华为防火墙配置双链路接入,并且在内网能用公网IP访问服务器

2022-05-18 15:56:08 浏览数 (1)

由于这个时代对网络的依赖,多条宽带的接入变得很平常,本文讲述某企业申请了两条电信光纤,一条是固定IP的城域网,另一条则是PPPOE拨号的普通宽带,前者用于服务器和硬盘录像机,后者用来办公上网。

接入设备是华为的防火墙,型号:USG6330,下面来配置两条宽带的接入配置,以及策略路由,并且需要为某一台服务器配置为在内外网都用公网IP来访问。

老规矩,先上个超级简陋版的拓扑图:

一、配置接口及安全区域

1、在华为防火墙的定义中,外网为非受信任区域,即untrust;内网为信任区域,即trust,这个很好理解,就不多作解释了,下面是商品的配置。

2、把GE1/0/0配置为pppoe拨号宽带所在的端口,安全区域选择为untrust即可,不必像笔者这样,特地新建了一个安全区域,当时只是用来验证自己的某些想法,后来并没有这么配过。注意连接类型选择为PPPOE,然后输入电信给的宽带帐号和密码就可以了。

3、把GE1/0/1配置为固定IP的城域网所在的端口,安全区域同样选择为untrust即可,注意连接类型选择为静态IP,然后输入电信给的IP地址、子网掩码和网关就可以了,至于DNS服务器,笔者在这里配置了两个,一是该客户内部的DNS服务器,二是电信给的DNS服务器

4、配置内网接口,连接类型当然是选择静态IP了,输入内网的IP,这个IP地址,接下来就是内网电脑的网关地址了,注意要启用这个接口的访问管理,方便以WEB方式管理防火墙

二、配置DHCP服务器

一般来说,笔者习惯于把DHCP服务开在网管交换机,但是这个客户全是最简陋的非网管交换机,那就没办法了,只能在防火墙或者在Windows服务器上配置DHCP服务器。

因为内网有域控服务器,而域控上一般都会有DNS服务器,所以,在DHCP的配置中,一定要指定内网的DNS服务器排成最前面,后面那个电信的DNS服务器地址,可有可无。

要在防火墙里面配置保留IP和MAC地址绑定,也是挺简单的,如下图所示:

三、配置安全策略

默认只有一个untrust的情况下,只要做一条trust to unturst的安全策略就行了,但是笔者新建了一个pppoeunturst,所以就要分别做两条安全策略了,因为要让不同的设备走不同的线路

四、配置源NAT

源NAT要做两条:一条是指定哪些设备走固定IP的城域网,另一条当然是明确一下,哪些设备走普通的拨号宽带(一般来说,就是要上网的办公电脑)

五、配置静态路由

一通猛如虎的操作,却还不能上网,因为还缺一条默认路由(静态路由)

六、配置策略路由

上面的静态路由,只能使走固定IP的设备成功上网,走拨号宽带的设备,暂时还是无法连接外网的,还需要做一条策略路由

经过以上配置,实现了不同的设备走不同的接入链路上网,但是问题来了,走了不同链路的设备,在内网竟然无法通讯了,原来还得再配置一条策略路由

七、为了在内网也能用公网IP来访问服务器,我们必须再配置一条源NAT策略

这条策略很重要,它能够使我们即使在内网,也能用公网的IP来访问内网的服务器,避免笔记本电脑重复切换配置(10.1.2.0/24为内网网段,10.1.2.3/32是需要内外网用同一个公网IP访问的服务器)

——笔者为网络工程师,擅长计算机网络领域,创业多年,希望把自己的经验分享给大家,如有相同或者不同观点,欢迎评论。

0 人点赞