華為USG6000防火牆在多個運營商接入Internet,是如何部署的呢?帶著這個疑問,今天通過一個案例簡單瞭解部署方法。
某高校在網絡邊緣部署了FW作為安全網關,要求學生網絡中的PC只能通過教育網訪問Internet,教師網絡中的PC只能通過運營商訪問Internet。
根據以上的需求,通過ENSP模擬以上的環境,拓撲圖如下:
配置思路
- 新建兩個不同優先級的安全區域,分別把兩個運營商加入到不同的安全區域中
- 把學生網絡和教師網絡的加入到trust安全區域中
- 配置學生網絡和教師網絡接口IP地址(網關)
- 配置安全策略,學生網絡從ISP1出去,教師網絡從ISP2出去
- 配置NAT地址
提示:FW1的GE1/0/2這邊是採用動態獲取地址,具體的配置請參考這篇文章
配置步驟
1、分別把兩個運營商劃分到不同的安全區域。
<code>[FW1]firewall zone name ISP1 #新增安全區域ISP1 [FW1-zone-ISP1]set priority 6 #設置安全區域優先級 [FW1-zone-ISP1] add interface GigabitEthernet1/0/2 #把接口1/0/2加入到ISP1安全區域中 [FW1]firewall zone ISP2 [FW1-zone-ISP2]set priority 7 [FW1-zone-ISP2] add interface GigabitEthernet1/0/3/<code>
2、把接口1/0/1和接口0/0/0加入到trust安全區域
<code>[FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet 1/0/1 [FW1-zone-trust]add interface GigabitEthernet 0/0/0/<code>
3、配置接口1/0/1和接口0/0/0的IP地址
<code>[FW1]interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1]ip address 10.3.0.1 24 [FW1]interface GigabitEthernet 0/0/0 [FW1-GigabitEthernet0/0/0]ip address 10.3.1.1 24/<code>
4、配置安全策略,學生網絡從ISP1出去上互聯網,教師網絡從ISP2出去上互聯網。
<code>[FW1]security-policy #進入安全策略配置模式 [FW1-policy-security]rule name student_to_ISP1 #定義一條安全策略名為student_to_ISP1的規則 [FW1-policy-security-rule-student_to_ISP1]source-zone trust #定義源安全區域為trust [FW1-policy-security-rule-student_to_ISP1]source-address 10.3.0.0 24 #定義源IP地址 [FW1-policy-security-rule-student_to_ISP1]destination-zone ISP1 #定義目的安全區域為 ISP1 [FW1-policy-security-rule-student_to_ISP1]action permit #允許所有流量通過 [FW1-policy-security]rule name teacher_to_ISP2 [FW1-policy-security-rule-teacher_to_ISP2]source-zone trust [FW1-policy-security-rule-teacher_to_ISP2]source-address 10.3.1.0 24 [FW1-policy-security-rule-teacher_to_ISP2]destination-zone ISP2 [FW1-policy-security-rule-teacher_to_ISP2]action permit/<code>
這裡只是粗略的把全部流量放通了,實際工作中是根據業務可以更加細緻的限制那些流量通過。
5、配置NAT地址池
<code>[FW1]nat address-group ISP1_address #配置ISP1 NAT地址池 [FW1-address-group-ISP1_address] section 0 192.168.112.102 192.168.112.104 [FW1]nat address-group ISP2_address [FW1-address-group-ISP1_address] section 0 192.168.113.102 192.168.113.104/<code>
6、配置NAT轉發策略
<code>[FW1-policy-nat] student_nat #定義nat轉發策略名稱 [FW1-policy-nat-rule-student_nat]destination-zone ISP1 #目的類型指定到ISP1 [FW1-policy-nat-rule-student_nat]action source-nat address-group ISP1_address #關聯NAT地址池 [FW1-policy-nat] teacher_nat [FW1-policy-nat-rule-teacher_nat]destination-zone ISP2 [FW1-policy-nat-teacher_nat]action source-nat address-group ISP2_address/<code>
驗證結果
從學生網絡中的PC1去訪問互聯網,能夠正常訪問。