海铭信息咨询,交互设计,运维,网站UI设计,网络空间安全

首页 > 网站UI设计

华为防火墙配置主备双链路接入Internet

网站UI设计

  企业内网用户和对外发布的FTP服务器放在同一个安全区域;企业采用双上行接入Internet(固定IP方式)。本文介绍配置域内NAT+NAT Server双出口,实现内部用户和Internet用户均通过外网地址访问FTP服务器。

  组网需求

  如图1所示,某公司网络如下:

  采用双接口接入Internet。

  上行接口均采用固定IP方式,IP地址通过向ISP申请获得。

  公司内网只划分一个安全区域(Trust)。

  公司内网用户(PC)和FTP服务器都在同一个网段192.168.1.0/24。

  内网用户和Internet用户都有访问FTP服务器的需求。

  要求:

  内网用户可以正常访问Internet,双链路为主备备份。

  对于Internet用户,可以通过公网地址访问FTP服务器。对外公布2个公网地址,200.1.1.200和202.1.1.200。

  对于内网用户,为了提高安全性,内网用户不能通过私网地址直接访问FTP服务器,必须通过USG。也就是说,内网用户也通过公网地址200.1.1.200访问FTP服务器。

  图1 域内NAT+NAT Server双出口典型配置组网图

  配置思路

  1配置接口IP地址、包过滤、路由、NAT Outbound等功能,实现双上行链路功能。

  2配置NAT Server,实现Internet用户通过公网地址访问FTP服务器。

  3配置域内NAT,实现内网用户使用公网地址访问FTP服务器。

  4配置FTP服务器和内网PC。

  操作步骤

  1 配置接口IP地址、包过滤、路由等,实现双上行链路功能。

  # 配置USG接口IP地址。

  配置过程略。

  # 创建安全区域Untrust1和Untrust2,将接口加入相应安全区域。

  <USG> system-view

  [USG] firewall zone trust

  [USG-zone-trust] add interface GigabitEthernet 0/0/5

  [USG-zone-trust] quit

  [USG] firewall zone name untrust1

  [USG-zone-untrust1] set priority 55

  [USG-zone-untrust1] add interface GigabitEthernet 0/0/2

  [USG-zone-untrust1] quit

  [USG] firewall zone name untrust2

  [USG-zone-untrust2] set priority 58

  [USG-zone-untrust2] add interface GigabitEthernet 0/0/3

  [USG-zone-untrust2] quit

  # 创建NAT地址池。

  [USG] nat address-group 1 200.1.1.1 200.1.1.1

  [USG] nat address-group 2 202.1.1.1 202.1.1.1

  # 配置域间包过滤,外网用户可以访问公司内网网络。

  [USG] policy interzone trust untrust1 inbound

  [USG-policy-interzone-trust-untrust1-inbound] policy 0

  [USG-policy-interzone-trust-untrust1-inbound-0] policy service service-set ftp

  [USG-policy-interzone-trust-untrust1-inbound-0] action permit

  [USG-policy-interzone-trust-untrust1-inbound-0] quit

  [USG-policy-interzone-trust-untrust1-inbound] quit

  [USG] policy interzone trust untrust2 inbound

  [USG-policy-interzone-trust-untrust2-inbound] policy 0

  [USG-policy-interzone-trust-untrust2-inbound-0] action permit

  [USG-policy-interzone-trust-untrust2-inbound-0] policy service service-set ftp

  [USG-policy-interzone-trust-untrust2-inbound-0] quit

  [USG-policy-interzone-trust-untrust2-inbound] quit

  # 配置NAT Outbound,实现内网用户上网。

  [USG] nat-policy interzone trust untrust1 outbound

  [USG-nat-policy-interzone-trust-untrust1-outbound] policy 1

  [USG-nat-policy-interzone-trust-untrust1-outbound-1] policy source 192.168.1.0 0.0.0.255

  [USG-nat-policy-interzone-trust-untrust1-outbound-1] action source-nat

  [USG-nat-policy-interzone-trust-untrust1-outbound-1] address-group 1

  [USG-nat-policy-interzone-trust-untrust1-outbound-1] quit

  [USG-nat-policy-interzone-trust-untrust1-outbound] quit

  [USG] nat-policy interzone trust untrust2 outbound

  [USG-nat-policy-interzone-trust-untrust2-outbound] policy 1

  [USG-nat-policy-interzone-trust-untrust2-outbound-1] policy source 192.168.1.0 0.0.0.255

  [USG-nat-policy-interzone-trust-untrust2-outbound-1] action source-nat

  [USG-nat-policy-interzone-trust-untrust2-outbound-1] address-group 2

  [USG-nat-policy-interzone-trust-untrust2-outbound-1] quit

  [USG-nat-policy-interzone-trust-untrust2-outbound] quit

  # 配置IP-Link,监控主链路。

  [USG] ip-link check enable

  [USG] ip-link 1 destination 200.1.1.2 interface GigabitEthernet 0/0/2 mode icmp

  # 配置路由,实现链路主备备份。同时在主链路上绑定IP-Link,以便主链路不通后,能自动切换到备份链路。

  [USG] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2 track ip-link 1

  [USG] ip route-static 0.0.0.0 0.0.0.0 202.1.1.2 preference 70

  2 配置NAT Server,实现Internet用户通过公网地址访问FTP服务器。

  # 配置NAT Server,向双出口所在安全区域发布公网地址。

  [USG] nat server zone untrust1 protocol tcp global 200.1.1.200 ftp inside 192.168.1.254 ftp

  [USG] nat server zone untrust2 protocol tcp global 202.1.1.200 ftp inside 192.168.1.254 ftp

  # 配置域间NAT ALG,使FTP服务器可以正常对外提供服务。

  [USG] firewall interzone trust untrust1

  [USG-interzone-trust-untrust1] detect ftp

  [USG-interzone-trust-untrust1] quit

  [USG] firewall interzone trust untrust2

  [USG-interzone-trust-untrust2] detect ftp

  [USG-interzone-trust-untrust2] quit

  3 配置域内NAT,实现内网用户使用公网地址访问FTP服务器。

  # 创建Trust域内的NAT策略,确定进行NAT转换的源地址范围,并且将其与NAT地址池1进行绑定。

  [USG] nat-policy zone trust

  [USG-nat-policy-zone-trust] policy 0

  [USG-nat-policy-zone-trust-0] policy source 192.168.1.0 0.0.0.255

  [USG-nat-policy-zone-trust-0] policy destination 200.1.1.200 0

  [USG-nat-policy-zone-trust-0] action source-nat

  [USG-nat-policy-zone-trust-0] address-group 1

  [USG-nat-policy-zone-trust-0] quit

  [USG-nat-policy-zone-trust] quit

  # 配置NAT Server,发布内网服务器的公网IP地址。

  [USG] nat server zone trust protocol tcp global 200.1.1.200 ftp inside 192.168.1.254 ftp

  # 配置黑洞路由,避免形成路由环路。

  [USG] ip route-static 200.1.1.200 32 NULL 0

  # 开启Trust区域内FTP协议的NAT ALG功能。

  [USG] firewall zone trust

  [USG-zone-trust] detect ftp

  [USG-zone-trust] quit

  4 配置FTP服务器和内网PC。

  # 配置FTP服务器的IP地址并开启FTP服务。

  IP地址(192.168.1.254/24)

  DNS服务器地址(202.12.12.12)

  默认网关(192.168.1.1)

  开启FTP服务

  # 配置内网PC。

  IP地址(192.168.1.0/24网段)

  DNS服务器地址(202.12.12.12)

  默认网关(192.168.1.1)

标签: 网站UI设计

相关推荐