防火墙双出口环境下私网用户通过NAPT访问Internet
组网图形

组网需求
- 如图1所示,某企业在网络边界处部署了FW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求。
具体需求如下:
- 研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet,要求去往特定目的地址的流量必须经由相应的运营商来转发。
- 当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免业务中断。
本举例中假设某企业从运营商ISP1和ISP2获取了如下信息:
|
项目 |
数据 |
说明 |
|
|---|---|---|---|
|
地址 |
1.1.1.1/24 |
运营商ISP1分配给企业的公网地址。 |
|
|
2.2.2.2/24 |
运营商ISP2分配给企业的公网地址。 |
||
|
默认网关 |
1.1.1.254 |
运营商ISP1提供的网关地址。 |
|
|
2.2.2.254 |
运营商ISP2提供的网关地址。 |
||
|
DNS服务器地址 |
9.9.9.9 |
运营商ISP1提供的DNS服务器地址。 |
|
|
11.11.11.11 |
运营商ISP2提供的DNS服务器地址。 |
||
|
地址池地址 |
1.1.1.10-1.1.1.12 |
运营商ISP1提供的地址池地址。 |
|
|
2.2.2.10-2.2.2.12 |
运营商ISP2提供的地址池地址。 |
||
配置思路
- 1.配置接口的地址,并将接口加入相应的安全区域。在配置接口GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的地址时,分别指定默认网关为1.1.1.254和2.2.2.254。
- 2.配置多条静态路由,使去往特定目的地址的流量经由相应的运营商来转发。
- 3.配置安全策略,允许内部网络中的PC访问Internet。
- 4.配置NAT策略,提供源地址转换功能。
- 5.在运营商ISP1和ISP2网络的设备上配置回程路由,该配置由运营商完成,本举例中不作介绍。
- 6.规划内部网络中PC的地址,并将内部网络中PC的网关设置为10.3.0.1、DNS服务器地址设置为9.9.9.9和11.11.11.11,该配置由网络管理员完成,本举例中不作介绍。
操作步骤
- 1.配置接口IP地址和安全区域,完成网络基本参数配置。
# 配置接口GigabitEthernet 1/0/1的IP地址。
<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet 1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet 1/0/1] quit
# 配置接口GigabitEthernet 1/0/3的IP地址。
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet 1/0/3] ip address 10.3.0.1 24
[FW-GigabitEthernet 1/0/3] quit
# 配置接口GigabitEthernet 1/0/7的IP地址。
[FW] interface GigabitEthernet 1/0/7
[FW-GigabitEthernet 1/0/7] ip address 2.2.2.2 24
[FW-GigabitEthernet 1/0/7] quit
# 将接口GigabitEthernet 1/0/3加入Trust区域。
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
# 将接口GigabitEthernet 1/0/1加入isp1区域。
[FW] firewall zone name isp1
[FW-zone-isp1] set priority 10
[FW-zone-isp1] add interface GigabitEthernet 1/0/1
[FW-zone-isp1] quit
# 将接口GigabitEthernet 1/0/7加入isp2区域。
[FW] firewall zone name isp2
[FW-zone-isp2] set priority 20
[FW-zone-isp2] add interface GigabitEthernet 1/0/7
[FW-zone-isp2] quit
- 2.配置安全策略,允许私网指定网段与Internet进行报文交互。
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone trust
[FW-policy-security-rule-policy1] destination-zone isp1
[FW-policy-security-rule-policy1] source-address 10.3.0.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[FW-policy-security] rule name policy2
[FW-policy-security-rule-policy2] source-zone trust
[FW-policy-security-rule-policy2] destination-zone isp2
[FW-policy-security-rule-policy2] source-address 10.3.0.0 24
[FW-policy-security-rule-policy2] action permit
[FW-policy-security-rule-policy2] quit
[FW-policy-security] quit
- 3.配置NAT地址池。
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.12
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit
[FW] nat address-group addressgroup2
[FW-address-group-addressgroup2] mode pat
[FW-address-group-addressgroup2] section 0 2.2.2.10 2.2.2.12
[FW-address-group-addressgroup2] route enable
[FW-address-group-addressgroup2] quit
- 4.配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone trust
[FW-policy-nat-rule-policy_nat1] destination-zone isp1
[FW-policy-nat-rule-policy_nat1] source-address 10.3.0.0 24
[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] rule name policy_nat2
[FW-policy-nat-rule-policy_nat2] source-zone trust
[FW-policy-nat-rule-policy_nat2] destination-zone isp2
[FW-policy-nat-rule-policy_nat2] source-address 10.3.0.0 24
[FW-policy-nat-rule-policy_nat2] action source-nat address-group addressgroup2
[FW-policy-nat-rule-policy_nat2] quit
[FW-policy-nat] quit
- 5.配置静态路由。
说明:
此处假设去往1.1.2.0/24和1.1.3.0/24网段的报文经过ISP1转发,去往2.2.3.0/24和2.2.4.0/24网段的报文经过ISP2转发。这里只给出了四条静态路由的配置,具体使用时可能需指定多条静态路由,为特定目的地址配置明细路由,因此需要咨询运营商获取ISP所属网段信息。
[FW] ip route-static 1.1.2.0 24 1.1.1.254
[FW] ip route-static 1.1.3.0 24 1.1.1.254
[FW] ip route-static 2.2.3.0 24 2.2.2.254
[FW] ip route-static 2.2.4.0 24 2.2.2.254
防火墙双出口环境下私网用户通过NAPT访问Internet的更多相关文章
- Ubuntu环境下非root用户指定版本Python的安装及虚拟环境virtualenv的使用
Ubuntu环境下非root用户指定版本Python的安装及虚拟环境virtualenv的使用 参考博客: https://blog.csdn.net/leviopku/article/details ...
- openstack环境下的虚拟机通过浮动IP访问后能ping通外网IP不能ping通域名
1.环境简介 openstack环境下构造Ubuntu系统的VM,VM配置受管子网和自管子网,同时绑定浮动IP 2.通过浮动IP访问VM后,ping www.baidu.com失败,但是通过IP地址p ...
- HUAWEI防火墙双出口根据链路优先级主备备份
组网图形 组网需求 通过配置根据链路优先级主备备份,FW可以在主接口链路故障时,使用备份接口链路转发流量,提高传输的可靠性. 如图1所示,企业从ISP1租用2条链路,带宽均为50M,从ISP2租用1条 ...
- HUAWEI防火墙双出口据链路带宽负载分担
组网图形 组网需求 通过配置根据链路带宽负载分担,使流量按照带宽的比例分担到各链路上,保证带宽资源得到充分利用. 如图1所示,企业分别从ISP1和ISP2租用了一条链路,ISP1链路的带宽为100M, ...
- linux 环境下部署 Asp.Net Core 项目 访问 oralce 数据库
1.ASP.NET Core 是一个跨平台的高性能开源框架,可以部署到Linux上,那项目部署在Linux上有哪些好处呢? 1.linux硬件需求小,大部分版本免费,成本低. 2.linux的用户管理 ...
- wamp环境下外网访问自己电脑自己写的网站
首先我广州电信是对外封杀80端口的,但是内网可以用80端口访问, 可以将访问的端口改成81, apache的配置文件,httpd.conf 首先找到3个Listen 将80端口改成81 #Listen ...
- Window环境下RabbitMQ 添加用户、设置角色和权限
基本上新增用户.角色和权限的方法都一样,大概如下: REM 添加一个帐号 密码 rabbitmqctl.bat add_user zhangfujun zhangfujun123 REM 添加角色 r ...
- Linux环境下为普通用户添加sudo权限
系统环境:Centos6.5 1.背景: sudo是Linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部root命令的一个工具.Linux系统下,为了安全,一般来说我们操作都是在普通用户 ...
- SERVER 2012 R2 core域环境下批量创建用户
Write by xiaoyang 转载请注明出处 步骤一:创建域 基本配置 1. 输入命令进入配置 2. 输入8进入网络配置 3. 选择要配置的网 ...
随机推荐
- 【DB宝19】在Docker中使用MySQL高可用之MHA
目录 一.MHA简介和架构 1.1 MHA简介 1.2 MHA工具包的组成 1.3 MHA架构 二.准备MHA环境 2.1 下载MHA镜像 2.2 编辑yml文件,创建MHA相关容器 2.3 安装do ...
- ELK的一点认识
为什么需要ELK: 一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构建一套集中式日志系统,可以 ...
- Vim的基本命令
Vi vi的两种模式 ①commad命令模式:无法输入任何东西,需要按下i进入编辑模式 ②edit编辑模式:按下esc退出到命令模式,在命令模式下按下wq [文件名] 可以退出并且成功的保存 //一些 ...
- 如何创建一个Maven项目(eclipse版本)
1 Maven概念 Maven是一个构建项目和管理项目依赖的工具 2 Maven运行原理 这里需要引入两个词汇,叫 本地仓库.中央仓库 本地仓库:就字面意思,存储在自己电脑上的文件夹(需要自己手动创建 ...
- Django框架的forms组件与一些补充
目录 一.多对多的三种创建方式 1. 全自动 2. 纯手撸(了解) 3. 半自动(强烈推荐) 二.forms组件 1. 如何使用forms组件 2. 使用forms组件校验数据 3. 使用forms组 ...
- 力扣896. 单调数列-C语言实现-简单题
题目 传送门 文本 如果数组是单调递增或单调递减的,那么它是单调的. 如果对于所有 i <= j,A[i] <= A[j],那么数组 A 是单调递增的. 如果对于所有 i <= j, ...
- 大数据开发-Spark-Streaming处理数据到mysql
前面一篇讲到streamin读取kafka数据加工处理后写到kafka数据,大数据开发-Spark-开发Streaming处理数据 && 写入Kafka是针对比如推荐领域,实时标签等场 ...
- POJ-3268(来回最短路+dijkstra算法)
Silver Cow Party POJ-3268 这题也是最短路的模板题,只不过需要进行两次求解最短路,因为涉及到来回的最短路之和. 该题的求解关键是:求解B-A的最短路时,可以看做A是起点,这就和 ...
- HDOJ-1160(最长上升子序列变形)
FatMouse's Speed HDOJ-1160 注意输出长度的时候不是输出dp[n] #include<bits/stdc++.h> using namespace std; con ...
- C#无损压缩图片
/// <summary> /// 根据指定尺寸得到按比例缩放的尺寸,返回true表示以更改尺寸 /// </summary> /// <param name=" ...