華爲防火牆雙區域互通及訪問外網配置
qq3421609946
1.問題概述
最近碰到一個問題,公司內部有兩個網絡。一個是192.168.3.0/24網段的,另外一個是10.1.0.0/24網段的專網。
兩個網絡共同接入一臺華爲防火牆,通過華爲防火牆訪問互聯網。
目前存在的問題,僅有192.168.3.0/24網段能夠訪問互聯網。10.1.0.0/24網段的專網無法訪問互聯網,並且和192.168.3.0/24網段的計算機無法互相通信,這兩個均需要解決。
模擬拓撲圖如下:
2.問題判斷
經過初步判斷,192.168.3.0網段能夠訪問互聯網,說明外網接入不存在問題。那麼應該是10.1.0.0/24網段訪問外網權限存在問題,應該是防火牆策略配置沒有配置正確。
3.解決思路
因爲內網訪問均不存在問題,說明內網的接口在所屬區域和配置策略均沒有問題。所以將防火牆接入專網10網段的接口,同樣加入內網接口所在區域,既能解決該問題,滿足專網方位互聯網和內網的權限。
4.模擬實現
(1)基礎配置
首先完成網絡的基礎配置,包含各個PC設備的IP地址,這不做具體實現。
(2)權限配置
首先配置防火牆FW1接口IP地址
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 119.36.139.2 255.255.255.252
interface GigabitEthernet0/0/1
ip address 192.168.3.254 255.255.255.0
interface GigabitEthernet0/0/2
ip address 10.1.0.254 255.255.255.0
將接口加入對應區域
內網接口和專網接口加入trust區域
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
add interface GigabitEthernet0/0/2
外網接口加入Untrust區域
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0
配置trust區域和untrust可以通信
policy interzone trust untrust outbound
policy 1
action permit
這裏如果要加強管理,可以配置更嚴格的權限。
## (3)NAT配置
通過easy-ip的方式,NAT接口爲G0/0/0接口,訪問互聯網。
nat-policy interzone trust untrust outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/0
配置默認路由轉向的外網IP地址
ip route-static 0.0.0.0 0.0.0.0 119.36.139.1
模擬的互聯網路由器只用配置一個IP地址,不用配置任何路由信息。
## (4)驗證
在專網計算機10.1.0.1上驗證,結果如下圖所示,解決問題:
![](https://s1.51cto.com/images/blog/201908/25/c979829dde394456f4b961d57d6ae569.jpg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)