防火牆雙出口環境下私網使用者通過NAPT訪問Internet

上古南城發表於2021-04-20

組網圖形

    

組網需求

  • 如圖1所示,某企業在網路邊界處部署了FW作為安全閘道器,並分別從運營商ISP1和ISP2處購買了寬頻上網服務,實現內部網路接入Internet的需求。

具體需求如下:

  • 研發部門和市場部門中的PC可以通過運營商ISP1和ISP2訪問Internet,要求去往特定目的地址的流量必須經由相應的運營商來轉發。
  • 當一條鏈路出現故障時,流量可以被及時切換到另一條鏈路上,避免業務中斷。

本舉例中假設某企業從運營商ISP1和ISP2獲取瞭如下資訊:

專案

資料

說明

地址

1.1.1.1/24

運營商ISP1分配給企業的公網地址。

2.2.2.2/24

運營商ISP2分配給企業的公網地址。

預設閘道器

1.1.1.254

運營商ISP1提供的閘道器地址。

2.2.2.254

運營商ISP2提供的閘道器地址。

DNS伺服器地址

9.9.9.9

運營商ISP1提供的DNS伺服器地址。

11.11.11.11

運營商ISP2提供的DNS伺服器地址。

地址池地址

1.1.1.10-1.1.1.12

運營商ISP1提供的地址池地址。

2.2.2.10-2.2.2.12

運營商ISP2提供的地址池地址。

配置思路

  • 1.配置介面的地址,並將介面加入相應的安全區域。在配置介面GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的地址時,分別指定預設閘道器為1.1.1.254和2.2.2.254。
  • 2.配置多條靜態路由,使去往特定目的地址的流量經由相應的運營商來轉發。
  • 3.配置安全策略,允許內部網路中的PC訪問Internet。
  • 4.配置NAT策略,提供源地址轉換功能。
  • 5.在運營商ISP1和ISP2網路的裝置上配置回程路由,該配置由運營商完成,本舉例中不作介紹。
  • 6.規劃內部網路中PC的地址,並將內部網路中PC的閘道器設定為10.3.0.1、DNS伺服器地址設定為9.9.9.9和11.11.11.11,該配置由網路管理員完成,本舉例中不作介紹。

操作步驟

  • 1.配置介面IP地址和安全區域,完成網路基本引數配置。

  # 配置介面GigabitEthernet 1/0/1的IP地址。

<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet 1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet 1/0/1] quit

   # 配置介面GigabitEthernet 1/0/3的IP地址。

[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet 1/0/3] ip address 10.3.0.1 24
[FW-GigabitEthernet 1/0/3] quit

   # 配置介面GigabitEthernet 1/0/7的IP地址。

[FW] interface GigabitEthernet 1/0/7
[FW-GigabitEthernet 1/0/7] ip address 2.2.2.2 24
[FW-GigabitEthernet 1/0/7] quit

   # 將介面GigabitEthernet 1/0/3加入Trust區域。

[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit

   # 將介面GigabitEthernet 1/0/1加入isp1區域。

[FW] firewall zone name isp1
[FW-zone-isp1] set priority 10
[FW-zone-isp1] add interface GigabitEthernet 1/0/1
[FW-zone-isp1] quit

   # 將介面GigabitEthernet 1/0/7加入isp2區域。

[FW] firewall zone name isp2
[FW-zone-isp2] set priority 20
[FW-zone-isp2] add interface GigabitEthernet 1/0/7
[FW-zone-isp2] quit
  •  2.配置安全策略,允許私網指定網段與Internet進行報文互動。
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone trust
[FW-policy-security-rule-policy1] destination-zone isp1
[FW-policy-security-rule-policy1] source-address 10.3.0.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[FW-policy-security] rule name policy2
[FW-policy-security-rule-policy2] source-zone trust
[FW-policy-security-rule-policy2] destination-zone isp2
[FW-policy-security-rule-policy2] source-address 10.3.0.0 24
[FW-policy-security-rule-policy2] action permit
[FW-policy-security-rule-policy2] quit
[FW-policy-security] quit
  •  3.配置NAT地址池。
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.12
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit
[FW] nat address-group addressgroup2
[FW-address-group-addressgroup2] mode pat
[FW-address-group-addressgroup2] section 0 2.2.2.10 2.2.2.12
[FW-address-group-addressgroup2] route enable
[FW-address-group-addressgroup2] quit
  •  4.配置源NAT策略,實現私網指定網段訪問Internet時自動進行源地址轉換。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone trust
[FW-policy-nat-rule-policy_nat1] destination-zone isp1
[FW-policy-nat-rule-policy_nat1] source-address 10.3.0.0 24
[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] rule name policy_nat2
[FW-policy-nat-rule-policy_nat2] source-zone trust
[FW-policy-nat-rule-policy_nat2] destination-zone isp2
[FW-policy-nat-rule-policy_nat2] source-address 10.3.0.0 24
[FW-policy-nat-rule-policy_nat2] action source-nat address-group addressgroup2
[FW-policy-nat-rule-policy_nat2] quit
[FW-policy-nat] quit
  •  5.配置靜態路由。

說明:
此處假設去往1.1.2.0/24和1.1.3.0/24網段的報文經過ISP1轉發,去往2.2.3.0/24和2.2.4.0/24網段的報文經過ISP2轉發。這裡只給出了四條靜態路由的配置,具體使用時可能需指定多條靜態路由,為特定目的地址配置明細路由,因此需要諮詢運營商獲取ISP所屬網段資訊。

[FW] ip route-static 1.1.2.0 24 1.1.1.254
[FW] ip route-static 1.1.3.0 24 1.1.1.254
[FW] ip route-static 2.2.3.0 24 2.2.2.254
[FW] ip route-static 2.2.4.0 24 2.2.2.254

 

相關文章