一、组网需求
防火墙到电信和联通分别有一条链路,去往电信的ip,通过wan1口;去往联通的ip,通过wan2口。
电信:wan1口 202.1.1.2/30,网关为202.1.1.1; NAT地址池: 100.0.0.1-10
联通:wan2口 202.1.1.6/30,网关为202.1.1.5; NAT地址池: 200.0.0.1-10
internal口: 内网
二、网络拓扑
三、配置要点
1、配置接口IP
2、配置路由
3、配置地址池
4、配置策略
注意事项:
当前统计到的路由表条目:电信路由表条目为1800多条,联通为400多条,移动30条左右;
1.、由于FGT60D和FGT90D等低端型号设备路由表空间有限(100条),故不适用于多线路场景;
2、FGT340D和FGT500D等中端防火墙路由表条目为500条,当有电信和其他运营商如联通等多线路时,建议电信线路添加默认路由,联通线路添加静态路由;
3、FGT1500D和FGT1000C等高端防火墙路由表空间充足;
四、操作步骤
1、配置接口IP
进入菜单:网络--接口--编辑 wan1
配置ip及子网掩码:202.1.1.2/30
进入菜单:网络--接口--编辑wan2
wan2口 202.1.1.6/30,网关为202.1.1.5;
配置结果如下:
2、配置路由
电信路由: 配置一条wan1口的默认路由
联通路由: 参照附件内的路由表导入工具,为其配置明细路由(推荐)。
反之联通配置默认路由,电信配置明细路由亦可。
菜单:网络--静态路由,点击"新建"
按如下方式创建电信默认路由表:
目的的IP/子网掩码: 由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。
设备: 该路由所关联的接口,wan1口,必须正确填写,否则该路由无法工作。
网关: 下一跳ip地址, 即wan1口对端运营商设备接口的ip地址。
路径长度:默认10 . 长度小的路由会被装入路由表。
优先级:默认0. 优先级小的优先使用。
参照附件路由表导入工具(操作方式详见附件),导入联通明细路由
3、配置地址池
进入菜单:策略&对象--IP池,点击 "新建"按钮
分别创建2 个地址池:
名称:telcom100.0.0.1-10
类型:"超载",动态的从地址池中分配
外部IP范围/子网:100.0.0.1-100.0.0.10
地址解析协议回复:启用,ARP回应,如同发送免费ARP。
名称:unicom200.0.0.1-10
类型:"超载",动态的从地址池中分配
外部IP范围/子网:200.0.0.1-200.0.0.10
地址解析协议回复:启用,ARP回应,如同发送免费ARP。
4、配置策略
配置2条策略,internal---wan1, internal---wan2.
菜单: 策略&对象--IPv4策略, 点击 "新建"
按如下方式建立策略internal-wan1:
流入接口:internal
源地址:选择刚才定义的地址资源"lan"上网网段
流出接口:wan1
目的地址选择: all,代表所有的地址
时间表:always
服务: ALL
动作:ACCEPT
NAT: 选择 "启用NAT", 勾选" 动态IP地址池",并选择相应的地址池 telecom100.0.0.1-10进行互联网访问。
点击"确定"按钮后,系统自动保存配置,启用此策略下最下方选项”启用此策略“策略生效。
按如下方式建立策略internal-wan2:
流入接口:internal
源地址:选择刚才定义的地址资源"lan"上网网段
流出接口:wan2
目的地址选择:
all,代表所有的地址
时间表:always
服务:
ALL
动作:ACCEPT
NAT: 选择
"启用NAT", 勾选" 动态IP地址池",并选择相应的地址池 unicom200.0.0.1-10进行互联网访问。
点击"确定"按钮后,系统自动保存配置,启用此策略下最下方选项”启用此策略“策略生效。
五、验证效果
上网测试,通过tracert命令,检测路径是否正确。