range 192.168.12.1 192.168.12.254 exit
address \乐平安运检测站\ reference-zone \
range 192.168.13.1 192.168.13.254 exit
address \备用检测站\ reference-zone \
range 192.168.14.1 192.168.14.254 exit
address \调用地址\ reference-zone \
range 10.136.46.1 10.136.46.254 exit
这段是设置地址薄(别名+地址范围)
上图中,代码是添加了上边的通璟检测站、风顺检测站、安运检测站、备用监测站和调用地址5个地址薄,下边的是自动显示的5个已设置好接口的IP设置。(后文“接口”有介绍)
“ethernet0/0 10.137.186.68/32”意思是车管所防火墙0/0口的IP设为10.137.186.68; “ethernet0/0_subnet 10.137.186.68/24”意思是车管所防火墙0/0口所在的是10.137.186.网段。
3.第316行,接口的设置:
interface ethernet0/0 zone \
ip address 10.137.186.68 255.255.255.0 manage ssh manage telnet manage ping manage snmp manage http manage https exit
interface ethernet0/1 zone \
ip address 192.168.200.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit
interface ethernet0/2 zone \
ip address 192.168.201.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit
interface ethernet0/3 zone \
ip address 192.168.202.1 255.255.255.0 manage telnet manage ssh manage ping manage http
manage https manage snmp exit
interface ethernet0/4 zone \
ip address 192.168.203.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit
车管所的防火墙有5个接口,分别是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。其中ethernet0/0接口是直接连公安网交换机的,设的IP是10.137.186.68 255.255.255.0;ethernet0/1口是接通璟检测站ethernet0/0口出来的网线,给的IP是192.168.200.1 255.255.255.0;ethernet0/2、ethernet0/3、ethernet0/4这三个原本设想的是四个检测站都是直连光纤到车管所防火墙,但风顺、乐平使用不同的接入模式,所以这三个接口设置在这里没有使用。风顺和安运检测站的防火墙ethernet0/0设的是公安网的IP,直接接入当地交警大队的公安网交换机。并且这俩防火墙的IP跟交警支队车管所的IP都是10.137.186.*(假若当地交警大队是不同于10.137.186.*的IP地址,则可添加虚拟路由跳转)。
上图可看到,车管所防火墙的5个接口IP都配置了,但是(物理状态)只用到了ethernet0/0口和ethernet0/1口,IP分别为10.137.186.68、192.168.200.1。
4.第371行,虚拟路由的配置:
ip vrouter \
snatrule id 1 from \ ip route 192.168.11.0/24 192.168.200.2 ip route 192.168.12.0/24 192.168.201.2 ip route 192.168.13.0/24 192.168.202.2 ip route 192.168.14.0/24 192.168.203.2 ip route 10.136.46.0/24 10.137.186.249 exit
其中“snatrule id 1 from \”这句是“防火墙”--“NAT”--“源NAT”页面的配置。
“ ip route 192.168.11.0/24 192.168.200.2 ip route 192.168.12.0/24 192.168.201.2 ip route 192.168.13.0/24 192.168.202.2 ip route 192.168.14.0/24 192.168.203.2
ip route 10.136.46.0/24 10.137.186.249”这段是“网络”--“路由”--“目的路由”的设置。
若车管所(10.137.186.*地址段)要跟不同的地址段(如10.136.46.23、192.168.11.*)通讯,需要添加虚拟路由,通过要网关跳转访问。
在上图中,“状态”一栏,我们看到绿色活动的只有6个,有3个未启用;再看“协议”一栏,“主机”和“直连”都是配置接口完毕后自动生成的,“静态”一栏只有2个。
一个是接入公安网交换机的ethernet0/0口。本来通讯服务器(10.137.186.62)的网关是10.137.186.249,是可以直接从webserviceIP(10.136.46.23)调取公安网机动车基本信息;现在将通讯服务器的网关设为车管所防火墙ethernet0/0口的IP(10.137.186.68),在这里就添加一个10.137.186.249的网关跳到10.136.46.*段,去获取公安网机动车基本信息。
另一个ethernet0/1口(IP设为192.168.200.1)是与通璟检测站的防火墙的ethernet0/0口连接的。这里设置的是10.137.186.*网段的机器要去访问通璟检测站192.168.11.*网段的机器,就要加一个192.168.200.2这个网关,也就是通璟检测站的防火墙的ethernet0/0的IP。
可以这么理解,逻辑不一定正确,但结果真确:
防火墙的不同接口相当于服务器上同时有几个网卡,不同网卡的网段是可以相互通信的。车管所的0/0、0/1口接入的网段分别是10.137.186.*和192.168.200.*这两个网段的机器是可以相互通信的;通璟检测站的0/0、0/1口接入的网段分别是192.168.200.*和192.168.11.*这两个网段的机器是可以相互通信的;风顺检测站的0/0、0/1口接入的网段分别是10.137.186.*和192.168.12.*这两个网段的机器是可以相互通信的。
这样子:车管所的机器要访问通璟检测站的机器,需要在0/1口添加一个目的地址是192.168.11.0、跳转网关是通璟防火墙0/0口的IP的虚拟路由;车管所的机器要访问风顺检测站的机器就不用添加虚拟路由,可直接访问;通璟检测站的机器要访问车管所的机器,