组网图形

    

组网需求

  • 如图1所示,某企业在网络边界处部署了FW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求。

具体需求如下:

  • 研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet,要求去往特定目的地址的流量必须经由相应的运营商来转发。
  • 当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免业务中断。

本举例中假设某企业从运营商ISP1和ISP2获取了如下信息:

项目

数据

说明

地址

1.1.1.1/24

运营商ISP1分配给企业的公网地址。

2.2.2.2/24

运营商ISP2分配给企业的公网地址。

默认网关

1.1.1.254

运营商ISP1提供的网关地址。

2.2.2.254

运营商ISP2提供的网关地址。

DNS服务器地址

9.9.9.9

运营商ISP1提供的DNS服务器地址。

11.11.11.11

运营商ISP2提供的DNS服务器地址。

地址池地址

1.1.1.10-1.1.1.12

运营商ISP1提供的地址池地址。

2.2.2.10-2.2.2.12

运营商ISP2提供的地址池地址。

配置思路

  • 1.配置接口的地址,并将接口加入相应的安全区域。在配置接口GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的地址时,分别指定默认网关为1.1.1.254和2.2.2.254。
  • 2.配置多条静态路由,使去往特定目的地址的流量经由相应的运营商来转发。
  • 3.配置安全策略,允许内部网络中的PC访问Internet。
  • 4.配置NAT策略,提供源地址转换功能。
  • 5.在运营商ISP1和ISP2网络的设备上配置回程路由,该配置由运营商完成,本举例中不作介绍。
  • 6.规划内部网络中PC的地址,并将内部网络中PC的网关设置为10.3.0.1、DNS服务器地址设置为9.9.9.9和11.11.11.11,该配置由网络管理员完成,本举例中不作介绍。

操作步骤

  • 1.配置接口IP地址和安全区域,完成网络基本参数配置。

  # 配置接口GigabitEthernet 1/0/1的IP地址。

<FW> system-view

[FW] interface GigabitEthernet 1/0/1

[FW-GigabitEthernet 1/0/1] ip address 1.1.1.1 24

[FW-GigabitEthernet 1/0/1] quit

  # 配置接口GigabitEthernet 1/0/3的IP地址。

[FW] interface GigabitEthernet 1/0/3

[FW-GigabitEthernet 1/0/3] ip address 10.3.0.1 24

[FW-GigabitEthernet 1/0/3] quit

  # 配置接口GigabitEthernet 1/0/7的IP地址。

[FW] interface GigabitEthernet 1/0/7

[FW-GigabitEthernet 1/0/7] ip address 2.2.2.2 24

[FW-GigabitEthernet 1/0/7] quit

  # 将接口GigabitEthernet 1/0/3加入Trust区域。

[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet 1/0/3

[FW-zone-trust] quit

  # 将接口GigabitEthernet 1/0/1加入isp1区域。

[FW] firewall zone name isp1

[FW-zone-isp1] set priority 10

[FW-zone-isp1] add interface GigabitEthernet 1/0/1

[FW-zone-isp1] quit

  # 将接口GigabitEthernet 1/0/7加入isp2区域。

[FW] firewall zone name isp2

[FW-zone-isp2] set priority 20

[FW-zone-isp2] add interface GigabitEthernet 1/0/7

[FW-zone-isp2] quit
  • 2.配置安全策略,允许私网指定网段与Internet进行报文交互。
[FW] security-policy

[FW-policy-security] rule name policy1

[FW-policy-security-rule-policy1] source-zone trust

[FW-policy-security-rule-policy1] destination-zone isp1

[FW-policy-security-rule-policy1] source-address 10.3.0.0 24

[FW-policy-security-rule-policy1] action permit

[FW-policy-security-rule-policy1] quit

[FW-policy-security] rule name policy2

[FW-policy-security-rule-policy2] source-zone trust

[FW-policy-security-rule-policy2] destination-zone isp2

[FW-policy-security-rule-policy2] source-address 10.3.0.0 24

[FW-policy-security-rule-policy2] action permit

[FW-policy-security-rule-policy2] quit

[FW-policy-security] quit
  • 3.配置NAT地址池。
[FW] nat address-group addressgroup1

[FW-address-group-addressgroup1] mode pat

[FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.12

[FW-address-group-addressgroup1] route enable

[FW-address-group-addressgroup1] quit

[FW] nat address-group addressgroup2

[FW-address-group-addressgroup2] mode pat

[FW-address-group-addressgroup2] section 0 2.2.2.10 2.2.2.12

[FW-address-group-addressgroup2] route enable

[FW-address-group-addressgroup2] quit
  • 4.配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
[FW] nat-policy

[FW-policy-nat] rule name policy_nat1

[FW-policy-nat-rule-policy_nat1] source-zone trust

[FW-policy-nat-rule-policy_nat1] destination-zone isp1

[FW-policy-nat-rule-policy_nat1] source-address 10.3.0.0 24

[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1

[FW-policy-nat-rule-policy_nat1] quit

[FW-policy-nat] rule name policy_nat2

[FW-policy-nat-rule-policy_nat2] source-zone trust

[FW-policy-nat-rule-policy_nat2] destination-zone isp2

[FW-policy-nat-rule-policy_nat2] source-address 10.3.0.0 24

[FW-policy-nat-rule-policy_nat2] action source-nat address-group addressgroup2

[FW-policy-nat-rule-policy_nat2] quit

[FW-policy-nat] quit
  • 5.配置静态路由。

说明:
此处假设去往1.1.2.0/24和1.1.3.0/24网段的报文经过ISP1转发,去往2.2.3.0/24和2.2.4.0/24网段的报文经过ISP2转发。这里只给出了四条静态路由的配置,具体使用时可能需指定多条静态路由,为特定目的地址配置明细路由,因此需要咨询运营商获取ISP所属网段信息。

[FW] ip route-static 1.1.2.0 24 1.1.1.254

[FW] ip route-static 1.1.3.0 24 1.1.1.254

[FW] ip route-static 2.2.3.0 24 2.2.2.254

[FW] ip route-static 2.2.4.0 24 2.2.2.254

防火墙双出口环境下私网用户通过NAPT访问Internet的更多相关文章

  1. Ubuntu环境下非root用户指定版本Python的安装及虚拟环境virtualenv的使用

    Ubuntu环境下非root用户指定版本Python的安装及虚拟环境virtualenv的使用 参考博客: https://blog.csdn.net/leviopku/article/details ...

  2. openstack环境下的虚拟机通过浮动IP访问后能ping通外网IP不能ping通域名

    1.环境简介 openstack环境下构造Ubuntu系统的VM,VM配置受管子网和自管子网,同时绑定浮动IP 2.通过浮动IP访问VM后,ping www.baidu.com失败,但是通过IP地址p ...

  3. HUAWEI防火墙双出口根据链路优先级主备备份

    组网图形 组网需求 通过配置根据链路优先级主备备份,FW可以在主接口链路故障时,使用备份接口链路转发流量,提高传输的可靠性. 如图1所示,企业从ISP1租用2条链路,带宽均为50M,从ISP2租用1条 ...

  4. HUAWEI防火墙双出口据链路带宽负载分担

    组网图形 组网需求 通过配置根据链路带宽负载分担,使流量按照带宽的比例分担到各链路上,保证带宽资源得到充分利用. 如图1所示,企业分别从ISP1和ISP2租用了一条链路,ISP1链路的带宽为100M, ...

  5. linux 环境下部署 Asp.Net Core 项目 访问 oralce 数据库

    1.ASP.NET Core 是一个跨平台的高性能开源框架,可以部署到Linux上,那项目部署在Linux上有哪些好处呢? 1.linux硬件需求小,大部分版本免费,成本低. 2.linux的用户管理 ...

  6. wamp环境下外网访问自己电脑自己写的网站

    首先我广州电信是对外封杀80端口的,但是内网可以用80端口访问, 可以将访问的端口改成81, apache的配置文件,httpd.conf 首先找到3个Listen 将80端口改成81 #Listen ...

  7. Window环境下RabbitMQ 添加用户、设置角色和权限

    基本上新增用户.角色和权限的方法都一样,大概如下: REM 添加一个帐号 密码 rabbitmqctl.bat add_user zhangfujun zhangfujun123 REM 添加角色 r ...

  8. Linux环境下为普通用户添加sudo权限

    系统环境:Centos6.5 1.背景: sudo是Linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部root命令的一个工具.Linux系统下,为了安全,一般来说我们操作都是在普通用户 ...

  9. SERVER 2012 R2 core域环境下批量创建用户

      Write by xiaoyang 转载请注明出处 步骤一:创建域 基本配置 1.         输入命令进入配置 2.         输入8进入网络配置 3.         选择要配置的网 ...

随机推荐

  1. 行业动态 | Apache Pulsar 对现代数据堆栈至关重要的四个原因

    与 Kafka 相比,Pulsar 的架构使它在跨地域复制.扩展.多租户和队列等方面具有重要的优势.   1 月 27 日,DataStax 宣布收购Kesque(Pulsar 即服务),加入到了 P ...

  2. Python 装饰器原理剖析

    以下内容仅用于帮助个人理解装饰器这个概念,案例可能并不准确. 什么是装饰器? 我们知道iPhone 应用商店中有成千上万的APP,我们也知道苹果系统每年都会大版本更新增加很多新功能.这些功能要想发挥出 ...

  3. javascript 十大经典排序

    首先生成一个数字数组: let arr = Array.from({length:20},x=>{return Math.ceil(Math.random()*10**2)}) console. ...

  4. JS相关基础

    1. ES5和ES6继承方式区别 ES5定义类以函数形式, 以prototype来实现继承 ES6以class形式定义类, 以extend形式继承 2. Generator了解 ES6 提供的一种异步 ...

  5. js异步回调Async/Await与Promise区别 新学习使用Async/Await

    Promise,我们了解到promise是ES6为解决异步回调而生,避免出现这种回调地狱,那么为何又需要Async/Await呢?你是不是和我一样对Async/Await感兴趣以及想知道如何使用,下面 ...

  6. oracle 中的左外连接、右外连接、全连接

    左外连接 左外连接 全连接1.左外连接:表1 left [outer] join 表1 on 条件 在等值连接的基础上会把表1中的其他内容也展示出来 而表2只会显示符合条件的内容 . outer 可省 ...

  7. LDAP启动TLS 完整操作流程

    配置LDAP启动TLS 阅读本文之前,建议初学的小伙伴先看一下上一篇:完整的 LDAP + phpLDAPadmin安装部署流程 (ubuntu18.04) 以下正文: 接下来的操作承接上文,还是在同 ...

  8. 肝了很久,冰河整理出这份4万字的SpringCloud与SpringCloudAlibaba学习笔记!!

    写在前面 不少小伙伴让我整理下有关SpringCloud和SpringCloudAlibaba的知识点,经过3天的收集和整理,冰河整理出这份4万字的SpringCloud与SpringCloudAli ...

  9. 树莓派4B安装官方Ubuntu20 Server版(64位)

    欢迎访问我的GitHub https://github.com/zq2599/blog_demos 内容:所有原创文章分类汇总及配套源码,涉及Java.Docker.Kubernetes.DevOPS ...

  10. Linux 虚拟文件系统四大对象:超级块、inode、dentry、file之间关系

    更多嵌入式原创文章,请关注公众号:一口Linux 一:文件系统 1. 什么是文件系统? 操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统. 通常文件系统是用于存储和组织文件的一 ...