• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

msr830内网映射

2020-11-09提问
  • 1关注
  • 1收藏,1094浏览
粉丝:0人 关注:10人

问题描述:

能不能映射中,能不能一个内网地址映射多个外网地址?我有2个上行,想把内网设备用2个外网地址映射出去,如何配置?谢谢

最佳答案

粉丝:146人 关注:1人

注意点:

1、正常配置就行了

2、注意来回路径一致


参考:

SecPath防火墙在双ISP出口中的典型配置

 

一、 组网需求:

SecPath防火墙在双ISP出口时做负载均衡使用,当一边ISP坏掉,原先的用户自动切换至另一个出口,通信始终保持正常。

由于实验环境所限,,Server使用100F代替,两ISP出口路由器使用两1000F代替。

 

二、 组网图

 

 

三、 配置步骤

1.SecPathF1000-S的主要配置

#

firewall packet-filter default permit

#

 nat address-group 1 10.1.1.1 10.1.1.5   //定义内网用户从ISP1访问Server时 ,经过NAT转换后的地址池

 nat address-group 2 202.103.1.1 202.103.1.5  //定义内网用户从ISP2访问Server时 ,经过NAT转换后的地址池

#

 bridge enable                                        //打开FW的桥接模式

 bridge 1 enable

#

 firewall statistic system enable

#

detect-group 1                                     //定义检测地址,套用与下面默认路由中

 detect-list 1 ip address 10.1.1.254

#

detect-group 2

 detect-list 1 ip address 202.103.1.254

#

acl number 2000                                 //定义需要做NAT的地址

 rule 0 permit source 192.168.1.0 0.0.0.255

 rule 1 permit source 172.16.1.0 0.0.0.255

acl number 2005                                 //定义需要做路由策略的地址

 rule 0 permit source 172.16.1.0 0.0.0.255

#

interface GigabitEthernet0/0

 ip address 10.1.1.1 255.255.255.0

 nat outbound 2000 address-group 1   //NAT在出接口应用

#

interface GigabitEthernet0/1

 ip address 202.103.1.1 255.255.255.0

 nat outbound 2000 address-group 2

#

interface GigabitEthernet1/0              //将该接口改为交换模式

 bridge-set 1

#

interface Bridge-template1               //定义交换模板

 ip address 100.1.1.1 255.255.255.0

 ip policy route-policy wanxin         //套用下面路由策略

#

firewall zone local

 set priority 100

#

firewall zone trust

 add interface GigabitEthernet1/0

 add interface Bridge-template1   //交换模板也必须加区域

 set priority 85

#

firewall zone untrust

 add interface GigabitEthernet0/0

 add interface GigabitEthernet0/1

 set priority 5

#

route-policy wanxin permit node 10 

//定义路由策略:匹配acl 2005的地址强制下一跳交给202.103.1.254

 if-match acl 2005

 apply ip-address next-hop 202.103.1.254

#

 ip route-static 0.0.0.0 0.0.0.0 10.1.1.254 preference 60 detect-group 1 

//FW认为不能与detect-group 1中所定义的IP通信时,在路由表中将自动删除该路由

 ip route-static 0.0.0.0 0.0.0.0 202.103.1.254 preference 70 detect-group 2

//将去往ISP2的默认路由优先级该为70

 ip route-static 172.16.1.0 255.255.255.0 100.1.1.254 preference 60

 ip route-static 192.168.1.0 255.255.255.0 100.1.1.254 preference 60

#

2.验证结果:

当组网正常时,PC1访问服务器将从ISP1到达

              PC2 访问服务器将从ISP2到达

FWISP1断开时,PC1访问服务器将从ISP2到达

FWISP2断开时,PC2访问服务器将从ISP1到达

 

四、 配置关键点

1.  交换模板也必须加入到某一域上;

2.  默认路由的优先级需要修改;

3.  FW上桥接模式必须打开,否则接口不生效。

4.其他见注释。

 

 

 

暂无评论

2 个回答
粉丝:6人 关注:0人

可以

按照标准的NAT功能进行配置就可以了,每个出口下都可以单独进行NAT配置,不冲突。

暂无评论

zhiliao_G68pY9 知了小白
粉丝:0人 关注:10人

试了下只能在全局下配置,端口下无法配置啊,全局下只能配置一条,再配置就提示本地地址被用了

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明