US536F,总部和外网配置问题

为了满足多个业务部门访问集团内网通过OTN专线，而访问外网走本地宽带的需求，可以利用现有的USG330V2路由器来实现。以下是具体的配置思路和步骤：

### 设备需求
1. **USG330V2 路由器**（已有）
2. **本地宽带连接**（需新增）

### 配置思路
1. **配置双WAN口**：一个WAN口连接OTN专线，另一个WAN口连接本地宽带。
2. **配置策略路由**：根据访问的目标地址（内网或外网），选择不同的出口。
3. **配置路由表**：确保内网流量走OTN专线，外网流量走本地宽带。
4. **确保安全策略**：防火墙规则和NAT配置。

### 配置步骤
#### 1. 配置接口
```plaintext
# 配置WAN1（连接OTN专线）
interface GigabitEthernet0/0/1
ip address <OTN_IP_Address> <Subnet_Mask>
description OTN_Connection
no shutdown

# 配置WAN2（连接本地宽带）
interface GigabitEthernet0/0/2
ip address <Broadband_IP_Address> <Subnet_Mask>
description Broadband_Connection
no shutdown
```

#### 2. 配置默认路由
```plaintext
# 配置OTN专线的默认路由
ip route-static 0.0.0.0 0.0.0.0 <OTN_Gateway> preference 10

# 配置本地宽带的默认路由
ip route-static 0.0.0.0 0.0.0.0 <Broadband_Gateway> preference 20
```

#### 3. 配置策略路由
```plaintext
# 创建策略路由
acl number 3001
rule 5 permit ip source <Internal_Network> destination <Internal_Network>

acl number 3002
rule 5 permit ip source <Internal_Network> destination any

# 策略路由配置
traffic-policy policy_route
match acl 3001
redirect ip-nexthop <OTN_Gateway>
match acl 3002
redirect ip-nexthop <Broadband_Gateway>
```

#### 4. 应用策略路由到接口
```plaintext
# 应用到内网接口
interface GigabitEthernet0/0/3
ip address <Internal_IP_Address> <Subnet_Mask>
traffic-policy policy_route inbound
```

#### 5. 配置安全策略和NAT
```plaintext
# 配置NAT（针对本地宽带出口）
nat address-group 1 <Broadband_IP_Address> <Subnet_Mask>
acl number 2000
rule 5 permit ip source <Internal_Network> destination any

# 应用NAT
nat-policy interzone trust untrust outbound
match acl 2000
action nat address-group 1
```

#### 6. 确保防火墙规则配置
```plaintext
# 配置内外网访问规则
security-policy
rule name allow_internal_to_external
source-zone trust
destination-zone untrust
action permit
rule name allow_internal_to_internal
source-zone trust
destination-zone trust
action permit
```

### 验证配置
1. **检查接口状态**：确保所有接口正常工作。
2. **验证路由**：检查路由表和策略路由是否正确。
3. **测试访问**：从内部网络测试对内网和外网的访问，确保流量走正确的出口。
4. **监控和调整**：通过日志和监控工具，观察流量情况，必要时调整配置。

通过以上步骤，可以有效地实现重庆分厂通过OTN专线访问集团内网，同时通过本地宽带访问外网，提升上网体验。