华为防火墙双区域互通及访问外网配置
qq3421609946
1.问题概述
最近碰到一个问题,公司内部有两个网络。一个是192.168.3.0/24网段的,另外一个是10.1.0.0/24网段的专网。
两个网络共同接入一台华为防火墙,通过华为防火墙访问互联网。
目前存在的问题,仅有192.168.3.0/24网段能够访问互联网。10.1.0.0/24网段的专网无法访问互联网,并且和192.168.3.0/24网段的计算机无法互相通信,这两个均需要解决。
模拟拓扑图如下:
2.问题判断
经过初步判断,192.168.3.0网段能够访问互联网,说明外网接入不存在问题。那么应该是10.1.0.0/24网段访问外网权限存在问题,应该是防火墙策略配置没有配置正确。
3.解决思路
因为内网访问均不存在问题,说明内网的接口在所属区域和配置策略均没有问题。所以将防火墙接入专网10网段的接口,同样加入内网接口所在区域,既能解决该问题,满足专网方位互联网和内网的权限。
4.模拟实现
(1)基础配置
首先完成网络的基础配置,包含各个PC设备的IP地址,这不做具体实现。
(2)权限配置
首先配置防火墙FW1接口IP地址
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 119.36.139.2 255.255.255.252
interface GigabitEthernet0/0/1
ip address 192.168.3.254 255.255.255.0
interface GigabitEthernet0/0/2
ip address 10.1.0.254 255.255.255.0
将接口加入对应区域
内网接口和专网接口加入trust区域
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
add interface GigabitEthernet0/0/2
外网接口加入Untrust区域
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0
配置trust区域和untrust可以通信
policy interzone trust untrust outbound
policy 1
action permit
这里如果要加强管理,可以配置更严格的权限。
## (3)NAT配置
通过easy-ip的方式,NAT接口为G0/0/0接口,访问互联网。
nat-policy interzone trust untrust outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/0
配置默认路由转向的外网IP地址
ip route-static 0.0.0.0 0.0.0.0 119.36.139.1
模拟的互联网路由器只用配置一个IP地址,不用配置任何路由信息。
## (4)验证
在专网计算机10.1.0.1上验证,结果如下图所示,解决问题:
![](https://s1.51cto.com/images/blog/201908/25/c979829dde394456f4b961d57d6ae569.jpg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
原文地址:https://blog.51cto.com/6385585/2432444
时间: 2024-11-03 20:52:20