51CTO下载-多出口防火墙标准配置

《51CTO下载-多出口防火墙标准配置》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、防火墙多出口标准配置December16,2010MarketDept案例需求1、用户分别有电信、网通互联网线路；2、内部用户希望访问电信的业务时通过电信线路访问，访问网通业务时通过网通线路访问以达到最快的访问速度；3、任意一条外部链路断开可以切换到其他正常链路；4、内部主机分别需要发布到电信和网通的公网地址上，外部主机访问映射地址时要实现哪个接口收到的包必须通过该接口回应；5、内部172.16.1.0子网访问互联网时只能使用电信线路，电信线路出现故障时可以通过网通访问互联网；2网络拓扑图电信网通61.123.123.2/242

2、02.106.127.2/24ETH1：61.123.123.1/24ETH2：202.106.127.1/24ETH0：192.168.7.140/24172.16.0.0/163案例配置1、分配并配置电信、网通、内网接口IP地址42、配置电信、网通、内网路由到达内网的路由目的地址为电信的路由（需要添加多条）需要配置两条默认路由，度量值小优先5静态、默认路由配置说明1、内网访问电信的主机需要通过电信接口转发，需要针对电信的IP地址段添加路由（路由表论坛上有）；2、内网访问网通的主机需要通过网通接口转发，电信IP已配置路由表，只

3、需要配置一条到网通的默认路由即可，度量值为1；3、配置以上两步网络可以正常通信，但是网通接口一旦出现故障内网将无法访问网通的地址，需要配置一条备份的路由，配置第二条默认路由时度量值要比上一条大，当第一条默认路由对应的接口出现故障时系统会自动使用第二条默认路由，这样可以起到备份的作用（如果两条路由一样度量值也相同系统会使用负载模式）。4、地址转换根据区域做即可。注：以上配置满足需求的第2条和第3条6策略路由配置添加网通接口网段的路由绑定local属性路由添加电信接口网段添加任何路由条目的路由时不要选择接口转换后的源需要开启转换后的

4、原选项只有在DNAT规则和双向NAT规则中才生效7策略路由配置说明1、配置这两条策略路由的目的是实现映射时实现ETH1接口收到的包能从ETH1回应，ETH2接口收到的包从ETH2回应；2、如果不配置这两条策略路由，应用中可能有一条链路是正常的，或者某一条链路不稳定，因为防火墙映射始终是成功的，主要是映射后服务器的回应包到防火墙后，防火墙会根据路由表去转发数据，这样就可能导致ETH1接口收到的数据包通过ETH2发送出去，导致应用异常；3、双出口情况下需要通过两个外网接口管理防火墙时需要配置该策略路由，有直接访问设备接口IP的情况都

5、需要配置，如双出口映射、管理防火墙等。该配置满足需求第4条8策略路由配置说明绑定global属性路由经过防火墙的数据路由需要绑定global属性，然后再在该属性里添加路由条目。说明：当某物理口故障时对于该接口的所有路由都会失效，设备会自动选择符合的路由条目，如静态路由和默认路由。9策略路由说明1、接口相关的策略路由当选择接口相关的属性时，由于接口和属性是一一对应的，因此将策略与属性绑定实现了策略与接口的绑定，从而使得不同的接口收到的数据包可以使用不同的路由策略。接口指的是接收数据报文的接口，可以为任何接口，但是只有可以路由的接口

6、才会起作用，可以路由的接口包括：非交换模式的物理接口、VLAN虚接口、子接口以及IPSEC、GRE等动态接口。2、本机外出的策略路由：当属性选择local时，表示为本机发出的数据报文匹配的策略路由。3、全局的策略路由当属性选择global时。任何接口收到的数据包都会查找全局的策略路由注意：如果全局的策略路由和接口相关的策略路由定义相冲突，则全局策略路由的优先级低于接口相关的策略路由。策略路由根据顺序执行。10智能选路说明在多链路的环境中，通过设备转发或者到本机的报文会进行负载均衡。在实际境中，会出现这样的情况：要求报文必须从其接

7、收的端口原路返回，即不能让请求报文从一条链路来，而回复报文从另一条链路返回。对此问题，有两种解决方案：（1）开启“智能选路”开关，就可以做到报文的源去源回。智能选路原理是当设备收到数据包时会根据设备的路由表对于接口路由查询有没有到达该数据包的路由条目，如果有就记住数据包路径，如果没有就匹配默认路由接口发送，所以为了保证该功能能生效必须配置两条默认路由（优先级不一样），这样无论哪个接口都能记住数据包的路径。（2）定义相关的策略路由时开启“NAT后的源”选项，对返回的数据报文进行控制，从而实现源去源回。1112