用戶管理”中添加一個用戶，用戶認證方式選本地認證；最后在“虛擬專網(wǎng)/L2TP”中設置VPN的本地地址，起始地址和結束地址池，地址池要和內網(wǎng)地址在同一網(wǎng)段，然后啟動L2TP或PPTP服務即可。

2.3 命令行方式

3 結論

我單位目前使用的天融信防火墻，就是通過設置雙線路路由，有效地利用了網(wǎng)絡帶寬，合理地分流了網(wǎng)絡流量，實現(xiàn)業(yè)務和辦公機器互不干擾；通過設置VPN，實現(xiàn)了異地如在單位辦公一樣方便。

參考文獻：

[1] 張選波，吳麗征，周金鈴，等.設備調試與網(wǎng)絡優(yōu)化學習指南[M].北京：科學出版社，2009：198-218.

[2] 天融信公司網(wǎng)站.http：//www.topsec.com.cn.