msr830内网映射

注意点：

1、正常配置就行了

2、注意来回路径一致

参考：

SecPath防火墙在双ISP出口中的典型配置

一、 组网需求：

SecPath防火墙在双ISP出口时做负载均衡使用，当一边ISP坏掉，原先的用户自动切换至另一个出口，通信始终保持正常。

由于实验环境所限，，Server使用100F代替，两ISP出口路由器使用两1000F代替。

二、 组网图

三、 配置步骤

1．SecPathF1000-S的主要配置：

#

firewall packet-filter default permit

#

 nat address-group 1 10.1.1.1 10.1.1.5   //定义内网用户从ISP1访问Server时 ，经过NAT转换后的地址池

 nat address-group 2 202.103.1.1 202.103.1.5  //定义内网用户从ISP2访问Server时 ，经过NAT转换后的地址池

#

 bridge enable                                        //打开FW的桥接模式

 bridge 1 enable

#

 firewall statistic system enable

#

detect-group 1                                     //定义检测地址，套用与下面默认路由中

 detect-list 1 ip address 10.1.1.254

#

detect-group 2

 detect-list 1 ip address 202.103.1.254

#

acl number 2000                                 //定义需要做NAT的地址

 rule 0 permit source 192.168.1.0 0.0.0.255

 rule 1 permit source 172.16.1.0 0.0.0.255

acl number 2005                                 //定义需要做路由策略的地址

 rule 0 permit source 172.16.1.0 0.0.0.255

#

interface GigabitEthernet0/0

 ip address 10.1.1.1 255.255.255.0

 nat outbound 2000 address-group 1   //NAT在出接口应用

#

interface GigabitEthernet0/1

 ip address 202.103.1.1 255.255.255.0

 nat outbound 2000 address-group 2

#

interface GigabitEthernet1/0              //将该接口改为交换模式

 bridge-set 1

#

interface Bridge-template1               //定义交换模板

 ip address 100.1.1.1 255.255.255.0

 ip policy route-policy wanxin         //套用下面路由策略

#

firewall zone local

 set priority 100

#

firewall zone trust

 add interface GigabitEthernet1/0

 add interface Bridge-template1   //交换模板也必须加区域

 set priority 85

#

firewall zone untrust

 add interface GigabitEthernet0/0

 add interface GigabitEthernet0/1

 set priority 5

#

route-policy wanxin permit node 10 

//定义路由策略：匹配acl 2005的地址强制下一跳交给202.103.1.254

 if-match acl 2005

 apply ip-address next-hop 202.103.1.254

#

 ip route-static 0.0.0.0 0.0.0.0 10.1.1.254 preference 60 detect-group 1 

//当FW认为不能与detect-group 1中所定义的IP通信时，在路由表中将自动删除该路由

 ip route-static 0.0.0.0 0.0.0.0 202.103.1.254 preference 70 detect-group 2

//将去往ISP2的默认路由优先级该为70

 ip route-static 172.16.1.0 255.255.255.0 100.1.1.254 preference 60

 ip route-static 192.168.1.0 255.255.255.0 100.1.1.254 preference 60

#

2．验证结果：

当组网正常时，PC1访问服务器将从ISP1到达

              PC2 访问服务器将从ISP2到达

当FW与ISP1断开时，PC1访问服务器将从ISP2到达

当FW与ISP2断开时，PC2访问服务器将从ISP1到达

四、 配置关键点

1.  交换模板也必须加入到某一域上；

2.  默认路由的优先级需要修改；

3.  FW上桥接模式必须打开，否则接口不生效。

4．其他见注释。