请教!华为防火墙双链路连接外网+需要NAT转换的问题
这个就要看,你是需要两调链路做策略路由呢还是做主备
用Internet举例吧:
这个只不过是一个地址池,也就是你用在公网上寻址的IP。是把你内网的火星地址如192.168.1.x转换后在公网上显示的地址。
这个公网地址可以是一段你申请的地址,如果用61.100.100.1 61.100.100.10就是将内网地址按出站顺序分别转换成.1~.10 中的公网地址。
你可能被文档中的这句话误导了:“动态地址转换的过程中,NAT网关将会从地址池中挑选一个地址作为转换后的报文源地址。由于动态地址转换的关联配置中需要引用已经定义的地址池,因此需要根据实际网络情况,预先合理规划公网IP地址池。”
转换后的报文源地址,即你在ISP申请的公网地址,而不是转换前的内网地址。
原有链路所在端口设置为域network1,后租用链路设置为域network2。
现在针对你的目标:
1、在两条链路都通畅时,内网用户在访问外网58.0.0.0/8这个网段的网站时,流量走原有的链路;当用户访问其他非58.0.0.0/8这个网段的网站时,流量走后租用的这条链路。
---配置静态路由 ip static-route 58.0.0.0 255.0.0.0 10.100.10.1 //目的地址为58.0.0.0/8的下一跳10.100.10.1。另外再配置一条缺省路由 ip static-route 0.0.0.0 0.0.0.0 172.100.10.1 //目的地址为非58.0.0.0/8的,下一跳为172.100.10.1
2、 当两条链路中的任意一条链路出现故障断开时,用户访问外网的所有流量走没有故障的链路。
---这个可以通过配置静态路由优先级的做法来实现,静态路由默认优先级为60,可以加一条优先级为70的静态路由ip static-route 58.0.0.0 255.0.0.0 172.100.10.1 preference 70, ip static-route 0.0.0.0 0.0.0.0 10.100.10.1 preference 70。
假设内网服务器所连接的防火墙端口为域trust,然后设置trust域到network2域的域间nat outbound,做ACL为允许58.30.0.0/24段放通,做nat转换,地址池为219.249.239.2—219.249.239.4。这样基本就完成你所需达到目标的配置了,当然我所说的这些指令是华为“一道门”系列防火墙的配置指令,USG5150HSR可能指令略有出入,但思路基本一样。
另外回答你的问题:
用户在访问外网时,是先根据数据包的源或目标地址在路由表中查找走哪一条链路,然后把数据发送到指定链路接口,并对用户地址做转换(NAT);还是在根据数据包的源或目标地址在路由表中查找路由的同时就把用户的IP地址做NAT转换,然后再把数据包发送到指定的链路接口。
---以上面的配置为例,trust域的服务器通过你后租用链路访问公网,首先数据包送到防火墙时,防火墙会根据你包的目的地址判断应该走的接口为network2域这个端口,因为跨域了,会去匹配域间规则,匹配顺序为先检测是否能够从trust域放通到network2域,如果通过,继续做nat规则匹配,如果匹配上nat规则,做nat转换后送往下一跳访问公网。
不知道我的答案说的是否明白?
不容易啊,给个好评吧 :)
我的电脑用华为客户端链接校园网的,链接成功了,但是网页打不开,qq也...
是杀毒软件的问题,你用的是什么杀毒软件啊?诺盾的话这种情况最明显。打开杀毒软件,按F5键进入高级设置菜单,选择“web访问保护”中的“http”中的“web浏览器”,然后双击,进入“internet浏览器”选项中。把那些打钩的全换成叉,就行了。或者直接重装杀毒软件。
华鲲振宇是华为的吗
华鲲振宇并非华为的子公司,而是华为的合作伙伴。根据报道,华鲲振宇是华为鲲鹏生态链的企业之一,并且在“鲲鹏+异腾”生态销售规模和能力评估方面均位居第一,是华为生态伙伴中唯一获得“鲲鹏+异腾”双领先级认证的伙伴。作为国内领先的智算存一体化算力产业领军企业,华鲲振宇成立于2020年6月18日,由...
谁能详细介绍下华为路由器AR46?
我这里一个网络设计方案,上联线路是电信和移动的两路光纤接入,拟用两台华为AR46分别放在电信和移动两侧...AR46系列路由器采用了独特的的双总线体系结构,两条独立的PCI总线以及高性能的CPU,配合自主知识产权的IP...AR 46系列路由器全面集成了CA、包过滤防火墙、动态防火墙、ISPKeeper DOS防御系统、NAT、用户认证、安全...
华为剥离荣耀提现了华为企业和任正非什么样的社会责任
另一方面,华为在国际上的影响力,让荣耀成了中端手机市场的一张“王牌”。 但爆炸式的崛起速度,让华为迎来了一波又一波的“限令”,导致华为核心供应链受到限制,为避免牵连以手机业务为主的荣耀,任正非只能含泪送别,双方最终成为“对手”,形成竞争关系。然而,脱离华为后的荣耀,可以说是喜忧参半。 脱离华为后,荣耀第...
华为q2s跟ax3pro怎么选?
华为路由器Q2S和Q2Pro区别主要在传输速度、特性和功耗上。传输速度上,前者bai无线速率最高可达 400Mbps\/867Mbps,后者为300Mbps\/867Mbps。特性上,前者为子母路由支持混合组网,后者支持防暴力破解,自动屏蔽破解者。以下是具体说明:一、华为q2s:1、产品类型:家用无线路由器,分布式路由器。2、频率...
华为C8813Q刷机包指南:无痛升级的完整教程
2. 关闭防火墙和杀毒软件 为避免升级过程中防火墙和杀毒软件的干扰,建议在升级前关闭防火墙和杀毒软件。3. 先备份IMEI号码 如果你的手机是双卡双待机型号,则需要备份IMEI号码,备份方法请参照华为官网给出的相关教程。四、刷机操作步骤 1. 连接手机和电脑 使用USB数据线将华为C8813Q手机与电脑连接,打开...
华为荣耀6开机时出现1重新启动2 恢复出厂设置3清除caha分区是什么原因...
不要上键和开机键一起按着,这样就会出现你说的情况。恢复出厂设置的步骤;打开设置 找到重置与恢复 选择重置手机 输入开机密码 重置即可
华为MateBook系列新品有哪些-华为MateBook系列新品推荐
56Whr锂聚合物电池,本地高清视频播放续航14.7小时,15分钟快充可用3小时,并配备65W USB-C迷你充电器,重仅160克,兼容华为手机快充。散热方面采用立体进风设计与双热管,鲨鱼鳍大风扇2.0,风量提升18%,搭配智能滤波技术、七颗温度传感器。接口方面,一个USB-A 3.0、一个USB-A 2.0均支持5V\/1....
网通宽带怎么玩电信游戏??
问题18:我想取消宽带共享器(路由器)里的防火墙等过滤设置,你们能告诉我应该具体怎么做么? 回答:很不幸,我们无法告诉你应该怎么做。 解释:现在市场上的宽带共享器(路由器)的软件各式各样,我们不可能去了解所有厂商的所有型号的产品的各种设置和调试方法,所以我们无法教你怎么设置,因此你只能自己看看说明书,或者联系...
华为p40相机的红外线起什么作用?
网络体验方面,配合麒麟990 5G芯片,除了支持更多的5G频段,还可实现5G+4G双链路同时上传,而配合自研的麒麟海思W650芯片,华为P40系列更是全面支持Wi-Fi6+体验,并且拥有最强的双频GPS能力。存储方面,这次华为P40系列海外版设置得非常有意思,每个型号都只有一个存储版本,其中P40为8GB+128GB,P40 Pro为8GB+256GB,而顶配...
狄促注射: 看你的连接拓扑,这样配置VRRP的意义并不是很大,通常VRRP是在核心层来使用的,看这个图显示,网络并不复杂,核心层同时也是接入层,如果是多vlan环境,也只是为不同vlan转发提供了不同通道. 一般VRRP会和vlan配合使用,以达到...
岱岳区18745117379: 防火墙双链路 - ?
狄促注射: 若是两条链路都在用,那应该是负载均衡.若只能其中一条那就是链路容灾了.
岱岳区18745117379: 防火墙、交换机如何配置,上公网 - ?
狄促注射: 这个我建议你找供应商要求提供技术支持,如果你这边只有20个PC上网 华为的防火墙一般都支持WEB配置.DHCP建议开在防火墙就可以了 至于交换机可以无配置.防火墙主要配置就是一个外网口设置固定IP地址和NAT功能加一条默认路由.开启DHCP功能就可以了.
岱岳区18745117379: 请教关于华为防火墙nat server命令不同使用方法 - ?
狄促注射: 第一个是所有人都可使用多个ip访问服务器,第二个是每个区域的人使用一个ip访问服务器. 第二个适用于双isp连路.
岱岳区18745117379: 如何实现双光纤,路由器,交换机 - ?
狄促注射: 根据你的要求的话,只要网关的路由设备支持双wan功能就可以满足了,下接的内网网段需要区分开的话就要用到三层交换机,性价比高一点的话推荐华为的USG6300系列防火墙(支持段wan口,负载均衡,还有2个光纤口但光纤口要配合光纤模块才能直接插光纤使用),三层的话华为的5700系列交换机版本SI以上就可以了;这样就可以满足你现在的要求了.
岱岳区18745117379: 一台华为MT880b的调制解调器 +一台TEI402多功能路由器+一条4MB宽带:如何实现两台电脑同时上网? - ?
狄促注射: 1.架设硬件,连接组网: A、外网4MB宽带“接”华为MT880b的调制解调器上“LINE”口. B、用一条双绞线将华为MT880b的调制解调器上"Ethernet"口和TEI402多功能路由器上的“WAN”口连接. C、用两条双绞线分别将两台电脑的网...
岱岳区18745117379: 关于华为防火墙配置的一些问题? - ?
狄促注射: nat-policy nat策略policy 策略不是一个意思,一个是做nat代理上网需要做的策略.一个是正常防火墙放通规则的策略.
岱岳区18745117379: 半点不懂的人,求教华为Secoway USG2160 防火墙做网络映射 - ?
狄促注射: 内网地址NAT转换成公网地址得话,就是做一个NAT地址池(公网地址),写一条acl(内网地址),匹配acl,动作进行NAT转换 服务器映射,就是把内网的服务器地址映射成公网地址,那样可以通过互联网访问该服务器 原理都是进行NAT转换 配置命令行相对复杂,在web页面里有个策略,NAT策略里直接配置就行了
岱岳区18745117379: 华为路由器配置 - ?
狄促注射: 基本命令 en 进入特权模式 conf 进入全局配置模式 in s0 进入 serial 0 端口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配 enca hdlc/ppp 捆绑链路协议 hdlc 或者 ppp ip unn e0 exit 回到全局配置模式 in e0 进入以太接口配置 ...
