防火牆雙出口環境下私網使用者通過NAPT訪問Internet

上古南城發表於2021-04-20

組網圖形

組網需求

如圖1所示，某企業在網路邊界處部署了FW作為安全閘道器，並分別從運營商ISP1和ISP2處購買了寬頻上網服務，實現內部網路接入Internet的需求。

具體需求如下：

研發部門和市場部門中的PC可以通過運營商ISP1和ISP2訪問Internet，要求去往特定目的地址的流量必須經由相應的運營商來轉發。
當一條鏈路出現故障時，流量可以被及時切換到另一條鏈路上，避免業務中斷。

本舉例中假設某企業從運營商ISP1和ISP2獲取瞭如下資訊：

專案	資料	說明
地址	1.1.1.1/24	運營商ISP1分配給企業的公網地址。
地址	2.2.2.2/24	運營商ISP2分配給企業的公網地址。
預設閘道器	1.1.1.254	運營商ISP1提供的閘道器地址。
預設閘道器	2.2.2.254	運營商ISP2提供的閘道器地址。
DNS伺服器地址	9.9.9.9	運營商ISP1提供的DNS伺服器地址。
DNS伺服器地址	11.11.11.11	運營商ISP2提供的DNS伺服器地址。
地址池地址	1.1.1.10-1.1.1.12	運營商ISP1提供的地址池地址。
地址池地址	2.2.2.10-2.2.2.12	運營商ISP2提供的地址池地址。

配置思路

1.配置介面的地址，並將介面加入相應的安全區域。在配置介面GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的地址時，分別指定預設閘道器為1.1.1.254和2.2.2.254。
2.配置多條靜態路由，使去往特定目的地址的流量經由相應的運營商來轉發。
3.配置安全策略，允許內部網路中的PC訪問Internet。
4.配置NAT策略，提供源地址轉換功能。
5.在運營商ISP1和ISP2網路的裝置上配置回程路由，該配置由運營商完成，本舉例中不作介紹。
6.規劃內部網路中PC的地址，並將內部網路中PC的閘道器設定為10.3.0.1、DNS伺服器地址設定為9.9.9.9和11.11.11.11，該配置由網路管理員完成，本舉例中不作介紹。

操作步驟

1.配置介面IP地址和安全區域，完成網路基本引數配置。

　　# 配置介面GigabitEthernet 1/0/1的IP地址。

<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet 1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet 1/0/1] quit

　　# 配置介面GigabitEthernet 1/0/3的IP地址。

[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet 1/0/3] ip address 10.3.0.1 24
[FW-GigabitEthernet 1/0/3] quit

　　# 配置介面GigabitEthernet 1/0/7的IP地址。

[FW] interface GigabitEthernet 1/0/7
[FW-GigabitEthernet 1/0/7] ip address 2.2.2.2 24
[FW-GigabitEthernet 1/0/7] quit

　　# 將介面GigabitEthernet 1/0/3加入Trust區域。

[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit

　　# 將介面GigabitEthernet 1/0/1加入isp1區域。

[FW] firewall zone name isp1
[FW-zone-isp1] set priority 10
[FW-zone-isp1] add interface GigabitEthernet 1/0/1
[FW-zone-isp1] quit

　　# 將介面GigabitEthernet 1/0/7加入isp2區域。

[FW] firewall zone name isp2
[FW-zone-isp2] set priority 20
[FW-zone-isp2] add interface GigabitEthernet 1/0/7
[FW-zone-isp2] quit

2.配置安全策略，允許私網指定網段與Internet進行報文互動。

[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone trust
[FW-policy-security-rule-policy1] destination-zone isp1
[FW-policy-security-rule-policy1] source-address 10.3.0.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[FW-policy-security] rule name policy2
[FW-policy-security-rule-policy2] source-zone trust
[FW-policy-security-rule-policy2] destination-zone isp2
[FW-policy-security-rule-policy2] source-address 10.3.0.0 24
[FW-policy-security-rule-policy2] action permit
[FW-policy-security-rule-policy2] quit
[FW-policy-security] quit

3.配置NAT地址池。

[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.12
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit
[FW] nat address-group addressgroup2
[FW-address-group-addressgroup2] mode pat
[FW-address-group-addressgroup2] section 0 2.2.2.10 2.2.2.12
[FW-address-group-addressgroup2] route enable
[FW-address-group-addressgroup2] quit

4.配置源NAT策略，實現私網指定網段訪問Internet時自動進行源地址轉換。

[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone trust
[FW-policy-nat-rule-policy_nat1] destination-zone isp1
[FW-policy-nat-rule-policy_nat1] source-address 10.3.0.0 24
[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] rule name policy_nat2
[FW-policy-nat-rule-policy_nat2] source-zone trust
[FW-policy-nat-rule-policy_nat2] destination-zone isp2
[FW-policy-nat-rule-policy_nat2] source-address 10.3.0.0 24
[FW-policy-nat-rule-policy_nat2] action source-nat address-group addressgroup2
[FW-policy-nat-rule-policy_nat2] quit
[FW-policy-nat] quit

5.配置靜態路由。

說明：
此處假設去往1.1.2.0/24和1.1.3.0/24網段的報文經過ISP1轉發，去往2.2.3.0/24和2.2.4.0/24網段的報文經過ISP2轉發。這裡只給出了四條靜態路由的配置，具體使用時可能需指定多條靜態路由，為特定目的地址配置明細路由，因此需要諮詢運營商獲取ISP所屬網段資訊。

[FW] ip route-static 1.1.2.0 24 1.1.1.254
[FW] ip route-static 1.1.3.0 24 1.1.1.254
[FW] ip route-static 2.2.3.0 24 2.2.2.254
[FW] ip route-static 2.2.4.0 24 2.2.2.254

wampserver搭建站點允許訪問通過防火牆的設定方法
2018-06-26
Server防火牆
HUAWEI防火牆雙出口據鏈路頻寬負載分擔
2021-04-30
防火牆負載
itm6中透過防火牆訪問tep browser問題
2009-01-20
防火牆
配置防火牆允許從外網訪問內網oracle
2016-01-30
防火牆內網Oracle
使用Tor繞過防火牆進行遠端匿名訪問
2020-08-19
防火牆
在防火牆環境下DNS的安裝與設定(轉)
2007-08-11
防火牆DNS
HUAWEI防火牆通過L2TP隧道讓外出員工訪問公司內網的各種資源
2021-05-31
防火牆內網
win10系統下防火牆阻止程式訪問網路連線的方法
2019-03-17
Win10防火牆
HUAWEI防火牆雙出口根據鏈路優先順序主備備份
2021-04-23
防火牆
Windows開啟防火牆後SAP不能訪問
2010-04-04
Windows防火牆
選用單防火牆DMZ還是雙防火牆DMZ(轉)
2007-08-13
防火牆
linux 防火牆（firewall）轉發實現外網伺服器通過中間伺服器訪問內網資料庫
2021-11-23
Linux防火牆伺服器內網資料庫
Oracle EM Https WIndows不能訪問防火牆配置
2013-10-21
OracleHTTPWindows防火牆
使用cman（Connection Manager）穿越防火牆訪問oracle
2011-09-28
防火牆Oracle
Quidway Eudemon 系列防火牆增加IP訪問
2010-08-26
UI防火牆
【linux環境配置】設定linux通過主機名訪問區域網主機
2017-06-27
Linux
新手學堂：防火牆概念與訪問控制列表(轉)
2007-08-15
防火牆
雙網路卡環境下如何內網外網同時用
2019-06-28
內網
[CentOS Python系列] 五.阿里雲部署web環境及通過IP地址訪問伺服器網頁
2018-02-24
CentOSPython阿里Web伺服器網頁
linux下的防火牆
2011-09-02
Linux防火牆
防火牆埠（下）（轉載）
2007-06-28
防火牆
nginx反向代理、負載均衡配置與linux環境下的安裝及通過ip和域名訪問nginx
2018-10-11
Nginx負載Linux
搭建基於netfilter/iptables的防火牆實驗環境(轉)
2007-08-13
Filter防火牆
轉載：總結：oracle穿過防火牆的問題
2005-09-19
Oracle防火牆
hadoop不能互相訪問和linux防火牆守護程式
2020-09-10
HadoopLinux防火牆
Nmap繞過防火牆掃描
2020-10-10
防火牆
RAC 環境中 gc block lost 和私網通訊效能問題的診斷 (文件 ID 1674865.1)
2016-12-13
GCBloC
【AWS】通過對等網路打通VPC訪問
2021-11-29
nginx環境下，mediawiki靜態訪問路徑設定
2016-11-01
Nginx
防火牆 | 網路協議
2020-11-09
防火牆協議
rmi、防火牆與網閘
2008-07-21
防火牆
打造雙劍合璧的 XSS 前端防火牆
2015-09-30
前端防火牆
Kubernetes node的防火牆問題導致pod ip無法訪問
2017-07-06
防火牆
CentOS下開放防火牆埠
2016-01-20
CentOS防火牆
通過Oracle Gateways 訪問Sybase
2010-05-20
OracleGateway
【MOS】RAC 環境中 gc block lost 和私網通訊效能問題的診斷 (文件 ID 1674865.1)
2017-06-24
GCBloC
WAb防火牆與傳統防火牆
2022-12-30
防火牆
多使用者環境下GOPATH的設定問題
2019-12-03
Go

防火牆雙出口環境下私網使用者通過NAPT訪問Internet

相關文章