HUAWEI防火墙双出口环境下私网用户通过NAPT访问Internet
组网图形
组网需求
- 如图1所示,某企业在网络边界处部署了FW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求。
具体需求如下:
- 研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet,要求去往特定目的地址的流量必须经由相应的运营商来转发。
- 当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免业务中断。
本举例中假设某企业从运营商ISP1和ISP2获取了如下信息:
|
项目 |
数据 |
说明 | |
|---|---|---|---|
|
地址 |
1.1.1.1/24 |
运营商ISP1分配给企业的公网地址。 |
|
|
2.2.2.2/24 |
运营商ISP2分配给企业的公网地址。 |
||
|
默认网关 |
1.1.1.254 |
运营商ISP1提供的网关地址。 |
|
|
2.2.2.254 |
运营商ISP2提供的网关地址。 |
||
|
DNS服务器地址 |
9.9.9.9 |
运营商ISP1提供的DNS服务器地址。 |
|
|
11.11.11.11 |
运营商ISP2提供的DNS服务器地址。 |
||
|
地址池地址 |
1.1.1.10-1.1.1.12 |
运营商ISP1提供的地址池地址。 |
|
|
2.2.2.10-2.2.2.12 |
运营商ISP2提供的地址池地址。 |
||
配置思路
- 1.配置接口的地址,并将接口加入相应的安全区域。在配置接口GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的地址时,分别指定默认网关为1.1.1.254和2.2.2.254。
- 2.配置多条静态路由,使去往特定目的地址的流量经由相应的运营商来转发。
- 3.配置安全策略,允许内部网络中的PC访问Internet。
- 4.配置NAT策略,提供源地址转换功能。
- 5.在运营商ISP1和ISP2网络的设备上配置回程路由,该配置由运营商完成,本举例中不作介绍。
- 6.规划内部网络中PC的地址,并将内部网络中PC的网关设置为10.3.0.1、DNS服务器地址设置为9.9.9.9和11.11.11.11,该配置由网络管理员完成,本举例中不作介绍。
操作步骤
- 1.配置接口IP地址和安全区域,完成网络基本参数配置。
# 配置接口GigabitEthernet 1/0/1的IP地址。
1 2 3 4 | <FW> system-view[FW] interface GigabitEthernet 1/0/1[FW-GigabitEthernet 1/0/1] ip address 1.1.1.1 24[FW-GigabitEthernet 1/0/1] quit |
# 配置接口GigabitEthernet 1/0/3的IP地址。
1 2 3 | [FW] interface GigabitEthernet 1/0/3[FW-GigabitEthernet 1/0/3] ip address 10.3.0.1 24[FW-GigabitEthernet 1/0/3] quit |
# 配置接口GigabitEthernet 1/0/7的IP地址。
1 2 3 | [FW] interface GigabitEthernet 1/0/7[FW-GigabitEthernet 1/0/7] ip address 2.2.2.2 24[FW-GigabitEthernet 1/0/7] quit |
# 将接口GigabitEthernet 1/0/3加入Trust区域。
1 2 3 | [FW] firewall zone trust[FW-zone-trust] add interface GigabitEthernet 1/0/3[FW-zone-trust] quit |
# 将接口GigabitEthernet 1/0/1加入isp1区域。
1 2 3 4 | [FW] firewall zone name isp1[FW-zone-isp1] set priority 10[FW-zone-isp1] add interface GigabitEthernet 1/0/1[FW-zone-isp1] quit |
# 将接口GigabitEthernet 1/0/7加入isp2区域。
1 2 3 4 | [FW] firewall zone name isp2[FW-zone-isp2] set priority 20[FW-zone-isp2] add interface GigabitEthernet 1/0/7[FW-zone-isp2] quit |
- 2.配置安全策略,允许私网指定网段与Internet进行报文交互。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | [FW] security-policy[FW-policy-security] rule name policy1[FW-policy-security-rule-policy1] source-zone trust[FW-policy-security-rule-policy1] destination-zone isp1[FW-policy-security-rule-policy1] source-address 10.3.0.0 24[FW-policy-security-rule-policy1] action permit[FW-policy-security-rule-policy1] quit[FW-policy-security] rule name policy2[FW-policy-security-rule-policy2] source-zone trust[FW-policy-security-rule-policy2] destination-zone isp2[FW-policy-security-rule-policy2] source-address 10.3.0.0 24[FW-policy-security-rule-policy2] action permit[FW-policy-security-rule-policy2] quit[FW-policy-security] quit |
- 3.配置NAT地址池。
1 2 3 4 5 6 7 8 9 10 | [FW] nat address-group addressgroup1[FW-address-group-addressgroup1] mode pat[FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.12[FW-address-group-addressgroup1] route enable[FW-address-group-addressgroup1] quit[FW] nat address-group addressgroup2[FW-address-group-addressgroup2] mode pat[FW-address-group-addressgroup2] section 0 2.2.2.10 2.2.2.12[FW-address-group-addressgroup2] route enable[FW-address-group-addressgroup2] quit |
- 4.配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | [FW] nat-policy[FW-policy-nat] rule name policy_nat1[FW-policy-nat-rule-policy_nat1] source-zone trust[FW-policy-nat-rule-policy_nat1] destination-zone isp1[FW-policy-nat-rule-policy_nat1] source-address 10.3.0.0 24[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1[FW-policy-nat-rule-policy_nat1] quit[FW-policy-nat] rule name policy_nat2[FW-policy-nat-rule-policy_nat2] source-zone trust[FW-policy-nat-rule-policy_nat2] destination-zone isp2[FW-policy-nat-rule-policy_nat2] source-address 10.3.0.0 24[FW-policy-nat-rule-policy_nat2] action source-nat address-group addressgroup2[FW-policy-nat-rule-policy_nat2] quit[FW-policy-nat] quit |
- 5.配置静态路由。
说明:
此处假设去往1.1.2.0/24和1.1.3.0/24网段的报文经过ISP1转发,去往2.2.3.0/24和2.2.4.0/24网段的报文经过ISP2转发。这里只给出了四条静态路由的配置,具体使用时可能需指定多条静态路由,为特定目的地址配置明细路由,因此需要咨询运营商获取ISP所属网段信息。
1 2 3 4 | [FW] ip route-static 1.1.2.0 24 1.1.1.254[FW] ip route-static 1.1.3.0 24 1.1.1.254[FW] ip route-static 2.2.3.0 24 2.2.2.254[FW] ip route-static 2.2.4.0 24 2.2.2.254 |
********** 如果您认为这篇文章还不错或者有所收获,请点击右下角的【推荐】/【赞助】按钮,因为您的支持是我继续创作分享的最大动力! **********
作者:讲文张字
出处:https://www.cnblogs.com/zhangwencheng
版权:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出 原文链接
出处:https://www.cnblogs.com/zhangwencheng
版权:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出 原文链接
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· 上周热点回顾(2.24-3.2)