防火牆如何指定源地址
- 1關注
- 3收藏,3493瀏覽
問題描述:
防火牆需要訪問外網,但是默認使用的接口是沒有外網權限的那個。
其他網絡設備做不了配置,在防火牆本地如何手動指定訪問源地址?
組網及組網描述:
防火牆三層串聯。上下兩個IP地址。一個地址可訪問外網,另一個地址訪沒有外網權限。
- 2022-05-13提問
- 舉報
-
(3)
最佳答案
防火牆本地訪問默認使用出接口IP地址。
如果你靠近外網的那個接口不能訪問外網,可以把缺省路由指向靠近內網的那個接口,讓流量去內網繞一圈再回來,這樣源地址就變成另一個接口了。然後在入接口上啟用策略路由重新把流量引向外網並關閉路由快速轉發防止三層環路即可。
給你的樣例吧,僅供參考,實際環境更推薦和現場溝通修改其他設備的配置。
例:
#
interface GigabitEthernet1/0/0(內網口,地址和接口按實際的配置)
ip address 10.0.12.2 255.255.255.0
ip policy-based-route test(調用策略路由,需要你先配置完策略路由,否則調用無效)
#
interface GigabitEthernet1/0/1(外網口,地址和接口按實際的配置)
ip address 10.0.23.2 255.255.255.0
#
security-zone name test(安全域,按實際的配置)
import interface GigabitEthernet1/0/0
import interface GigabitEthernet1/0/1
#
security-policy ip(安全策略按照實際情況調整,要允許Local訪問Trust以及允許Trust訪問Untrust等)
rule 0 name test
action pass
#
ip route-static 0.0.0.0 0 10.0.12.1(默認路由引向內網)
#
acl advanced 3000(我測試為了方便直接permit ip了,請根據實際環境調整,起碼把源地址鎖定一下)
rule 0 permit ip
#
undo ip fast-forwarding load-sharing(關掉快速轉發,不然可能造成三層環路)
#
policy-based-route test permit node 10(策略路由)
if-match acl 3000
apply next-hop 10.0.23.3
#
- 2022-05-13回答
- 評論(1)
- 舉報
-
(1)
我也遇到這個問題了,自己想出了這個辦法。 但不明白這個快速轉發的作用。 大佬威武!
我也遇到這個問題了,自己想出了這個辦法。 但不明白這個快速轉發的作用。 大佬威武!
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明