防火牆雙出口環境下私網用戶通過NAPT訪問Internet
組網圖形
組網需求
- 如圖1所示,某企業在網絡邊界處部署了FW作為安全網關,並分別從運營商ISP1和ISP2處購買了寬帶上網服務,實現內部網絡接入Internet的需求。
具體需求如下:
- 研發部門和市場部門中的PC可以通過運營商ISP1和ISP2訪問Internet,要求去往特定目的地址的流量必須經由相應的運營商來轉發。
- 當一條鏈路出現故障時,流量可以被及時切換到另一條鏈路上,避免業務中斷。
本舉例中假設某企業從運營商ISP1和ISP2獲取了如下信息:
|
項目 |
數據 |
說明 |
|
|---|---|---|---|
|
地址 |
1.1.1.1/24 |
運營商ISP1分配給企業的公網地址。 |
|
|
2.2.2.2/24 |
運營商ISP2分配給企業的公網地址。 |
||
|
默認網關 |
1.1.1.254 |
運營商ISP1提供的網關地址。 |
|
|
2.2.2.254 |
運營商ISP2提供的網關地址。 |
||
|
DNS服務器地址 |
9.9.9.9 |
運營商ISP1提供的DNS服務器地址。 |
|
|
11.11.11.11 |
運營商ISP2提供的DNS服務器地址。 |
||
|
地址池地址 |
1.1.1.10-1.1.1.12 |
運營商ISP1提供的地址池地址。 |
|
|
2.2.2.10-2.2.2.12 |
運營商ISP2提供的地址池地址。 |
||
配置思路
- 1.配置接口的地址,並將接口加入相應的安全區域。在配置接口GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的地址時,分別指定默認網關為1.1.1.254和2.2.2.254。
- 2.配置多條靜態路由,使去往特定目的地址的流量經由相應的運營商來轉發。
- 3.配置安全策略,允許內部網絡中的PC訪問Internet。
- 4.配置NAT策略,提供源地址轉換功能。
- 5.在運營商ISP1和ISP2網絡的設備上配置回程路由,該配置由運營商完成,本舉例中不作介紹。
- 6.規劃內部網絡中PC的地址,並將內部網絡中PC的網關設置為10.3.0.1、DNS服務器地址設置為9.9.9.9和11.11.11.11,該配置由網絡管理員完成,本舉例中不作介紹。
操作步驟
- 1.配置接口IP地址和安全區域,完成網絡基本參數配置。
# 配置接口GigabitEthernet 1/0/1的IP地址。
<FW> system-view [FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet 1/0/1] ip address 1.1.1.1 24 [FW-GigabitEthernet 1/0/1] quit
# 配置接口GigabitEthernet 1/0/3的IP地址。
[FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet 1/0/3] ip address 10.3.0.1 24 [FW-GigabitEthernet 1/0/3] quit
# 配置接口GigabitEthernet 1/0/7的IP地址。
[FW] interface GigabitEthernet 1/0/7 [FW-GigabitEthernet 1/0/7] ip address 2.2.2.2 24 [FW-GigabitEthernet 1/0/7] quit
# 將接口GigabitEthernet 1/0/3加入Trust區域。
[FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/3 [FW-zone-trust] quit
# 將接口GigabitEthernet 1/0/1加入isp1區域。
[FW] firewall zone name isp1 [FW-zone-isp1] set priority 10 [FW-zone-isp1] add interface GigabitEthernet 1/0/1 [FW-zone-isp1] quit
# 將接口GigabitEthernet 1/0/7加入isp2區域。
[FW] firewall zone name isp2 [FW-zone-isp2] set priority 20 [FW-zone-isp2] add interface GigabitEthernet 1/0/7 [FW-zone-isp2] quit
- 2.配置安全策略,允許私網指定網段與Internet進行報文交互。
[FW] security-policy [FW-policy-security] rule name policy1 [FW-policy-security-rule-policy1] source-zone trust [FW-policy-security-rule-policy1] destination-zone isp1 [FW-policy-security-rule-policy1] source-address 10.3.0.0 24 [FW-policy-security-rule-policy1] action permit [FW-policy-security-rule-policy1] quit [FW-policy-security] rule name policy2 [FW-policy-security-rule-policy2] source-zone trust [FW-policy-security-rule-policy2] destination-zone isp2 [FW-policy-security-rule-policy2] source-address 10.3.0.0 24 [FW-policy-security-rule-policy2] action permit [FW-policy-security-rule-policy2] quit [FW-policy-security] quit
- 3.配置NAT地址池。
[FW] nat address-group addressgroup1 [FW-address-group-addressgroup1] mode pat [FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.12 [FW-address-group-addressgroup1] route enable [FW-address-group-addressgroup1] quit [FW] nat address-group addressgroup2 [FW-address-group-addressgroup2] mode pat [FW-address-group-addressgroup2] section 0 2.2.2.10 2.2.2.12 [FW-address-group-addressgroup2] route enable [FW-address-group-addressgroup2] quit
- 4.配置源NAT策略,實現私網指定網段訪問Internet時自動進行源地址轉換。
[FW] nat-policy [FW-policy-nat] rule name policy_nat1 [FW-policy-nat-rule-policy_nat1] source-zone trust [FW-policy-nat-rule-policy_nat1] destination-zone isp1 [FW-policy-nat-rule-policy_nat1] source-address 10.3.0.0 24 [FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1 [FW-policy-nat-rule-policy_nat1] quit [FW-policy-nat] rule name policy_nat2 [FW-policy-nat-rule-policy_nat2] source-zone trust [FW-policy-nat-rule-policy_nat2] destination-zone isp2 [FW-policy-nat-rule-policy_nat2] source-address 10.3.0.0 24 [FW-policy-nat-rule-policy_nat2] action source-nat address-group addressgroup2 [FW-policy-nat-rule-policy_nat2] quit [FW-policy-nat] quit
- 5.配置靜態路由。
說明:
此處假設去往1.1.2.0/24和1.1.3.0/24網段的報文經過ISP1轉發,去往2.2.3.0/24和2.2.4.0/24網段的報文經過ISP2轉發。這裡只給出了四條靜態路由的配置,具體使用時可能需指定多條靜態路由,為特定目的地址配置明細路由,因此需要諮詢運營商獲取ISP所屬網段信息。
[FW] ip route-static 1.1.2.0 24 1.1.1.254 [FW] ip route-static 1.1.3.0 24 1.1.1.254 [FW] ip route-static 2.2.3.0 24 2.2.2.254 [FW] ip route-static 2.2.4.0 24 2.2.2.254
