设为首页收藏本站language→→ 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡华为认证≡□≡ HCIP学习资料 华为防火墙配置主备双链路接入Internet
返回列表 发新帖
查看: 2858|回复: 7
收起左侧

[分享] 华为防火墙配置主备双链路接入Internet

[复制链接]
小乔
 成长值: 59155
发表于 2019-8-8 10:57:33 | 显示全部楼层 |阅读模式
企业内网用户和对外发布的FTP服务器放在同一个安全区域;企业采用双上行接入Internet(固定IP方式)。本文介绍配置域内NAT+NAT Server双出口,实现内部用户和Internet用户均通过外网地址访问FTP服务器。
组网需求
如图1所示,某公司网络如下:
采用双接口接入Internet。
上行接口均采用固定IP方式,IP地址通过向ISP申请获得。
公司内网只划分一个安全区域(Trust)。
公司内网用户(PC)和FTP服务器都在同一个网段192.168.1.0/24。
内网用户和Internet用户都有访问FTP服务器的需求。
要求:
内网用户可以正常访问Internet,双链路为主备备份。
对于Internet用户,可以通过公网地址访问FTP服务器。对外公布2个公网地址,200.1.1.200和202.1.1.200。
对于内网用户,为了提高安全性,内网用户不能通过私网地址直接访问FTP服务器,必须通过USG。也就是说,内网用户也通过公网地址200.1.1.200访问FTP服务器。
图1 域内NAT+NAT Server双出口典型配置组网图
1.jpg

配置思路
1配置接口IP地址、包过滤、路由、NAT Outbound等功能,实现双上行链路功能。
2配置NAT Server,实现Internet用户通过公网地址访问FTP服务器。
3配置域内NAT,实现内网用户使用公网地址访问FTP服务器。
4配置FTP服务器和内网PC。

操作步骤
1 配置接口IP地址、包过滤、路由等,实现双上行链路功能。
# 配置USG接口IP地址。
配置过程略。
# 创建安全区域Untrust1和Untrust2,将接口加入相应安全区域。
<USG> system-view
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/5
[USG-zone-trust] quit
[USG] firewall zone name untrust1
[USG-zone-untrust1] set priority 55
[USG-zone-untrust1] add interface GigabitEthernet 0/0/2
[USG-zone-untrust1] quit
[USG] firewall zone name untrust2
[USG-zone-untrust2] set priority 58
[USG-zone-untrust2] add interface GigabitEthernet 0/0/3
[USG-zone-untrust2] quit
# 创建NAT地址池。
[USG] nat address-group 1 200.1.1.1 200.1.1.1
[USG] nat address-group 2 202.1.1.1 202.1.1.1
# 配置域间包过滤,外网用户可以访问公司内网网络。
[USG] policy interzone trust untrust1 inbound
[USG-policy-interzone-trust-untrust1-inbound] policy 0
[USG-policy-interzone-trust-untrust1-inbound-0] policy service service-set ftp
[USG-policy-interzone-trust-untrust1-inbound-0] action permit
[USG-policy-interzone-trust-untrust1-inbound-0] quit
[USG-policy-interzone-trust-untrust1-inbound] quit
[USG] policy interzone trust untrust2 inbound
[USG-policy-interzone-trust-untrust2-inbound] policy 0
[USG-policy-interzone-trust-untrust2-inbound-0] action permit
[USG-policy-interzone-trust-untrust2-inbound-0] policy service service-set ftp
[USG-policy-interzone-trust-untrust2-inbound-0] quit
[USG-policy-interzone-trust-untrust2-inbound] quit
# 配置NAT Outbound,实现内网用户上网。
[USG] nat-policy interzone trust untrust1 outbound
[USG-nat-policy-interzone-trust-untrust1-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust1-outbound-1] policy source 192.168.1.0 0.0.0.255
[USG-nat-policy-interzone-trust-untrust1-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust1-outbound-1] address-group 1
[USG-nat-policy-interzone-trust-untrust1-outbound-1] quit
[USG-nat-policy-interzone-trust-untrust1-outbound] quit
[USG] nat-policy interzone trust untrust2 outbound
[USG-nat-policy-interzone-trust-untrust2-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust2-outbound-1] policy source 192.168.1.0 0.0.0.255
[USG-nat-policy-interzone-trust-untrust2-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust2-outbound-1] address-group 2
[USG-nat-policy-interzone-trust-untrust2-outbound-1] quit
[USG-nat-policy-interzone-trust-untrust2-outbound] quit
# 配置IP-Link,监控主链路。
[USG] ip-link check enable
[USG] ip-link 1 destination 200.1.1.2 interface GigabitEthernet 0/0/2 mode icmp
# 配置路由,实现链路主备备份。同时在主链路上绑定IP-Link,以便主链路不通后,能自动切换到备份链路。
[USG] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2 track ip-link 1
[USG] ip route-static 0.0.0.0 0.0.0.0 202.1.1.2 preference 70

2 配置NAT Server,实现Internet用户通过公网地址访问FTP服务器。
# 配置NAT Server,向双出口所在安全区域发布公网地址。
[USG] nat server zone untrust1 protocol tcp global 200.1.1.200 ftp inside 192.168.1.254 ftp
[USG] nat server zone untrust2 protocol tcp global 202.1.1.200 ftp inside 192.168.1.254 ftp
# 配置域间NAT ALG,使FTP服务器可以正常对外提供服务。
[USG] firewall interzone trust untrust1
[USG-interzone-trust-untrust1] detect ftp
[USG-interzone-trust-untrust1] quit
[USG] firewall interzone trust untrust2
[USG-interzone-trust-untrust2] detect ftp
[USG-interzone-trust-untrust2] quit

3 配置域内NAT,实现内网用户使用公网地址访问FTP服务器。
# 创建Trust域内的NAT策略,确定进行NAT转换的源地址范围,并且将其与NAT地址池1进行绑定。
[USG] nat-policy zone trust
[USG-nat-policy-zone-trust] policy 0
[USG-nat-policy-zone-trust-0] policy source 192.168.1.0 0.0.0.255
[USG-nat-policy-zone-trust-0] policy destination 200.1.1.200 0
[USG-nat-policy-zone-trust-0] action source-nat
[USG-nat-policy-zone-trust-0] address-group 1
[USG-nat-policy-zone-trust-0] quit
[USG-nat-policy-zone-trust] quit
# 配置NAT Server,发布内网服务器的公网IP地址。
[USG] nat server zone trust protocol tcp global 200.1.1.200 ftp inside 192.168.1.254 ftp
# 配置黑洞路由,避免形成路由环路。
[USG] ip route-static 200.1.1.200 32 NULL 0
# 开启Trust区域内FTP协议的NAT ALG功能。
[USG] firewall zone trust
[USG-zone-trust] detect ftp
[USG-zone-trust] quit
4 配置FTP服务器和内网PC。
# 配置FTP服务器的IP地址并开启FTP服务。
IP地址(192.168.1.254/24)
DNS服务器地址(202.12.12.12)
默认网关(192.168.1.1)
开启FTP服务
# 配置内网PC。
IP地址(192.168.1.0/24网段)
DNS服务器地址(202.12.12.12)
默认网关(192.168.1.1)





回复

使用道具 举报

zhaoyj
发表于 2019-8-8 11:11:50 | 显示全部楼层
谢谢,学习学习
沙发 2019-8-8 11:11:50 回复 收起回复
回复 支持 反对

使用道具 举报

li66452128
发表于 2021-1-11 15:46:21 | 显示全部楼层
缺少配置吧,内网PC通过公网地址访问到FTP服务器,FTP服务器发现源IP和自己同一网段就直接回包了,不经过防火墙。应该再加一个源NAT,内网PC访问FTP服务器时转换源IP(不在同网段),这样回包才会经过防火墙
8# 2021-1-11 15:46:21 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-4-25 15:35 , Processed in 0.061236 second(s), 10 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表