防火墙,网络供应商变更
- 0关注
- 0收藏,87浏览
最佳答案
担心供应商变更会影响内网访问是很自然的事。别担心,只要按步骤把出口地址更新为新的公网IP,其他内网的基础配置通常无需变动。
根据H3C Comware V7平台的配置特点,你需要调整的主要是以下几个地方:
详细配置调整与检查清单
建议按照以下步骤操作,每一步都配有验证方法,确保变更全程无误。
1. 备份当前配置(操作前第一要务)
变更前务必做好备份:
2. 更新外网接口的公网IP和网关
这是本次变更的核心。
配置示例:
3. 修改NAT(网络地址转换)规则
如果Easy IP规则的出接口没变,配置无需修改。但如果接口发生了变化,或之前使用了地址池(地址组) 引流,需要做对应调整。
4. 检查并更新策略路由(PBR,基于策略的路由)
如果之前为特定内网流量配置了PBR,必须检查并更新下一跳。
5. 更新默认路由
6. 更新DNS服务器地址(如需)
建议在Trust安全域的出方向安全策略中放行DNS服务,以确保内网终端能正常解析域名。
7. 验证与排错
修改后请进行以下验证,这是确保配置无误的关键步骤:
业务验证(必做):从内网PC访问公网,检查网页等服务是否正常。使用
ping 8.8.8.8与nslookup baidu.com分别验证网络连通性与核心DNS解析。CLI查看与日志监控(进阶必做):
display ip routing-table:检查默认路由下一跳是否为新IP。display nat session:确认NAT会话中的源地址转换正常。display security-policy hit-count:检查安全策略命中次数是否在增长。display logbuffer:查看系统日志,确认无错误信息。ping新网关和8.8.8.8,直接测试网络连通性。
1. 新供应商的接入方式(静态IP/PPPoE/DHCP)
2. 具体故障现象(内网无法出外网/外网无法入内网/零段路由异常等)
3. 原防火墙出口的配置细节(默认路由、NAT策略、接口IP)
通用配置&排查步骤(先备份当前配置):
1. 配置新出口接口:
静态IP模式:
int GigabitEthernetX/Y
ip address 新公网IP 子网掩码
PPPoE模式:
int GigabitEthernetX/Y
pppoe-client dial-bundle-number 1
int Dialer1
ip address ppp-negotiate
2. 更新零段默认路由:
ip route-static 0.0.0.0 0.0.0.0 新下一跳(静态网关/Dialer1)
3. 调整NAT策略:
确保NAT转换绑定新出口接口/更新为公网IP池,例:
nat address-group 1 新公网IP 新公网IP
nat outbound 3000 address-group 1
4. 连通性排查:
出口接口ping供应商网关:ping -a 出口IP 供应商网关
内网主机ping外网,抓包验证NAT生效:packet-capture interface 内网接口 filter ip src 内网IP dst 外网IP
检查安全策略放行对应流量:display security-policy
急需技术人员上门支持,
急需技术人员上门支持,
防火墙更换运营商、换宽带线路,完整割接步骤(保证内网不动、不断业务、傻瓜式操作)
一、先理清楚拓扑
二、拿到新运营商关键参数
- 外网获取方式:PPPoE 拨号 / 静态公网 IP / DHCP 自动获取
- 如果是静态 IP:外网 IP、子网掩码、运营商网关、DNS
- 有没有固定公网 IP、要不要做端口映射 / 发布业务
- 新线路 VLAN ID(部分 OLT 需要绑定 VLAN 才能上网)
三、防火墙配置改动只做这几块(内网完全不动)
1. 改 WAN 口配置
- 原 WAN 口旧配置全部删掉
- 按新运营商参数配:
- PPPoE:填宽带账号密码、拨号自动获取
- 静态 IP:配新公网 IP、掩码、下一跳网关
- 还要配DNS:223.5.5.5 或 114.114.114.114
2. 改默认路由
3. 改 NAT 出网策略
4. 业务映射 / 公网发布
- 把旧公网 IP 替换成新运营商公网 IP
- 内网服务器 IP 完全不用变
5. 特征库 / 外网权限放行
四、割接操作顺序(不翻车版)
- 先记录旧防火墙 WAN 口 IP、路由、NAT、映射配置
- 新运营商线路接防火墙 WAN 口,先不删旧配置
- 先在防火墙新建一个临时 WAN 配置,测试外网能不能通、ping 公网
- 测试正常后,删除旧运营商路由、旧 IP、旧 NAT
- 逐一替换端口映射为公网新 IP
- 内网随便找台电脑测试:上网、业务系统、外网访问内网映射全部通
五、常见坑
- 新 OLT 需要绑定 VLAN,防火墙 WAN 口没配 VLAN,直接上不了网
- 只改 IP 没改默认路由下一跳,内网能连防火墙但上不了外网
- 有专线 / 静态路由,没清理旧运营商明细路由,路由冲突
- 端口映射只改 IP,没同步改安全策略目的地址,外网进不来
急需技术人员上门支持。我们自己不懂
急需技术人员上门支持,
急需技术人员上门支持。我们自己不懂
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明