华为防火墙如何配置策略路由华为路由器如何配置防火墙

通过配置NAT和策略路由功能,可以使校园网用户通过不同的方式访问Internet。

组网需求
某学校的学生用户能够通过教育网访问Internet,教师用户能够直接访问Internet。教育网分配给学校的IP地址为10.1.1.1,学校从运营商申请的IP地址为200.1.1.1。

配置思路
1、将学生用户和教师用户部署在Trust区域,将连接教育网的接口加入Untrust区域,将直接连接Internet的接口加入Untrust1区域。
2、为了使学校用户能够访问Internet,需要通过配置NAT功能将校园网的私网IP地址转换为公网IP地址。即分别在Trust—Untrust域间、Trust—Untrust1域间配置NAT outbound,且各自使用出接口的IP地址作为NAT地址池的地址。
3、为了使不同用户能够通过不同接口访问Internet,需要配置策略路由,将来自学生用户(192.168.0.0/24网段)的报文通过E1 3/0/0接口转发到教育网,将来自教师用户(192.168.1.0/24网段)的报文通过GigabitEthernet 0/0/3接口直接转发到Internet。
操作步骤
1、配置USG各接口的IP地址,将接口加入相应的安全区域,并配置域间包过滤规则。

配置GigabitEthernet 0/0/1接口的IP地址
system-view
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 192.168.0.1 24
[USG-GigabitEthernet0/0/1] quit
配置GigabitEthernet 0/0/2接口的IP地址
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/2] quit
配置GigabitEthernet 0/0/3接口的IP地址
[USG] interface GigabitEthernet 0/0/3
[USG-GigabitEthernet0/0/3] ip address 200.1.1.1 24
[USG-GigabitEthernet0/0/3] quit
将E1/CE1接口E1 3/0/0捆绑成串口Serial 3/0/0:0,并配置Serial 3/0/0:0接口的IP地址
[USG] controller E1 3/0/0
[USG-E1 3/0/0] channel-set 0 timeslot-list 1-10
[USG-E1 3/0/0] quit
[USG] interface Serial 3/0/0:0
[USG-Serial3/0/0:0] ip address 10.1.1.1 24
[USG-Serial3/0/0:0] quit
将连接内网的接口加入Trust安全区域,将连接教育网的接口加入Untrust安全区域,将直接连接Internet的接口加入Untrust1安全区域
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/1
[USG-zone-trust] add interface GigabitEthernet 0/0/2
[USG-zone-trust] quit
[USG] firewall zone untrust
[USG-zone-untrust] add interface Serial 3/0/0:0
[USG-zone-untrust] quit
[USG] firewall zone name untrust1
[USG-zone-untrust1] set priority 10
[USG-zone-untrust1] add interface GigabitEthernet 0/0/3
[USG-zone-untrust1] quit
开启域间包过滤,保证各种业务顺利进行
[USG] firewall packet-filter default permit all
2、配置NAT功能,将校园网的私网IP地址转换为公网IP地址。

创建全局NAT地址池0
[USG] nat address-group 0 10.1.1.1 10.1.1.1

在Trust和Untrust域间配置NAT功能,将校内用户的私网IP地址转换为教育网提供的公网IP地址10.1.1.1
[USG] nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.255.255
[USG-nat-policy-interzone-trust-untrust-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-1] address-group 0
[USG-nat-policy-interzone-trust-untrust-outbound-1] quit
[USG-nat-policy-interzone-trust-untrust-outbound] quit

创建全局NAT地址池1

[USG] nat address-group 1 200.1.1.1 200.1.1.1

在Trust和Untrust1域间配置NAT功能,将校内用户的私网IP地址转换为运营商提供的公网IP地址200.1.1.1

[USG] nat-policy interzone trust untrust1 outbound
[USG-nat-policy-interzone-trust-untrust1-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust1-outbound-1] policy source 192.168.0.0 0.0.255.255
[USG-nat-policy-interzone-trust-untrust1-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust1-outbound-1] address-group 1
[USG-nat-policy-interzone-trust-untrust1-outbound-1] quit
[USG-nat-policy-interzone-trust-untrust1-outbound] quit

3、配置策略路由功能,使来自不同用户的报文通过不同接口转发。

定义ACL2001匹配源地址为192.168.0.0/24的报文,ACL2002匹配源地址为 192.168.1.0/24的报文
[USG] acl number 2001
[USG-acl-basic-2001] rule permit source 192.168.0.0 0.0.0.255
[USG-acl-basic-2001] quit
[USG] acl number 2002
[USG-acl-basic-2002] rule permit source 192.168.1.0 0.0.0.255
[USG-acl-basic-2002] quit

定义策略路由abc的5号节点,使源地址为192.168.0.0/24的报文从接口Serial 3/0/0:0转发

[USG] policy-based-route abc permit node 5
[USG-policy-based-route-abc-5] if-match acl 2001
[USG-policy-based-route-abc-5] apply output-interface Serial 3/0/0:0
[USG-policy-based-route-abc-5] quit

定义策略路由abc的10号节点,使源地址为192.168.1.0/24的报文从接口GigabitEthernet 0/0/3转发
[USG] policy-based-route abc permit node 10
[USG-policy-based-route-abc-10] if-match acl 2002
[USG-policy-based-route-abc-10] apply ip-address next-hop 200.1.1.2
[USG-policy-based-route-abc-10] quit

在接口GigabitEthernet 0/0/1上应用定义的策略abc,处理此接口接收的报文
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip policy-based-route abc
[USG-GigabitEthernet0/0/1] quit

在接口GigabitEthernet 0/0/2上应用定义的策略abc,处理此接口接收的报文
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip policy-based-route abc
[USG-GigabitEthernet0/0/2] quit

欢迎关注我的头条号,私信交流,学习更多网络技术!

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注