经过快一天的努力宿舍终于能够上网了,太高兴了,经过这次配置防火墙的经历,我对路由有了另一种看法,也明白了问什么CCNA大量关注路由方面的知识,这是基础。
    在配置防火墙的过程中我遇到了很多问题,现在把它记录下来,以便以后查阅。学校刚刚接入两条电信100M,所以要在防火墙上配置负载均衡,同时还有NAT和DNS中继。我首先配置了防火墙的接口IP,这是比较简单的,然后我又配置DNS中继,开启DNS中继并且手动配置了电信提供的DNS服务器的IP,按照要求又添加了NDS包过滤规则,但是在最后测试时能够ping通百度的IP但是ping不通域名,很明显不能进行域名解析。最后打电话问锐捷客服,原来要把DNS规则放到第一条,第一个问题解决了。然后又配置NAT,我首先定义了地址池,然后又定义NAT规则,源地址为any目的地址为any,源地址转换为定义的NAT地址池,但是这样就不能进行两条链路的负载均衡,锐捷客服告诉我要把源地址转换为by_route。如果不进行负载均衡可以转换为定义的地址池。最后也是最重要的就是路由条目的添加,刚开始我们ping外网就是ping不通,原来是没有添加回环路由。链路探测的配置也比较简单,只要IP与所在接口一一对应即可。在整个配置过程中最应该注意的地方就是安全规则的先后顺序!