【华为ensp防火墙】双机热备+NAT+外网访问内部服务器（http、ftp） ...

防火墙理论：


1、路由、透明、混合
2、地区：Local、Trust、Dmz、Untrust
3、安全策略，地区操纵，IP
   条件、操纵、配置文件（根据现今情况，别的的安全产品替代）
   NAT策略：源所在、目的所在、双向
            静态、动态、NAPT、Easy-IP
            Nat Server
双机热备+NAT+外网访问内部服务器实行要求：


1、PC1、Server 模拟内网装备，位于防火墙的Trust地区；
2、Client1模拟Internet，位于防火墙的Untrust地区；
3、防火墙部署双机热备，工作方式为主备，正常情况下FW1为主，FW2为备；
4、要求PC1可以或许访问位于外网的PC2，并且访问时需举行NAT源所在转换，
使用的所在池区间是200.1.1.10至200.1.1.20；PC2可以或许以200.1.1.29为目的所在访问Server的FTP服务
5、要求Client1访问DMZ地区Server3 HTTP服务，以200.1.1.100为目的所在
以下是拓扑图：

基础配置：

FW1
sys
sysname FW1
undo info en
#VRRP配置，针对trust
int g1/0/0
ip add 192.168.1.253 24
vrrp vrid 1 virtual-ip 192.168.1.254 24 active
q
#VRRP配置，针对untrust
int g1/0/5
ip add 200.1.1.3 24
vrrp vrid 3 virtual-ip 200.1.1.1 24 active
q
int g1/0/6
ip add 1.1.1.1 24

#防火墙双机热备，新建地区ha
firewall zone name ha
set priority 99
add interface g 1/0/6
q
firewall zone trust
add interface g 1/0/0
q
firewall zone untrust
add interface g 1/0/5
q

FW2：
sys
sysname FW2
undo info en
#VRRP配置，针对trust
int g1/0/0
ip add 192.168.1.252 24
vrrp vrid 1 virtual-ip 192.168.1.254 24 active
q
#VRRP配置，针对untrust
int g1/0/5
ip add 200.1.1.2 24
vrrp vrid 3 virtual-ip 200.1.1.1 24 active【active是抢占式，这里也可以设置standy】
q
int g1/0/6
ip add 1.1.1.2 24

hrp int g1/0/6 remote 1.1.1.2
hrp enable

我这是FW1是主（M），FW2是备（S）
【如果你的主备机和我的不一样，则是因为前面我们前面设置vrrp的时候，vrid1和vrid3都设置的active，这是抢占式，如果你的FW2是主，不用担心，这只是因为你的FW2先抢到了主而已】
此时disable界面是因为另一端没有举行双机热备，此时我们去另一端举行配置
hrp int g1/0/6 remote 1.1.1.1
hrp enable

dis hrp state检察情况             

FW1
security-policy（只能在主上实行，备上不行）
rule name TtoU
source-zone trust
source-address 192.168.1.0 24
destination-zone untrust
action permit
int g1/0/0
service-manage ping permit（没开之前不答应）
如今尝试用PC1ping网关（192.168.1.254）看看
PC1 ping Client（200.1.1.30）试试
发现ping不通，到g1/0/5开启权限
int g1/0/5
service-manage ping permit

如今我们尝试一下主备切换
原本FW1是主（M），FW2是备（S）--【如果你的主备机和我的不一样，则是因为前面我们前面设置vrrp的时候，vrid1和vrid3都设置的active，这是抢占式，如果你的FW2是主，不用担心，这只是因为你的FW2先抢到了主而已】
如今我们将FW1酿成S（备），FW2酿成M（主）

如今再看FW1和FW2

undo shutdown就可以开启g1/0/5，取消主备切换

FTP配置：

NAT源所在转换 先配置源所在池
nat address-group 1
section 200.1.1.10 200.1.1.20  #所在区间
q
nat-policy
rule name TtoU
source-zone trust
source-address 192.168.1.0 24
destination-zone untrust
action source-nat address-group 1
q

nat server zone untrust protocol tcp global 200.1.1.29 21 inside 192.168.1.100 21
firewall zone untrust
detect ftp

security-policy
rule name toFTP
source-zone untrust
destination-zone trust
destination-address 192.168.1.100 32
action permit
q

然后我们打开server1的ftp服务，使用Client举行登录，以下是登录成功的页面

HTP配置：

FW1:
int g 1/0/1
ip add 172.168.1.253 24
vrrp vrid 5 virtual-ip 172.168.1.254 24 active

FW2：
int g 1/0/1
ip add 172.168.1.252 24
vrrp vrid 5 virtual-ip 172.168.1.254 24  active  standby

FW1：
firewall zone name dmz
add interface g 1/0/1
q
#NAT策略
nat-policy
rule name DtoU
source-zone dmz
source-address 172.168.1.0 24
destination-zone untrust
action source-nat address-group 1
#NAT Server配置HTTP服务
#HHTP服务，数据接口80
#意味着必要开放端口，NAT Server开放了80口，通过untrust地区转发，开放了80口
nat server zone untrust protocol tcp global 200.1.1.100 80 inside 172.168.1.20 80
firewall zone untrust
detect httpd
q
#配置安全策略，答应访问HTTP服务器
security-policy
rule name tohttp
source-zone untrust
destination-zone dmz
destination-address 172.168.1.20 32
action permit
int g0/0/0
service-manage all permit
然后如今就可以测试了
打开server2的http服务，然后用Client举行访问，看看是否成功

如果对您有帮助贫苦点个关注点个赞~~~

 

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。