请教!华为防火墙双链路连接外网+需要NAT转换的问题
kuaidi.ping-jia.net 作者:佚名 更新日期:2024-07-02
请教,华为防火墙双链路连接外网+需要NAT转换的问题
原有链路所在端口设置为域network1,后租用链路设置为域network2。
现在针对你的目标:
1、在两条链路都通畅时,内网用户在访问外网58.0.0.0/8这个网段的网站时,流量走原有的链路;当用户访问其他非58.0.0.0/8这个网段的网站时,流量走后租用的这条链路。
---配置静态路由 ip static-route 58.0.0.0 255.0.0.0 10.100.10.1 //目的地址为58.0.0.0/8的下一跳10.100.10.1。另外再配置一条缺省路由 ip static-route 0.0.0.0 0.0.0.0 172.100.10.1 //目的地址为非58.0.0.0/8的,下一跳为172.100.10.1
2、 当两条链路中的任意一条链路出现故障断开时,用户访问外网的所有流量走没有故障的链路。
---这个可以通过配置静态路由优先级的做法来实现,静态路由默认优先级为60,可以加一条优先级为70的静态路由ip static-route 58.0.0.0 255.0.0.0 172.100.10.1 preference 70, ip static-route 0.0.0.0 0.0.0.0 10.100.10.1 preference 70。
假设内网服务器所连接的防火墙端口为域trust,然后设置trust域到network2域的域间nat outbound,做ACL为允许58.30.0.0/24段放通,做nat转换,地址池为219.249.239.2—219.249.239.4。这样基本就完成你所需达到目标的配置了,当然我所说的这些指令是华为“一道门”系列防火墙的配置指令,USG5150HSR可能指令略有出入,但思路基本一样。
另外回答你的问题:
用户在访问外网时,是先根据数据包的源或目标地址在路由表中查找走哪一条链路,然后把数据发送到指定链路接口,并对用户地址做转换(NAT);还是在根据数据包的源或目标地址在路由表中查找路由的同时就把用户的IP地址做NAT转换,然后再把数据包发送到指定的链路接口。
---以上面的配置为例,trust域的服务器通过你后租用链路访问公网,首先数据包送到防火墙时,防火墙会根据你包的目的地址判断应该走的接口为network2域这个端口,因为跨域了,会去匹配域间规则,匹配顺序为先检测是否能够从trust域放通到network2域,如果通过,继续做nat规则匹配,如果匹配上nat规则,做nat转换后送往下一跳访问公网。
不知道我的答案说的是否明白?
不容易啊,给个好评吧 :)
请教!华为防火墙双链路连接外网+需要NAT转换的问题
答:假设内网服务器所连接的防火墙端口为域trust,然后设置trust域到network2域的域间nat outbound,做ACL为允许58.30.0.0/24段放通,做nat转换,地址池为219.249.239.2—219.249.239.4。这样基本就完成你所需达到目标的配置了,当然我所说的这些指令是华为“一道门”系列防火墙的配置指令,USG5150HSR...
华为路由器与华为防火墙怎么让各自下面的设备互通?
答:如果是在同一个机房的2张不同网络,你可以拉1条线连接2台华为路由器/防火墙,写路由互通。如果是两个不同位置的网络,那么需要建IPSEC VPN互通。
华为USG6500,如何通过WEB界面配置双ISP双出口?
答:华为的防火墙一般是配置安全策略的时候用web较为方便,而配置路由策略的时候当然是命令行更为方便,而且就算web端的配置最后还是会在命令行生成命令,所以说掌握命令行配置才是关键,web是辅助。如果是ISP双归接入,如果要分别,一般也是ABC部门把路由用ACL匹配出来,在出口为X的ISP调用,把DEF的匹配出来,...
交换机之间的双链路连接如何设置
答:你这个问题不具体哦,交换机之间做双链路没意义,如果交换机down掉,双链路备份就没用了,而且交换机之间不可能相隔太远,如果是做聚合,用channel-group
太全了,华为防火墙初始化配置,看这篇就够了。
答:在内部网络中部署防火墙,可能需要与路由器或三层交换机协同工作。通过Trunk或Access模式连接交换机,将GE0/0/3接口加入untrust区域。配置访问控制策略,确保内网访问互联网,同时处理VLAN、IP地址和NAT转换。透明接入时,确保管理口和VLANIF接口的IP设置正确,防火墙与安全中心、DNS服务器的通信畅通。最后,...
华为双链路备份的无线配置
答:1 登录到主界面,点击“网络设置>接口设置”2 点击“网络设置>IP地址分配>DHCP服务”3 点击“链路备份>双链路备份”,启用双链路备份功能
怎么在华为100f的防火墙实现光纤加adsl上网 要vlan1通过光纤上网 vlan2...
答:协议绑定 规定那些IP走那个端口
华为防火墙0口进入很慢
答:华为防火墙0口进入很慢的原因:1、带宽太小,导致上网速度慢。2、使用拨号链路,未调整MTU、TCP-MSS。3、存在多出口,未使用智能选路。
华为的三层交换机外网接口配置求助
答:华为和思科互接,1. 链路层上,要双方都关闭端口自动协商。不然会出现一边up,一边down。这点很重要。2 至于配置ip,cisco 可以直接配置ip在端口上,只要cisco的端口可以支持三层(可打no switchport) ,华为端口不支持在端口上配置ip,你先定义一个vlan,然后配置vlan的ip,然后将那端口绑定在那vlan上...
华为防火墙combo口什么意思
答:1,SFP口是千兆以太口的一个子集,当SFP口使用光纤千兆链接时,它就是千兆以太口;在以太网交换机中,无论电口、光口都链路层都用一个协议,不同的只是物理层,即使用什么介质;SFP是对物理层的描述。 2,Combo一般指光电复用。也就是两个口(一...
这个就要看,你是需要两调链路做策略路由呢还是做主备
用Internet举例吧:
这个只不过是一个地址池,也就是你用在公网上寻址的IP。是把你内网的火星地址如192.168.1.x转换后在公网上显示的地址。
这个公网地址可以是一段你申请的地址,如果用61.100.100.1 61.100.100.10就是将内网地址按出站顺序分别转换成.1~.10 中的公网地址。
你可能被文档中的这句话误导了:“动态地址转换的过程中,NAT网关将会从地址池中挑选一个地址作为转换后的报文源地址。由于动态地址转换的关联配置中需要引用已经定义的地址池,因此需要根据实际网络情况,预先合理规划公网IP地址池。”
转换后的报文源地址,即你在ISP申请的公网地址,而不是转换前的内网地址。
原有链路所在端口设置为域network1,后租用链路设置为域network2。
现在针对你的目标:
1、在两条链路都通畅时,内网用户在访问外网58.0.0.0/8这个网段的网站时,流量走原有的链路;当用户访问其他非58.0.0.0/8这个网段的网站时,流量走后租用的这条链路。
---配置静态路由 ip static-route 58.0.0.0 255.0.0.0 10.100.10.1 //目的地址为58.0.0.0/8的下一跳10.100.10.1。另外再配置一条缺省路由 ip static-route 0.0.0.0 0.0.0.0 172.100.10.1 //目的地址为非58.0.0.0/8的,下一跳为172.100.10.1
2、 当两条链路中的任意一条链路出现故障断开时,用户访问外网的所有流量走没有故障的链路。
---这个可以通过配置静态路由优先级的做法来实现,静态路由默认优先级为60,可以加一条优先级为70的静态路由ip static-route 58.0.0.0 255.0.0.0 172.100.10.1 preference 70, ip static-route 0.0.0.0 0.0.0.0 10.100.10.1 preference 70。
假设内网服务器所连接的防火墙端口为域trust,然后设置trust域到network2域的域间nat outbound,做ACL为允许58.30.0.0/24段放通,做nat转换,地址池为219.249.239.2—219.249.239.4。这样基本就完成你所需达到目标的配置了,当然我所说的这些指令是华为“一道门”系列防火墙的配置指令,USG5150HSR可能指令略有出入,但思路基本一样。
另外回答你的问题:
用户在访问外网时,是先根据数据包的源或目标地址在路由表中查找走哪一条链路,然后把数据发送到指定链路接口,并对用户地址做转换(NAT);还是在根据数据包的源或目标地址在路由表中查找路由的同时就把用户的IP地址做NAT转换,然后再把数据包发送到指定的链路接口。
---以上面的配置为例,trust域的服务器通过你后租用链路访问公网,首先数据包送到防火墙时,防火墙会根据你包的目的地址判断应该走的接口为network2域这个端口,因为跨域了,会去匹配域间规则,匹配顺序为先检测是否能够从trust域放通到network2域,如果通过,继续做nat规则匹配,如果匹配上nat规则,做nat转换后送往下一跳访问公网。
不知道我的答案说的是否明白?
不容易啊,给个好评吧 :)
答:假设内网服务器所连接的防火墙端口为域trust,然后设置trust域到network2域的域间nat outbound,做ACL为允许58.30.0.0/24段放通,做nat转换,地址池为219.249.239.2—219.249.239.4。这样基本就完成你所需达到目标的配置了,当然我所说的这些指令是华为“一道门”系列防火墙的配置指令,USG5150HSR...
答:如果是在同一个机房的2张不同网络,你可以拉1条线连接2台华为路由器/防火墙,写路由互通。如果是两个不同位置的网络,那么需要建IPSEC VPN互通。
答:华为的防火墙一般是配置安全策略的时候用web较为方便,而配置路由策略的时候当然是命令行更为方便,而且就算web端的配置最后还是会在命令行生成命令,所以说掌握命令行配置才是关键,web是辅助。如果是ISP双归接入,如果要分别,一般也是ABC部门把路由用ACL匹配出来,在出口为X的ISP调用,把DEF的匹配出来,...
答:你这个问题不具体哦,交换机之间做双链路没意义,如果交换机down掉,双链路备份就没用了,而且交换机之间不可能相隔太远,如果是做聚合,用channel-group
答:在内部网络中部署防火墙,可能需要与路由器或三层交换机协同工作。通过Trunk或Access模式连接交换机,将GE0/0/3接口加入untrust区域。配置访问控制策略,确保内网访问互联网,同时处理VLAN、IP地址和NAT转换。透明接入时,确保管理口和VLANIF接口的IP设置正确,防火墙与安全中心、DNS服务器的通信畅通。最后,...
答:1 登录到主界面,点击“网络设置>接口设置”2 点击“网络设置>IP地址分配>DHCP服务”3 点击“链路备份>双链路备份”,启用双链路备份功能
答:协议绑定 规定那些IP走那个端口
答:华为防火墙0口进入很慢的原因:1、带宽太小,导致上网速度慢。2、使用拨号链路,未调整MTU、TCP-MSS。3、存在多出口,未使用智能选路。
答:华为和思科互接,1. 链路层上,要双方都关闭端口自动协商。不然会出现一边up,一边down。这点很重要。2 至于配置ip,cisco 可以直接配置ip在端口上,只要cisco的端口可以支持三层(可打no switchport) ,华为端口不支持在端口上配置ip,你先定义一个vlan,然后配置vlan的ip,然后将那端口绑定在那vlan上...
答:1,SFP口是千兆以太口的一个子集,当SFP口使用光纤千兆链接时,它就是千兆以太口;在以太网交换机中,无论电口、光口都链路层都用一个协议,不同的只是物理层,即使用什么介质;SFP是对物理层的描述。 2,Combo一般指光电复用。也就是两个口(一...
