您現在的位置是：首頁 > 運動

華為防火牆原來是這樣應對多個運營商接入網際網路的，漲知識了

由攻城獅成長日記發表于運動2022-01-04

簡介1046、配置NAT轉發策略［FW1-policy-nat］ student_nat#定義nat轉發策略名稱［FW1-policy-nat-rule-student_nat］destination-zone ISP1 #目的型別指定到I

華為手機的防火牆如何關閉

華為USG6000防火牆在多個運營商接入Internet，是如何部署的呢？帶著這個疑問，今天透過一個案例簡單瞭解部署方法。

某高校在網路邊緣部署了FW作為安全閘道器，要求學生網路中的PC只能透過教育網訪問Internet，教師網路中的PC只能透過運營商訪問Internet。

根據以上的需求，透過ENSP模擬以上的環境，拓撲圖如下：

配置思路

新建兩個不同優先順序的安全區域，分別把兩個運營商加入到不同的安全區域中

把學生網路和教師網路的加入到trust安全區域中

配置學生網路和教師網路介面IP地址（閘道器）

配置安全策略，學生網路從ISP1出去，教師網路從ISP2出去

配置NAT地址

提示：FW1的GE1/0/2這邊是採用動態獲取地址，具體的配置請參考這篇文章

配置步驟

1、分別把兩個運營商劃分到不同的安全區域。

［FW1］firewall zone name ISP1 #新增安全區域ISP1［FW1-zone-ISP1］set priority 6 #設定安全區域優先順序［FW1-zone-ISP1］ add interface GigabitEthernet1/0/2 #把介面1/0/2加入到ISP1安全區域中［FW1］firewall zone ISP2［FW1-zone-ISP2］set priority 7［FW1-zone-ISP2］ add interface GigabitEthernet1/0/3

2、把介面1/0/1和介面0/0/0加入到trust安全區域

［FW1］firewall zone trust［FW1-zone-trust］add interface GigabitEthernet 1/0/1［FW1-zone-trust］add interface GigabitEthernet 0/0/0

3、配置介面1/0/1和介面0/0/0的IP地址

［FW1］interface GigabitEthernet 1/0/1［FW1-GigabitEthernet1/0/1］ip address 10。3。0。1 24［FW1］interface GigabitEthernet 0/0/0［FW1-GigabitEthernet0/0/0］ip address 10。3。1。1 24

4、配置安全策略，學生網路從ISP1出去上網際網路，教師網路從ISP2出去上網際網路。

［FW1］security-policy #進入安全策略配置模式［FW1-policy-security］rule name student_to_ISP1 #定義一條安全策略名為student_to_ISP1的規則［FW1-policy-security-rule-student_to_ISP1］source-zone trust #定義源安全區域為trust［FW1-policy-security-rule-student_to_ISP1］source-address 10。3。0。0 24 #定義源IP地址［FW1-policy-security-rule-student_to_ISP1］destination-zone ISP1 #定義目的安全區域為 ISP1［FW1-policy-security-rule-student_to_ISP1］action permit #允許所有流量透過［FW1-policy-security］rule name teacher_to_ISP2［FW1-policy-security-rule-teacher_to_ISP2］source-zone trust ［FW1-policy-security-rule-teacher_to_ISP2］source-address 10。3。1。0 24［FW1-policy-security-rule-teacher_to_ISP2］destination-zone ISP2［FW1-policy-security-rule-teacher_to_ISP2］action permit

這裡只是粗略的把全部流量放通了，實際工作中是根據業務可以更加細緻的限制那些流量透過。

5、配置NAT地址池

［FW1］nat address-group ISP1_address #配置ISP1 NAT地址池［FW1-address-group-ISP1_address］ section 0 192。168。112。102 192。168。112。104［FW1］nat address-group ISP2_address ［FW1-address-group-ISP1_address］ section 0 192。168。113。102 192。168。113。104

6、配置NAT轉發策略

［FW1-policy-nat］ student_nat #定義nat轉發策略名稱［FW1-policy-nat-rule-student_nat］destination-zone ISP1 #目的型別指定到ISP1［FW1-policy-nat-rule-student_nat］action source-nat address-group ISP1_address #關聯NAT地址池［FW1-policy-nat］ teacher_nat［FW1-policy-nat-rule-teacher_nat］destination-zone ISP2［FW1-policy-nat-teacher_nat］action source-nat address-group ISP2_address

驗證結果

從學生網路中的PC1去訪問網際網路，能夠正常訪問。