华为防火墙的策略路由

最新推荐文章于 2024-03-04 17:11:39 发布
最新推荐文章于 2024-03-04 17:11:39 发布
阅读量2.3k 收藏 25
点赞数 4
分类专栏: 网络设计与配置 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tony_long7483/article/details/117406150
版权

在这里插入图片描述

1.配置内网及DMZ区域的IP地址
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/3]ip add 10.1.2.1 24
[FW2-GigabitEthernet1/0/1]ip add 10.1.1.2 24
[FW2-GigabitEthernet1/0/3]ip add 10.1.2.2 24
在这里插入图片描述
在这里插入图片描述

2.配置外网的IP地址及其连通性
[FW1-GigabitEthernet1/0/2]ip add 20.1.1.1 24
[FW1-GigabitEthernet1/0/4]ip add 30.1.1.1 24
[FW2-GigabitEthernet1/0/2]ip add 30.1.2.2 24
[FW2-GigabitEthernet1/0/4]ip add 20.1.2.2 24
[ISP1-GigabitEthernet0/0/0]ip add 20.1.1.3 24
[ISP1-GigabitEthernet0/0/1]ip add 20.1.5.3 24
[ISP1-GigabitEthernet0/0/2]ip add 20.1.2.3 24
[ISP2-GigabitEthernet0/0/0]ip add 30.1.2.4 24
[ISP2-GigabitEthernet0/0/1]ip add 20.1.5.4 24
[ISP2-GigabitEthernet0/0/2]ip add 30.1.1.4 24
在这里插入图片描述

[ISP1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 20.1.5.254
[ISP2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 20.1.5.254
在这里插入图片描述
在这里插入图片描述

[ISP1]ospf
[ISP1-ospf-1]area 0
[ISP1-ospf-1-area-0.0.0.0]net 20.1.1.0 0.0.0.255
[ISP1-ospf-1-area-0.0.0.0]net 20.1.2.0 0.0.0.255
[ISP1-ospf-1-area-0.0.0.0]net 20.1.5.0 0.0.0.255
[ISP2]ospf
[ISP2-ospf-1]area 0
[ISP2-ospf-1-area-0.0.0.0]net 30.1.1.0 0.0.0.255
[ISP2-ospf-1-area-0.0.0.0]net 30.1.2.0 0.0.0.255
[ISP2-ospf-1-area-0.0.0.0]net 20.1.5.0 0.0.0.255
3.防火墙接口加入各自区域并放行ping命令,便于测试
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/1
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/2
[FW1-zone-untrust]add interface g1/0/4
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/3
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/2]service-manage ping permit
[FW1-GigabitEthernet1/0/3]service-manage ping permit
[FW1-GigabitEthernet1/0/4]service-manage ping permit
[FW2]firewall zone trust
[FW2-zone-trust]add interface g1/0/1
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface g1/0/2
[FW2-zone-untrust]add interface g1/0/4
[FW2]firewall zone dmz
[FW2-zone-dmz]add interface g1/0/3
[FW2-GigabitEthernet1/0/1]service-manage ping permit
[FW2-GigabitEthernet1/0/2]service-manage ping permit
[FW2-GigabitEthernet1/0/3]service-manage ping permit
[FW2-GigabitEthernet1/0/4]service-manage ping permit
4.配置默认出口路由
[FW1]ip route-static 0.0.0.0 0.0.0.0 20.1.1.3
[FW1]ip route-static 0.0.0.0 0.0.0.0 30.1.1.4 preference 100
[FW2]ip route-static 0.0.0.0 0.0.0.0 20.1.2.3
[FW2]ip route-static 0.0.0.0 0.0.0.0 30.1.2.4 preference 100
5.配置源NAT,使内网能够访问外网
[FW1]nat address-group nat_fw1
[FW1-address-group-nat_fw1]section 20.1.1.100 20.1.1.200
[FW1]nat-policy
[FW1-policy-nat-rule-source_fw1]source-zone trust local
[FW1-policy-nat-rule-source_fw1]destination-zone untrust
[FW1-policy-nat-rule-source_fw1]action source-nat address-group nat_fw1
[FW2]nat address-group nat_fw2
[FW2-address-group-nat_fw2]section 30.1.1.100 30.1.1.200
[FW2]nat-policy
[FW2-policy-nat]rule name source_fw2
[FW2-policy-nat-rule-source_fw2]source-zone local trust
[FW2-policy-nat-rule-source_fw2]destination-zone untrust
[FW2-policy-nat-rule-source_fw2]action source-nat address-group nat_fw2
6.配置IP-link功能
[FW1]ip-link check enable
[FW1] ip-link name ip_link1
[FW1-iplink-ip_link1]destination 20.1.1.3 interface GigabitEthernet 1/0/2 mode icmp
[FW1-iplink-ip_link1]destination 30.1.1.4 interface GigabitEthernet 1/0/3 mode icmp
[FW2]ip-link check enable
[FW2] ip-link name ip_link2
[FW2-iplink-ip_link2]destination 30.1.2.4 interface GigabitEthernet 1/0/2 mode icmp
[FW2-iplink-ip_link2]destination 20.1.2.3 interface GigabitEthernet 1/0/4 mode icmp
7.配置健康检查功能
[FW1]healthcheck enable
[FW1]healthcheck name isp1_health
[FW1-healthcheck-isp1_health]destination 20.1.1.3 interface g1/0/2 protocol icmp
[FW1]healthcheck name isp2_health
[FW1-healthcheck-isp2_health]destination 30.1.1.4 interface g1/0/4 protocol icmp
在这里插入图片描述

[FW2]healthcheck enable
[FW2]healthcheck name isp1_health
[FW2-healthcheck-isp1_health]destination 20.1.2.3 interface g1/0/4 protocol icmp
[FW2]healthcheck name isp2_health
[FW2-healthcheck-isp2_health]destination 30.1.2.4 interface g1/0/2 protocol icmp
8.配置接口带宽
[FW1-GigabitEthernet1/0/2]healthcheck isp1_health
[FW1-GigabitEthernet1/0/2]gateway 20.1.1.3
[FW1-GigabitEthernet1/0/2]bandwidth ingress 50000 threshold 90
[FW1-GigabitEthernet1/0/2]bandwidth egress 50000 threshold 90
[FW1-GigabitEthernet1/0/4]healthcheck isp2_health
[FW1-GigabitEthernet1/0/4]gateway 30.1.1.4
[FW1-GigabitEthernet1/0/4]bandwidth ingress 50000 threshold 90
[FW1-GigabitEthernet1/0/4]bandwidth egress 50000 threshold 90
[FW2-GigabitEthernet1/0/4]healthcheck isp1_health
[FW2-GigabitEthernet1/0/4]gateway 20.1.2.3
[FW2-GigabitEthernet1/0/4]bandwidth ingress 50000 threshold 90
[FW2-GigabitEthernet1/0/4]bandwidth egress 50000 threshold 90
[FW2-GigabitEthernet1/0/2]healthcheck isp2_health
[FW1-GigabitEthernet1/0/2]gateway 30.1.2.4
[FW1-GigabitEthernet1/0/2]bandwidth ingress 50000 threshold 90
[FW1-GigabitEthernet1/0/2]bandwidth egress 50000 threshold 90
9.配置全局选路策略
[FW1]link-interface 0 name ISP1
[FW1-linkif-0]interface g1/0/2 next-hop 20.1.1.3
[FW1-linkif-0]healthcheck isp1_health
[FW1]link-interface 1 name ISP2
[FW1-linkif-1]interface g1/0/4 next-hop 30.1.1.3
[FW1-linkif-1]healthcheck isp2_health
[FW1]multi-linkif
[FW1-multi-linkif]mode priority-of-link-quality
[FW1-multi-linkif]priority-of-link-quality parameter loss
[FW1-multi-linkif]priority-of-link-quality protocol tcp-simple
[FW1-multi-linkif]add linkif ISP1
[FW1-multi-linkif]add linkif ISP2
在这里插入图片描述

[FW2]link-interface 0 name ISP1
[FW2-linkif-0]interface g1/0/4 next-hop 20.1.2.3
[FW2-linkif-0]healthcheck isp1_health
[FW2]link-interface 1 name ISP2
[FW2-linkif-1]interface g1/0/2 next-hop 30.1.2.4
[FW2-linkif-1]healthcheck isp2_health
[FW2]multi-linkif
[FW2-multi-linkif]mode priority-of-link-quality
[FW2-multi-linkif]priority-of-link-quality parameter loss
[FW2-multi-linkif]priority-of-link-quality protocol tcp-simple
[FW2-multi-linkif]add linkif ISP1
[FW2-multi-linkif]add linkif ISP2
10.配置防火墙双机热备并联动IP-LINK
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 active
[FW1-GigabitEthernet1/0/1]vrrp virtual-mac enable
[FW1]hrp enable
HRP_S[FW1]hrp interface g1/0/3 remote 10.1.2.2
HRP_M[FW1]hrp track ip-link ip_link1
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 standby
[FW2-GigabitEthernet1/0/1]vrrp virtual-mac enable
[FW2]hrp enable
HRP_S[FW2]hrp interface g1/0/3 remote 10.1.2.1
HRP_S[FW2]hrp track ip-link ip_link2
11.配置策略路由
[FW1]policy-based-route
[FW1-policy-pbr]rule name to_ISP1
[FW1-policy-pbr-rule-to_ISP1]source-zone trust
[FW1-policy-pbr-rule-to_ISP1]source-address 10.1.1.10 32
[FW1-policy-pbr-rule-to_ISP1]action pbr egress-interface g 1/0/2 next-hop 20.1.1.3
[FW1-policy-pbr]rule name to_ISP2
[FW1-policy-pbr-rule-to_ISP2]source-zone trust
[FW1-policy-pbr-rule-to_ISP2]source-zone trust
[FW1-policy-pbr-rule-to_ISP2]source-address 10.1.1.20 32
[FW1-policy-pbr-rule-to_ISP2]action pbr egress-interface g1/0/4 next-hop 30.1.1.4
[FW2]policy-based-route
[FW2-policy-pbr]rule name to_ISP1
[FW2-policy-pbr-rule-to_ISP1]source-zone trust
[FW2-policy-pbr-rule-to_ISP1]source-address 10.1.1.10 32
[FW2-policy-pbr-rule-to_ISP1]action pbr egress-interface g1/0/4 next-hop 20.1.2.3
[FW2-policy-pbr]rule name to_ISP2
[FW2-policy-pbr-rule-to_ISP2]source-zone trust
[FW2-policy-pbr-rule-to_ISP2]source-address 10.1.1.20 32
[FW2-policy-pbr-rule-to_ISP2]action pbr egress-interface g1/0/2 next-hop 30.1.2.4
12.配置安全策略
[FW1]security-policy
[FW1-policy-security]rule name OUT
[FW1-policy-security-rule-OUT]source-zone trust local
[FW1-policy-security-rule-OUT]destination-zone untrust
[FW1-policy-security-rule-OUT]action permit
[FW2]security-policy
[FW2-policy-security]rule name OUT
[FW2-policy-security-rule-OUT]source-zone trust local
[FW2-policy-security-rule-OUT]destination-zone untrust
[FW2-policy-security-rule-OUT]action permit
13.验证
PC1和PC2都可以ping通服务器
在这里插入图片描述
在这里插入图片描述

在FW1的g1/0/2上可以抓到PC1 ping 服务器的流量,也可以看到nat转换

在这里插入图片描述
在这里插入图片描述

 在FW1的g1/0/4上可以抓到PC2 ping 服务器的流量,也可以看到nat转换

在这里插入图片描述
在这里插入图片描述

Tony_long7483
关注
  • 4
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ADSL.rar_bandwidth
09-22
ADSL (Asymmetric Digital Subscriber Line ,非对称数字用户环路)是一种新的数据传输方式。它因为上行和下行带宽不对称,因此称为非对称数字用户
HUAWEI防火墙在校园网中的应用
weixin_42730268的博客
05-10 2760
HUAWEI 防火墙 综合配置案例防火墙在校园出口安全方案中的应用简介方案简介方案一:基于IP地址的策略控制典型组网负载分担地址转换安全防护带宽管控溯源审计业务规划网络基础及访问控制配置入侵防御DNS透明代理智能选路服务器负载均衡智能DNSNATNAT Server源NATNAT ALG攻击防范审计策略带宽管理日志服务器设备配置步骤结果验证配置脚本 防火墙在校园出口安全方案中的应用 简介 本案例介绍了防火墙在校园出口安全方案中的应用。通过分析校园网安全面临的主要问题以及校方在网络访问管理中的常见需求,本案例
2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统
ZL_1618的博客
02-25 1772
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有,用于实现防火墙安全功能。
华为防火墙配置基于用户的策略路由
Tony_long7483的博客
09-08 2056
1.基本IP地址及连通性配置 (1)内网IP地址配置 (2)配置外网IP地址 [ISP1-GigabitEthernet0/0/0]ip add 20.1.1.2 24 [ISP1-GigabitEthernet0/0/1]ip add 40.1.1.2 24 [ISP2-GigabitEthernet0/0/0]ip add 30.1.1.3 24 [ISP2-GigabitEthernet0/0/1]ip add 50.1.1.3 24 [AR3-GigabitEthernet0/0/0]ip a.
链路负载均衡之DNS透明代理
Mario_Ti的博客
03-04 1157
本文介绍链路负载均衡之DNS透明代理,首先介绍DNS透明代理概念、DNS透明代理策略,最后通过防火墙web界面以及对应指令配置。
策略路由+静态路由+ip link+healthcheck检测外网物理链路提高网络的可靠性
weixin_43075093的博客
05-26 4093
适用环境 1、外网链路有防火墙Firewall出口,外网也有路由器Router出口。 2、用户量大需要多条外网链路负载均衡,多条链路也可以互为主备。 3、有ip专线网络(上下行对称)与拨号光纤(上下行非对称)网络配合使用。 4、当外网链路故障时用户感知不到链路故障,提升用户体验效果。
华为防火墙 策略路由实现多ISP接入Internet
一直被模仿,从未被超越
08-01 1422
PC3上网访问Server1时走ISP1。PC4上网访问Server1时走ISP2。1、配置接口IP并加入相应的安全区域。二、ISP2 运营商 R2路由器。一、ISP1 运营商 R1路由器。
智能选路路由配置
eys_open的博客
04-06 827
智能选路路由实验配置 第一步:根据自己喜好来划分每个设备的IP,区域划分,安全策略 防火墙跟云的配置请参考前面的文章 第二步:配置接口带宽,过载保护 bandwidth ingress 100000 threshold 90 //配置出接口带宽和过载保护阈值 bandwidth egress 100000 threshold 90 //配置进接口带宽和过载保护阈值 第三步:创建链路接口(名字命名根据自我) link-interfac
华为虚拟墙和核心交换机(网关在核心交换机)如何部署
weixin_44548030的博客
04-02 1165
逻辑拓扑介绍lsw3--fw3 走的是vrf -----lsw4 走的是publiclsw3-fw4-走的是vrf--lsw4走的是public 这里需要说明相当于把核心交换机分成了lsw3 和lsw4 一个走的是vrf 一个走的是public ,为了保证路由的正确性,一定routerid 唯一!!!
华为设备配置策略路由引流到旁挂防火墙
Tony_long7483的博客
04-20 3694
华为设备配置策略路由引流到旁挂防火墙
智能选路+策略路由
u010311846的博客
02-07 709
1、配置路由器接口ip,配置路由(静态/ospf都可)R1:int e0/0/0int e0/0/1ospf 1a 0R2:int e0/0/0int e0/0/1ospf 1a 0R3:int e0/0/0int e0/0/1int g0/0/0ospf 1a 02、配置防火墙接口ip,划分安全区域FW:int g1/0/2int g1/0/0int g1/0/1q。
华为配置策略路由
11-03
华为防火墙策略路由,需要的同学可以前来下载哦
华为防火墙典型配置案例
09-12
华为防火墙典型配置案例,可以通过具体的举例,更顺利的配置和管理防火墙
华为防火墙分流选路ensp实验
08-11
实验链接 https://blog.csdn.net/qq_30755261/article/details/126294507 华为防火墙分流实验,特定VLAN指定出接口 ensp项目包
策略路由和NAT实现负载均衡实例(华为防火墙).pdf
10-01
策略路由和NAT实现负载均衡实例(华为防火墙).pdf
华为防火墙手册.zip
05-14
目录 Secospace USG2100&2200&5100 BSR&HSR & USG2000&...5000 V300R001 配置指南...7 策略路由配置 8 安全功能部署 9 流量控制功能部署 10 配套设备/软件对接 11 第三方设备对接 ...
react不同环境不同配置angular_华为防火墙配置基于不同网段的策略路由
weixin_39888807的博客
12-09 148
当不同网段用户需要通过不同的路由到达同一目的地址时,可以配置策略路由实现。组网需求如图1所示,在企业内网出口部署一台USG,其中和内部网络相连的接口位于Trust区域,和外部网络相连的两个接口位于Untrust区域。内网中两个不同网段(网段A和网段B)的用户通过不同的路由访问Internet。需求如下:内部A网段从ISP-A线路出去,并且配置ISP-B为备份链路。内部B网段从ISP-B线路出去,并...
华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
华为防火墙实验基础篇-1
SSR_ZZ的博客
05-30 2187
安全区域配置、管理(SSH、WEB)、DHCP、PPPoE、NAT、Portal认证
华为防火墙出口分流配置
最新发布
04-12
华为防火墙的出口分流配置可以通过以下步骤进行: 1. 创建ACL(访问控制列表):ACL用于定义允许或拒绝通过防火墙的流量。可以使用命令`acl number [basic | advanced] acl-name`创建ACL。 2. 配置路由策略:路由策略用于指定流量的转发方式。可以使用命令`ip route-static`配置静态路由,或者使用命令`ip policy-based-route`配置策略路由。 3. 创建防火墙策略:防火墙策略用于定义允许或拒绝通过防火墙的流量。可以使用命令`firewall policy`创建防火墙策略,并通过`rule`命令配置具体的规则。 4. 配置NAT(网络地址转换):如果需要对流量进行地址转换,可以使用命令`nat`配置NAT规则。 5. 应用配置:最后,需要将上述配置应用到防火墙接口上,可以使用命令`interface GigabitEthernet x/x/x`进入接口配置模式,并使用`firewall zone`命令将接口划分到相应的安全区域。 请注意,具体的配置步骤可能会因设备型号和软件版本而有所差异,建议参考华为防火墙的官方文档或咨询华为技术支持获取更详细的配置指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值