您現在的位置是:首頁 > 運動
華為防火牆原來是這樣應對多個運營商接入網際網路的,漲知識了
華為手機的防火牆如何關閉
華為USG6000防火牆在多個運營商接入Internet,是如何部署的呢?帶著這個疑問,今天透過一個案例簡單瞭解部署方法。
某高校在網路邊緣部署了FW作為安全閘道器,要求學生網路中的PC只能透過教育網訪問Internet,教師網路中的PC只能透過運營商訪問Internet。
根據以上的需求,透過ENSP模擬以上的環境,拓撲圖如下:
配置思路
新建兩個不同優先順序的安全區域,分別把兩個運營商加入到不同的安全區域中
把學生網路和教師網路的加入到trust安全區域中
配置學生網路和教師網路介面IP地址(閘道器)
配置安全策略,學生網路從ISP1出去,教師網路從ISP2出去
配置NAT地址
提示:FW1的GE1/0/2這邊是採用動態獲取地址,具體的配置請參考這篇文章
配置步驟
1、分別把兩個運營商劃分到不同的安全區域。
[FW1]firewall zone name ISP1 #新增安全區域ISP1[FW1-zone-ISP1]set priority 6 #設定安全區域優先順序[FW1-zone-ISP1] add interface GigabitEthernet1/0/2 #把介面1/0/2加入到ISP1安全區域中[FW1]firewall zone ISP2[FW1-zone-ISP2]set priority 7[FW1-zone-ISP2] add interface GigabitEthernet1/0/3
2、把介面1/0/1和介面0/0/0加入到trust安全區域
[FW1]firewall zone trust[FW1-zone-trust]add interface GigabitEthernet 1/0/1[FW1-zone-trust]add interface GigabitEthernet 0/0/0
3、配置介面1/0/1和介面0/0/0的IP地址
[FW1]interface GigabitEthernet 1/0/1[FW1-GigabitEthernet1/0/1]ip address 10。3。0。1 24[FW1]interface GigabitEthernet 0/0/0[FW1-GigabitEthernet0/0/0]ip address 10。3。1。1 24
4、配置安全策略,學生網路從ISP1出去上網際網路,教師網路從ISP2出去上網際網路。
[FW1]security-policy #進入安全策略配置模式[FW1-policy-security]rule name student_to_ISP1 #定義一條安全策略名為student_to_ISP1的規則[FW1-policy-security-rule-student_to_ISP1]source-zone trust #定義源安全區域為trust[FW1-policy-security-rule-student_to_ISP1]source-address 10。3。0。0 24 #定義源IP地址[FW1-policy-security-rule-student_to_ISP1]destination-zone ISP1 #定義目的安全區域為 ISP1[FW1-policy-security-rule-student_to_ISP1]action permit #允許所有流量透過[FW1-policy-security]rule name teacher_to_ISP2[FW1-policy-security-rule-teacher_to_ISP2]source-zone trust [FW1-policy-security-rule-teacher_to_ISP2]source-address 10。3。1。0 24[FW1-policy-security-rule-teacher_to_ISP2]destination-zone ISP2[FW1-policy-security-rule-teacher_to_ISP2]action permit
這裡只是粗略的把全部流量放通了,實際工作中是根據業務可以更加細緻的限制那些流量透過。
5、配置NAT地址池
[FW1]nat address-group ISP1_address #配置ISP1 NAT地址池[FW1-address-group-ISP1_address] section 0 192。168。112。102 192。168。112。104[FW1]nat address-group ISP2_address [FW1-address-group-ISP1_address] section 0 192。168。113。102 192。168。113。104
6、配置NAT轉發策略
[FW1-policy-nat] student_nat #定義nat轉發策略名稱[FW1-policy-nat-rule-student_nat]destination-zone ISP1 #目的型別指定到ISP1[FW1-policy-nat-rule-student_nat]action source-nat address-group ISP1_address #關聯NAT地址池[FW1-policy-nat] teacher_nat[FW1-policy-nat-rule-teacher_nat]destination-zone ISP2[FW1-policy-nat-teacher_nat]action source-nat address-group ISP2_address
驗證結果
從學生網路中的PC1去訪問網際網路,能夠正常訪問。
推薦文章
- 描繪美麗城鎮“五美”新圖景
據悉,自美麗城鎮建立以來,鹽官鎮共安置農戶594戶,目前,多個公寓房專案正在同時建設,預計可提供農戶安置房1700餘套...
- 食神生的財,這個財要有根,食神旺,身也強,財透了,就是大貴格
周易微學堂解析:這一段作者主要講了兩個方面,第一,食神生的財,這個財要有根,透一個就可以了,不必正偏財都透,關鍵是有根無根,比如乾:己酉 丙寅 甲子 丙寅,食神生財的,但是財沒有根,所以縱然他去做生意,賺了點錢,也發不了大財...
- 聚焦|冬天裡的世界盃,你準備好了嗎?
聯賽賽程緊湊導致了球員休息時間不足,直接影響了疲勞的緩解以及受傷之後的恢復,阿根廷隊主帥斯卡羅尼就希望他的國腳們向各自俱樂部申請不參加世界盃前的最後一輪聯賽,就是擔心在世界盃臨近的時候球隊再遭傷病減員,其他國家隊主帥和他一樣都會對此有所顧慮...