51CTO下载-多出口防火墙标准配置.pdf

防火墙多出口标准配置 December 16, 2010 Market Dept 案例需求 1、用户分别有电信、网通互联网线路； 2、内部用户希望访问电信的业务时通过电信线路访问，访问网通业务 时通过网通线路访问以达到最快的访问速度； 3、任意一条外部链路断开可以切换到其他正常链路； 4、内部主机分别需要发布到电信和网通的公网地址上，外部主机访问 映射地址时要实现哪个接口收到的包必须通过该接口回应； 5、内部172.16.1.0子网访问互联网时只能使用电信线路，电信线路出现 故障时可以通过网通访问互联网； 2 网络拓扑图 电信 网通 61.123.123.2/24 202.106.127.2/24 ETH1：61.123.123.1/24 ETH2：202.106.127.1/24 ETH0：192.168.7.140/24 172.16.0.0/16 3 案例配置 1、分配并配置电信、网通、内网接口IP地址 4 2、配置电信、网通、内网路由 到达内网的路由 目的地址为电信的路由（需要 添加多条） 需要配置两条默认路由，度量 值小优先 5 静态、默认路由配置说明 1、内网访问电信的主机需要通过电信接口转发，需要针对电信的IP地址 段添加路由（路由表论坛上有）； 2、内网访问网通的主机需要通过网通接口转发，电信IP已配置路由表， 只需要配置一条到网通的默认路由即可，度量值为1； 3、配置以上两步网络可以正常通信，但是网通接口一旦出现故障内网将 无法访问网通的地址，需要配置一条备份的路由，配置第二条默认路 由时度量值要比上一条大，当第一条默认路由对应的接口出现故障时 系统会自动使用第二条默认路由，这样可以起到备份的作用（如果两 条路由一样度量值也相同系统会使用负载模式）。 4、地址转换根据区域做即可。 注：以上配置满足需求的第2条和第3条 6 策略路由配置 添加网通接口网段 的路由 绑定local属性路由 添加电信接口网段 添加任何路由条目 的路由 时不要选择接口 转换后的源需要开启 转换后的原选项只有在DNAT规则和双向NAT规则中才生效 7 策略路由配置说明 1、配置这两条策略路由的目的是实现