场景说明:防火墙采用主备模式,上联路由器采用OSPF连接,下联交换机采用vrrp连接,终端网关为防火墙,使用交换机模拟终端。终端通过SNAT后可以访问100.1.1.1,通过DNAT200.1.1.1给终端让公网可以ping到内网设备。
防火墙配置如下:
# version 7.1.064, Alpha 7164 # sysname FW-A #这里分别track上下联,如果是非直连链路可以考虑track ip地址 track 1 interface GigabitEthernet1/0/1 # track 2 interface GigabitEthernet1/0/2 #配置上联ospf,引入静态路由的时候建议使用route-policy来控制引入哪些路由,这里为了方便没有写策略 ospf 1 router-id 1.1.1.1 import-route static area 0.0.0.0 network 10.0.12.0 0.0.0.3 # nat address-group 0 name SNAT //配置SNAT地址池 address 100.0.0.1 100.0.0.254 # object-group service ICMP_ALL //配置ICMP服务对象。 0 service icmp # interface GigabitEthernet1/0/1 port link-mode route combo enable copper ip address 10.0.12.2 255.255.255.252 ospf network-type p2p # interface GigabitEthernet1/0/2 //配置下联接口,主备除了实地址外,就是虚地址后的状态为standby port link-mode route combo enable copper ip address 192.168.10.253 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.10.254 active # interface GigabitEthernet1/0/23 //配置心跳接口 port link-mode route combo enable copper ip address 1.1.1.1 255.255.255.252 # security-zone name Local # security-zone name Trust import interface GigabitEthernet1/0/2 # security-zone name DMZ import interface GigabitEthernet1/0/23 # security-zone name Untrust import interface GigabitEthernet1/0/1 # ip route-static 100.0.0.0 24 NULL0 //配置NAT后的黑洞路由 ip route-static 200.1.1.0 24 NULL0 //配置NAT后的黑洞路由 # nat global-policy rule name Trust_Untrust_SNAT //SNAT策略 source-zone Trust destination-zone Untrust source-ip subnet 192.168.10.0 24 action snat address-group name SNAT rule name Untrust_Trust_DNAT //DNAT策略 source-zone untrust destination-ip host 200.1.1.1 action dnat ip-address 192.168.10.1 # ip http enable ip https enable # security-policy ip rule 0 name Trust_Untrust_Permit //允许内网访问外网所有地址 action pass source-zone Trust destination-zone Untrust source-ip-subnet 192.168.10.0 255.255.255.0 rule 1 name Local_Untrust_OSPF_Permit //允许防火墙建立OSPF邻居关系 action pass source-zone local source-zone untrust destination-zone untrust destination-zone local service ospf rule 2 name Untrust_Trust_Permit //允许外网所有地址访问192.168.10.1的ICMP协议 action pass source-zone untrust destination-zone trust destination-ip-host 192.168.10.1 service ICMP_ALL # remote-backup group //防火墙双机配置 RBM data-channel interface GigabitEthernet1/0/23 //配置数据同步接口,用于同步各种表项、配置等信息 delay-time 1 //配置抢占延迟,默认不抢占,此处配置抢占延迟为1 adjust-cost ospf enable absolute //配置OSPF协议通告绝对值,默认没有,此处配置完毕后,备墙会发送COST为65500的OSPF路由出去 track 1 //关联track track 2 local-ip 1.1.1.1 remote-ip 1.1.1.2 device-role primary //设置当前设备角色 此处还有很多默认配置没有显示,比如热备、防火墙模式(默认为主备) # return
测试结果:
总结:H3C的配置与华为的HRP几乎类似,仅某些默认参数、功能、命令不太一样,但是几乎配置流程完全一样。另外就是关于SNAT或DNAT的配置,这里采用的是nat-global-policy的方式配置,与华为类似,也可以通过在接口下配置nat或者在全局下配置nat来实现类似的功能。