华为防火墙智能选路

最新推荐文章于 2025-03-28 17:28:22 发布
原创 最新推荐文章于 2025-03-28 17:28:22 发布 · 1.9k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全

本文详细介绍了如何在防火墙FW1和FW2上配置内网、DMZ和外网IP地址,设置安全策略、NAT功能,包括健康检查和带宽限制,并涉及双机热备和全局路由策略。通过实例展示了如何配置接口、区域和策略,确保网络流量的安全和高效管理。
部署运行你感兴趣的模型镜像

在这里插入图片描述

  1. 配置内网IP地址及区域
    [FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
    [FW1]firewall zone trust
    [FW1-zone-trust]add interface GigabitEthernet 1/0/1
    [FW1-GigabitEthernet1/0/1]service-manage ping permit
    [FW2-GigabitEthernet1/0/1]ip add 10.1.1.2 24
    [FW2]firewall zone trust
    [FW2-zone-trust]add interface GigabitEthernet 1/0/1
    [FW2-GigabitEthernet1/0/1]service-manage ping permit
    在这里插入图片描述
    在这里插入图片描述

  2. 配置DMZ区域IP地址及区域
    [FW1-GigabitEthernet1/0/6]ip add 10.1.2.1 24
    [FW1]firewall zone dmz
    [FW1-zone-dmz]add interface GigabitEthernet 1/0/6
    [FW2-GigabitEthernet1/0/6]ip add 10.1.2.2 24
    [FW2]firewall zone dmz
    [FW2-zone-dmz]add interface GigabitEthernet 1/0/6

  3. 配置外网IP地址及其互通
    [FW1-GigabitEthernet1/0/2]ip add 20.1.1.1 24
    [FW1-GigabitEthernet1/0/2]service-manage ping permit
    [FW1-GigabitEthernet1/0/3]ip add 20.1.5.11 24
    [FW1-GigabitEthernet1/0/3]service-manage ping permit
    [FW1]firewall zone untrust
    [FW1-zone-untrust]add interface g1/0/2
    [FW1-zone-untrust]add interface g1/0/3
    [FW2-GigabitEthernet1/0/2]ip add 20.1.2.2 24
    [FW2-GigabitEthernet1/0/2]service-manage ping permit
    [FW2-GigabitEthernet1/0/3]ip add 20.1.4.22 24
    [FW2-GigabitEthernet1/0/3]service-manage ping permit
    [FW2]firewall zone untrust
    [FW2-zone-untrust]add interface GigabitEthernet1/0/2
    [FW2-zone-untrust]add interface GigabitEthernet1/0/3
    [AR1-GigabitEthernet0/0/0]ip add 20.1.1.2 24
    [AR1-GigabitEthernet0/0/2]ip add 20.1.4.23 24
    [AR1-GigabitEthernet0/0/1]ip add 20.1.3.6 24
    [AR2-GigabitEthernet0/0/0]ip add 20.1.2.3 24
    [AR2-GigabitEthernet0/0/2]ip add 20.1.5.12 24
    [AR2-GigabitEthernet0/0/1]ip add 20.1.3.7 24
    [FW1]ip route-static 0.0.0.0 0.0.0.0 20.1.1.2
    [FW1]ip route-static 0.0.0.0 0.0.0.0 20.1.5.12 preference 100
    [FW2]ip route-static 0.0.0.0 0.0.0.0 20.1.4.23
    [FW2]ip route-static 0.0.0.0 0.0.0.0 20.1.2.3 preference 100

  4. 配置域间安全策略
    [FW1]security-policy
    [FW1-policy-security]rule name sec_policy
    [FW1-policy-security-rule-sec_policy]source-zone trust
    [FW1-policy-security-rule-sec_policy]source-zone local
    [FW1-policy-security-rule-sec_policy]destination-zone untrust
    [FW1-policy-security-rule-sec_policy]action permit
    [FW2]security-policy
    [FW2-policy-security]rule name sec_policy
    [FW2-policy-security-rule-sec_policy]source-zone trust
    [FW2-policy-security-rule-sec_policy]source-zone local
    [FW2-policy-security-rule-sec_policy]destination-zone untrust
    [FW2-policy-security-rule-sec_policy]action permit

  5. 配置NAT功能
    (1)在FW1上配置nat地址池和可分配的地址,nat策略
    [FW1]nat address-group nat_isp1
    [FW1-address-group-nat_isp1]section 20.1.1.100 20.1.1.110
    [FW1]nat-policy
    [FW1-policy-nat]rule name source_isp1
    [FW1-policy-nat-rule-source_isp1]source-zone trust
    [FW1-policy-nat-rule-source_isp1]destination-zone untrust
    [FW1-policy-nat-rule-source_isp1]action source-nat address-group nat_isp1
    此时如果将PC1网关设为FW1的g1/0/1的地址,就可PING通20.1.1.0网段
    在这里插入图片描述

查看NAT转换
在这里插入图片描述

(2)在FW2上配置nat地址池和可分配的地址,nat策略
[FW2]nat address-group nat_isp1
[FW2-address-group-nat_isp1]section 20.1.4.100 20.1.4.110
[FW2]nat-policy
[FW2-policy-nat]rule name source_isp1
[FW2-policy-nat-rule-source_isp1]source-zone trust
[FW2-policy-nat-rule-source_isp1]destination-zone untrust
[FW2-policy-nat-rule-source_isp1]action source-nat address-group nat_isp1
在这里插入图片描述

  1. 配置健康检查功能
    [FW1]healthcheck enable
    [FW1]healthcheck name isp1_health
    [FW1-healthcheck-isp1_health]destination 20.1.1.2 interface g1/0/2 protocol icmp
    [FW1]healthcheck name isp2_health
    [FW1-healthcheck-isp2_health]destination 20.1.5.12 int g1/0/3 protocol icmp
    在这里插入图片描述

[FW2]healthcheck enable
[FW2]healthcheck name isp1_health
[FW2-healthcheck-isp1_health]destination 20.1.4.23 interface g1/0/3 protocol icmp
[FW2]healthcheck name isp2_health
[FW2-healthcheck-isp2_health]destination 20.1.2.3 interface g1/0/2 protocol icmp
在这里插入图片描述
在这里插入图片描述

  1. 配置接口带宽
    [FW1-GigabitEthernet1/0/2]healthcheck isp1_health
    [FW1-GigabitEthernet1/0/2]bandwidth ingress 50000 threshold 90
    [FW1-GigabitEthernet1/0/2]bandwidth egress 50000 threshold 90
    [FW1-GigabitEthernet1/0/3]healthcheck isp2_health
    [FW1-GigabitEthernet1/0/3]bandwidth egress 50000 threshold 90
    [FW1-GigabitEthernet1/0/3]bandwidth ingress 50000 threshold 90
    [FW2-GigabitEthernet1/0/2]healthcheck isp2_health
    [FW2-GigabitEthernet1/0/2]bandwidth ingress 50000 threshold 90
    [FW2-GigabitEthernet1/0/2]bandwidth egress 50000 threshold 90
    [FW2-GigabitEthernet1/0/3]healthcheck isp1_health
    [FW2-GigabitEthernet1/0/3]bandwidth ingress 50000 threshold 90
    [FW2-GigabitEthernet1/0/3]bandwidth egress 50000 threshold 90

  2. 配置双机热备
    [FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 active
    [FW1-GigabitEthernet1/0/1]vrrp virtual-mac enable
    [FW1]hrp enable
    [FW1]hrp interface GigabitEthernet 1/0/6 remote 10.1.2.2
    [FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 standby
    [FW2-GigabitEthernet1/0/1]vrrp virtual-mac enable
    [FW2]hrp enable
    [FW2]hrp interface g1/0/6 remote 10.1.2.1
    [AR1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 20.1.3.254
    [AR2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 20.1.3.254
    PC可以ping通服务器
    在这里插入图片描述

  3. 配置全局选路策略
    HRP_M[FW1]link-interface 0 name ISP1 (+B)
    HRP_M[FW1-linkif-0]interface GigabitEthernet 1/0/2 next-hop 20.1.1.2 (+B)
    HRP_M[FW1-linkif-0]healthcheck isp1_health (+B)
    HRP_M[FW1]link-interface 1 name ISP2 (+B)
    HRP_M[FW1-linkif-1]interface GigabitEthernet 1/0/3 next-hop 20.1.5.12 (+B)
    HRP_M[FW1-linkif-1]healthcheck isp2_health (+B)
    HRP_M[FW1]multi-linkif (+B)
    HRP_M[FW1-multi-linkif]mode priority-of-link-quality (+B)
    HRP_M[FW1-multi-linkif]priority-of-link-quality parameter loss (+B)
    HRP_M[FW1-multi-linkif]priority-of-link-quality protocol tcp-simple (+B)
    HRP_M[FW1-multi-linkif]add linkif ISP1 (+B)
    HRP_M[FW1-multi-linkif]add linkif ISP2 (+B)
    FW2上不用配置,会自动生成以上配置
    在这里插入图片描述

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

华为防火墙的四种智能方式
qq_32044265的博客
11-16 3703
FW支持四种智能方式,不同的智能方式可以满足不同的需求,管理员可以根据设备和网络的实际情况进行择。 本文主要介绍防火墙​根据链带宽负载分担、基于链质量负载分担、基于链权重负载分担和基于链优先级主备备份,四种方式
18--华为防火墙智能配置全攻略:从拓扑到实战,让流量走“最优解“!
最新发布
2302_77698668的博客
03-28 1557
通过本文的"交通规划",你的网络将具备:• 🚑 自动故障逃生能力• 🚀 智能流量调度能力• 🛡️ 业务保障能力• 📊 可视化监控能力“配置防火墙就像训练导盲犬,既要严格遵循规则,又要足够智能应对突发情况”现在,你已经掌握了让网络流量"聪明出行"的秘籍,快去打造你的智能网络吧!
华为防火墙智能简介
qq_32044265的博客
11-15 951
通过部署智能功能,可以通过不同的智能方式,动态择最优链,并根据各链实时状态动态调整分配结果,以此提高链资源的利用率和用户体验。
华为防火墙——多出口智能
HappyAston的博客
02-04 5151
流量进转发时,查询由的先后顺序是策略由、明细由、缺省由。策略智能发生在流量命中策略由时,如果有多个出接口则需要进行。全局智能发生在流量命中缺省由时,如果有多条缺省由则需要进行。ISP智能发生在流量命中明细由时,如果有多条明细由则需要进行
防火墙NAT和智能实验详解(华为)
m0_64365018的博客
07-13 2118
从我上面一个博客能够了解到NAT和防火墙原理 ——>防火墙nat和智能,这一章我通过实验来详解防火墙关于nat和智能从而能熟练使用和配置防火墙,这里使用的是华为USG6000V1、ensp模拟器进行实验。
华为防火墙智能篇之传统方案(电信走电信、联通走联通与“负载均衡“)...
cnzzs的博客
08-08 1892
作者:网络一天 首发公众号:网络博客(ID:NetworkBlog)简介上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。方案二:外网负载均衡这种方式有一定的局限性,但是配置是最简单的。(1)要求同一个运营商(2)速率要求一样,否则会出现某一条带宽被占满导致网络...
17--华为防火墙智能全解:网络世界的智能导航系统
2302_77698668的博客
03-28 1017
介绍防火墙智能,自动择最优传输径的智能决策系统实时监测网络状态(延迟、带宽、丢包率等)支持多种策略(负载均衡、优先级、质量最优等)
华为防火墙智能篇之传统方案(电信走电信、联通走联通与“负载均衡“)
网络之路Blog(其他平台同名)
09-14 2026
上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。
华为防火墙智能篇之结束篇(链质量方式以及实际中如何择哪种方式)
网络之路Blog(其他平台同名)
09-16 1615
(1)同一运营商多线的环境比较推荐使用基于带宽/权重方式来部署(包括传统方式)速率对等的场景(可以使用带宽货传统外网负载分担)速率不对等,相差不是特别大(可以使用带宽或者权重)速率不对等,并相差特别大(建议用权重)可以实现很多场景,基于一个网段来分开走电信与联通、多个网段分开走电信与联通、通过PBR来是实现某些协议走电信或者联通、基于某个域名、某个地址走对应线。(3)一定以客户意愿为前提。
华为防火墙智能篇之传统方案(主备方式会遇到哪些问题)
weixin_41007975的博客
08-07 548
作者:网络一天 首发公众号:网络博客(ID:NetworkBlog)回顾下传统的几种方式(1)负载均衡:有两条默认由同时存在由表,防火墙通过算法自动择一条线出去。(2)主备模式:配置了优先级,比如默认走电信,联通备用。(3)基于内网的“负载分担”:比如某几个网段走电信,某几个网段走联通(4)基于IS...
华为USG9500高端防火墙智能路和负载均衡技术白皮书.pdf
11-06
华为USG9500高端防火墙智能路和负载均衡技术白皮书.pdf
华为USG9500系列下一代防火墙产品智能技术白皮书.pdf
09-23
华为USG9500系列下一代防火墙产品智能技术白皮书.pdf
华三防火墙快速入门教程
11-16
H3C V5 V7版本的命令行配置和web配置都有,让你快速上手华三防火墙基本配置,成为优秀的系统集成工程师
华为USG防火墙与Brocade VDX交换机聚合配置.pdf
10-19
本篇时配置经验,总结了华为USG防火墙与Brocade VDX交换机如何进行端口聚合的配置
华为防火墙nat和智能配置
m0_65350813的博客
07-14 660
9,多出口环境基于带宽比例进行,但是,办公区中10.0.2.10该设备只能通过电信的链访问互联网。10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;7,办公区设备可以通过电信链路和移动链上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链访问到Dmz区的http服务器。11,游客区仅能通过移动链访问互联网。11,游客区仅能通过移动链访问互联网。配置电IP和移动链Ip
防御保护---防火墙智能
zhoutong2323的博客
02-03 1282
防火墙智能是指防火墙根据不同的网络流量和安全策略,通过智能算法择最佳的通信径。
华为防火墙实现多线智能
weixin_34405332的博客
04-24 7427
分公司因项目需要,上线一台华为防火墙,为了保障互联网出口的可用性,使用了两条SP链,一条联通50M企业专线,一条电信200M拨号链。项目的需求是:1. 连接到总部的×××流量,优先使用联通线;2. 用户上网的流量,优先使用电信线;3. 当一条公网链出现故障时,能自动进行切换。需求出来后,就需要进行实施了,怎么实现需求呢:1. 需置两条链都要能上网2. 配置健康状...
华为防火墙智能篇之链权重(带宽)负载分担
网络之路Blog(其他平台同名)
09-16 2464
健康检查跟ip-link一样,需要先定好一个监测点,不变的思,肯定是找大厂商稳定的测试地址为主,比如114、阿里云DNS、百度云DNS都是可以的,但是ip-link只支持icmp探测,有局限性,但是健康检查支持更多的协议,可以基于TCP、DNS(解析某个网站)、HTTP来GET网页、ICMP,在实际中就有更多的择,常见的可以用ICMP探测以及DNS解析与TCP,下面博主用DNS以及TCP来演示下。当配置完健康检查后,会看到这样的提示,状态已经up了,说明检查成功了。
防火墙——智能讲解(全局智能、策略智能、ISP
m0_49864110的博客
06-06 5630
随着业务的不断发展,企业为例提高出口链的带宽和可靠性,一般会在出口部署多条链智能技术可以根据链带宽、权重、优先级或自动探测到目的地的链质量,动态择最优链,提高了链资源的利用率和用户体验。
防火墙配置智能
03-25
### 华为防火墙智能配置方法 #### 1. 基本概念 智能是一种通过多种因素(如带宽、链质量和优先级)来动态网络径的技术,从而优化流量分配并提高用户体验[^1]。 #### 2. 配置内网 IP 地址及区域 为了实现智能功能,首先需要定义内网接口及其所属的安全区域。以下是具体配置命令: ```shell [FW1-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0 [FW1] firewall zone trust [FW1-zone-trust] add interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1] service-manage ping permit ``` 上述命令用于设置信任区域内的内网接口,并允许 ICMP 流量通过以便于测试连接性[^2]。 #### 3. 多出口环境下的智能配置 在多出口环境中,可以通过以下方式实现基于带宽比例或其他条件的智能: ##### (1)创建全局策略 定义一条或多条全局规则,指定不同链上报文分发的比例或优先级。 ```shell [FW1] policy-based-route [FW1-pbr] rule name to_telecom [FW1-pbr-rule-to_telecom] source-address 10.0.2.10 mask 255.255.255.255 [FW1-pbr-rule-to_telecom] destination-address any [FW1-pbr-rule-to_telecom] action output-interface GigabitEthernet 1/0/2 ``` 此部分配置确保特定源地址的数据包仅通过指定的电信链发送到外部网络[^3]。 ##### (2)启用链过载保护机制 为了避免某条链因负载过高而影响整体性能,可以设定过载保护阈值。 ```shell [FW1] link-state-policy lsp_name [FW1-lsp-name] overload-protection threshold percentage 80 [FW1-lsp-name] apply interface GigabitEthernet 1/0/2 ``` 一旦检测到实际利用率超过预设百分比,则触发相应措施减少新流量进入这条接近饱和状态的线。 #### 4. 结合 NAT 功能完成最终部署 如果涉及地址转换需求,在完成以上步骤之后还需进一步调整NAT参数匹配新的由安排。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值