CloudNativeQingFengH3c防火墙自定义策略配置
目录
环境
| - | - | - |
|---|---|---|
| 宽带 | 3条 | 两条联通(固定IP)一条电信(随机IP) |
| 硬件 | H3C SecPath F100-S-G3 | 全公司出网策略都在这里配置 |
需求
简单描述一下,就是公司一些运营呀客服啊等不需要固定出网IP的同学,就只连WIFI或者网线就可以上网了,但是一些有固定出网IP的技术同学则可以根据配置静态IP来让自己的出网IP固定下来,来实现一些第三方的白名单等需求。
配置
首先创建ACL,让10.20.0.0/0.0.128.255,指的是10.20.0.0/16这个网段的前半段。
然后创建策略路由,让这个网段从电信宽带出去
同理配置一下另外一半网段,这样下来如果DHCP到随机的IP地址,均有可能从电信联通宽带出去,如果你有特殊的固定出口IP需求,则只需配置静态IP来设置你的网段在10.20.128.0/24-10.20.254.0/24之间,则可以通过联通的固定IP出网。
其他方式
可以指定这个ACL的路由走到某个固定的宽带,注意这里填写的IP地址不是你的宽带固定IP,而是你的宽带网关,具体要咨询你们运营商网关IP是多少,一般运营商开通固定IP宽带时,会提供一个有好几个IP的IP段,例如1.0.0.1-1.0.0.8这8个IP,通常头和尾是广播地址,然后第二个地址就是网关,也就是上图配置红框框里写的内容。
给内网映射配置ACL
正常配置内网映射
点击创建acl
sourceip填允许谁访问,后面的掩码可以配置网段,单ip就填0.0.0.0就行了,然后再创建一个拒绝其他所有人访问的策略。
此时就配置好了,在创建内网映射的时候,选择这个2002的acl即可。