12.02 「案例」華為防火牆如何配置策略路由，訪問不同Int...

通過配置NAT和策略路由功能，可以使校園網用戶通過不同的方式訪問Internet。

組網需求
某學校的學生用戶能夠通過教育網訪問Internet，教師用戶能夠直接訪問Internet。教育網分配給學校的IP地址為10.1.1.1，學校從運營商申請的IP地址為200.1.1.1。

配置思路
1、將學生用戶和教師用戶部署在Trust區域，將連接教育網的接口加入Untrust區域，將直接連接Internet的接口加入Untrust1區域。
2、為了使學校用戶能夠訪問Internet，需要通過配置NAT功能將校園網的私網IP地址轉換為公網IP地址。即分別在Trust—Untrust域間、Trust—Untrust1域間配置NAT outbound，且各自使用出接口的IP地址作為NAT地址池的地址。
3、為了使不同用戶能夠通過不同接口訪問Internet，需要配置策略路由，將來自學生用戶（192.168.0.0/24網段）的報文通過E1 3/0/0接口轉發到教育網，將來自教師用戶（192.168.1.0/24網段）的報文通過GigabitEthernet 0/0/3接口直接轉發到Internet。
操作步驟
1、配置USG各接口的IP地址，將接口加入相應的安全區域，並配置域間包過濾規則。

配置GigabitEthernet 0/0/1接口的IP地址
system-view
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 192.168.0.1 24
[USG-GigabitEthernet0/0/1] quit
配置GigabitEthernet 0/0/2接口的IP地址
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/2] quit
配置GigabitEthernet 0/0/3接口的IP地址
[USG] interface GigabitEthernet 0/0/3

創建全局NAT地址池0
[USG] nat address-group 0 10.1.1.1 10.1.1.1

在Trust和Untrust域間配置NAT功能，將校內用戶的私網IP地址轉換為教育網提供的公網IP地址10.1.1.1
[USG] nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.255.255
[USG-nat-policy-interzone-trust-untrust-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-1] address-group 0
[USG-nat-policy-interzone-trust-untrust-outbound-1] quit

創建全局NAT地址池1

[USG] nat address-group 1 200.1.1.1 200.1.1.1

在Trust和Untrust1域間配置NAT功能，將校內用戶的私網IP地址轉換為運營商提供的公網IP地址200.1.1.1

[USG] nat-policy interzone trust untrust1 outbound
[USG-nat-policy-interzone-trust-untrust1-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust1-outbound-1] policy source 192.168.0.0 0.0.255.255
[USG-nat-policy-interzone-trust-untrust1-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust1-outbound-1] address-group 1
[USG-nat-policy-interzone-trust-untrust1-outbound-1] quit
[USG-nat-policy-interzone-trust-untrust1-outbound] quit

3、配置策略路由功能，使來自不同用戶的報文通過不同接口轉發。

定義ACL2001匹配源地址為192.168.0.0/24的報文，ACL2002匹配源地址為 192.168.1.0/24的報文
[USG] acl number 2001
[USG-acl-basic-2001] rule permit source 192.168.0.0 0.0.0.255
[USG-acl-basic-2001] quit
[USG] acl number 2002
[USG-acl-basic-2002] rule permit source 192.168.1.0 0.0.0.255
[USG-acl-basic-2002] quit

定義策略路由abc的5號節點，使源地址為192.168.0.0/24的報文從接口Serial 3/0/0:0轉發

[USG] policy-based-route abc permit node 5
[USG-policy-based-route-abc-5] if-match acl 2001
[USG-policy-based-route-abc-5] apply output-interface Serial 3/0/0:0
[USG-policy-based-route-abc-5] quit

定義策略路由abc的10號節點，使源地址為192.168.1.0/24的報文從接口GigabitEthernet 0/0/3轉發
[USG] policy-based-route abc permit node 10
[USG-policy-based-route-abc-10] if-match acl 2002

在接口GigabitEthernet 0/0/1上應用定義的策略abc，處理此接口接收的報文
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip policy-based-route abc
[USG-GigabitEthernet0/0/1] quit

在接口GigabitEthernet 0/0/2上應用定義的策略abc，處理此接口接收的報文
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip policy-based-route abc
[USG-GigabitEthernet0/0/2] quit

閱讀更多 SPOTO—思科華為培訓 的文章

關鍵字: IP地址 訪問 運營商