华为防火墙如何配置策略路由(华为路由器如何配置防火墙)

华为防火墙如何配置策略路由(华为路由器如何配置防火墙)

通过配置NAT和策略路由功能，可以使校园网用户通过不同的方式访问Internet。

组网需求

某学校的学生用户能够通过教育网访问Internet，教师用户能够直接访问Internet。教育网分配给学校的IP地址为10.1.1.1，学校从运营商申请的IP地址为200.1.1.1。

配置思路

1、将学生用户和教师用户部署在Trust区域，将连接教育网的接口加入Untrust区域，将直接连接Internet的接口加入Untrust1区域。

2、为了使学校用户能够访问Internet，需要通过配置NAT功能将校园网的私网IP地址转换为公网IP地址。即分别在Trust—Untrust域间、Trust—Untrust1域间配置NAT outbound，且各自使用出接口的IP地址作为NAT地址池的地址。

3、为了使不同用户能够通过不同接口访问Internet，需要配置策略路由，将来自学生用户（192.168.0.0/24网段）的报文通过E1 3/0/0接口转发到教育网，将来自教师用户（192.168.1.0/24网段）的报文通过GigabitEthernet 0/0/3接口直接转发到Internet。

操作步骤

1、配置USG各接口的IP地址，将接口加入相应的安全区域，并配置域间包过滤规则。

配置GigabitEthernet 0/0/1接口的IP地址

system-view

[USG] interface GigabitEthernet 0/0/1

[USG-GigabitEthernet0/0/1] ip address 192.168.0.1 24

[USG-GigabitEthernet0/0/1] quit

配置GigabitEthernet 0/0/2接口的IP地址

[USG] interface GigabitEthernet 0/0/2

[USG-GigabitEthernet0/0/2] ip address 192.168.1.1 24

[USG-GigabitEthernet0/0/2] quit

配置GigabitEthernet 0/0/3接口的IP地址

[USG] interface GigabitEthernet 0/0/3

[USG-GigabitEthernet0/0/3] ip address 200.1.1.1 24

[USG-GigabitEthernet0/0/3] quit

将E1/CE1接口E1 3/0/0捆绑成串口Serial 3/0/0:0，并配置Serial 3/0/0:0接口的IP地址

[USG] controller E1 3/0/0

[USG-E1 3/0/0] channel-set 0 timeslot-list 1-10

[USG-E1 3/0/0] quit

[USG] interface Serial 3/0/0:0

[USG-Serial3/0/0:0] ip address 10.1.1.1 24

[USG-Serial3/0/0:0] quit

将连接内网的接口加入Trust安全区域，将连接教育网的接口加入Untrust安全区域，将直接连接Internet的接口加入Untrust1安全区域

[USG] firewall zone trust

[USG-zone-trust] add interface GigabitEthernet 0/0/1

[USG-zone-trust] add interface GigabitEthernet 0/0/2

[USG-zone-trust] quit

[USG] firewall zone untrust

[USG-zone-untrust] add interface Serial 3/0/0:0

[USG-zone-untrust] quit

[USG] firewall zone name untrust1

[USG-zone-untrust1] set priority 10

[USG-zone-untrust1] add interface GigabitEthernet 0/0/3

[USG-zone-untrust1] quit

开启域间包过滤，保证各种业务顺利进行

[USG] firewall packet-filter default permit all

2、配置NAT功能，将校园网的私网IP地址转换为公网IP地址。

创建全局NAT地址池0

[USG] nat address-group 0 10.1.1.1 10.1.1.1

在Trust和Untrust域间配置NAT功能，将校内用户的私网IP地址转换为教育网提供的公网IP地址10.1.1.1

[USG] nat-policy interzone trust untrust outbound

[USG-nat-policy-interzone-trust-untrust-outbound] policy 1

[USG-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.255.255

[USG-nat-policy-interzone-trust-untrust-outbound-1] action source-nat

[USG-nat-policy-interzone-trust-untrust-outbound-1] address-group 0

[USG-nat-policy-interzone-trust-untrust-outbound-1] quit

[USG-nat-policy-interzone-trust-untrust-outbound] quit

创建全局NAT地址池1

[USG] nat address-group 1 200.1.1.1 200.1.1.1

在Trust和Untrust1域间配置NAT功能，将校内用户的私网IP地址转换为运营商提供的公网IP地址200.1.1.1

[USG] nat-policy interzone trust untrust1 outbound

[USG-nat-policy-interzone-trust-untrust1-outbound] policy 1

[USG-nat-policy-interzone-trust-untrust1-outbound-1] policy source 192.168.0.0 0.0.255.255

[USG-nat-policy-interzone-trust-untrust1-outbound-1] action source-nat

[USG-nat-policy-interzone-trust-untrust1-outbound-1] address-group 1

[USG-nat-policy-interzone-trust-untrust1-outbound-1] quit

[USG-nat-policy-interzone-trust-untrust1-outbound] quit

3、配置策略路由功能，使来自不同用户的报文通过不同接口转发。

定义ACL2001匹配源地址为192.168.0.0/24的报文，ACL2002匹配源地址为 192.168.1.0/24的报文

[USG] acl number 2001

[USG-acl-basic-2001] rule permit source 192.168.0.0 0.0.0.255

[USG-acl-basic-2001] quit

[USG] acl number 2002

[USG-acl-basic-2002] rule permit source 192.168.1.0 0.0.0.255

[USG-acl-basic-2002] quit

定义策略路由abc的5号节点，使源地址为192.168.0.0/24的报文从接口Serial 3/0/0:0转发

[USG] policy-based-route abc permit node 5

[USG-policy-based-route-abc-5] if-match acl 2001

[USG-policy-based-route-abc-5] apply output-interface Serial 3/0/0:0

[USG-policy-based-route-abc-5] quit

定义策略路由abc的10号节点，使源地址为192.168.1.0/24的报文从接口GigabitEthernet 0/0/3转发

[USG] policy-based-route abc permit node 10

[USG-policy-based-route-abc-10] if-match acl 2002

[USG-policy-based-route-abc-10] apply ip-address next-hop 200.1.1.2

[USG-policy-based-route-abc-10] quit

在接口GigabitEthernet 0/0/1上应用定义的策略abc，处理此接口接收的报文

[USG] interface GigabitEthernet 0/0/1

[USG-GigabitEthernet0/0/1] ip policy-based-route abc

[USG-GigabitEthernet0/0/1] quit

在接口GigabitEthernet 0/0/2上应用定义的策略abc，处理此接口接收的报文

[USG] interface GigabitEthernet 0/0/2

[USG-GigabitEthernet0/0/2] ip policy-based-route abc

[USG-GigabitEthernet0/0/2] quit

欢迎关注我的头条号，私信交流，学习更多网络技术！

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。