一、组网需求
某企业部署华为防火墙作为出口网关设备,分别从ISP1和ISP2购买宽带服务,实现内网用户上网需求。
具体要求如下所示:
(1)企业内部用户可以通过运营商ISP1和ISP2访问Internet;
(2)当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免业务中断。
二、组网架构
三、地址规划
四、实施步骤
1.通过命令行实现
防火墙配置命令:
(1)配置接口IP地址
(2)将接口加入到安全区域中
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/2
#
firewall zone name untrust1
set priority 10
add interface GigabitEthernet1/0/0
#
firewall zone name untrust2
set priority 20
add interface GigabitEthernet1/0/1
#
(3)配置安全策略,允许私网用户访问internet
(3)配置NAT地址池
route enable:下发unr路由,作用和黑洞路由相同
(4)配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
2.路由器上ISP1、ISP2以及Internet配置如下所示:
五、验证
在PC上面ping测试Internet的loopback0,并在防火墙上面查看(第一个包不通是因为ARP解析)
防火墙上面查看NAT策略是否有匹配的和防火墙上面查看NAT转换关系
将FW1的G1/0/0接口关闭,此时在PC和防火墙上面查看相关信息。
interface gi1/0/0
shutdown
总结:防火墙上面针对不同的ISP并且属于不同的安全区域时,要注意安全策略的细节之处;在web界面配置思路和命令行界面的配置思路是相同的。