DCFW1800E/S防火墙的源地址路由功能区别于一般常用的目的路由在于:源地址路由在判断数据包的转发时除了查看目的地址外,还要匹配数据包的源地址。下面是源地址路由在上网分流时使用的案例。
1、网络拓扑
2、案例需求
这个案例中防火墙有两条上网线路,为了实现上网数据分流在防火墙上设定:当内网网段192.168.10.0/24上网时经由网通线路(即转发至网关172.16.11.1)。当内网网段192.168.100.0/24上网时经由电线线路(即转发至网关10.1.1.2/24)。
3、配置步骤
添加防火墙接口地址。网络->接口
添加去往内网网段192.168.10.0/24网段的路由。网络->路由->路由->新增
添加去往内网网段192.168.100.0/24网段的路由。网络->路由->路由->新增
添加内网192.168.10.0/24网段访问Internet的源地址路由,经由网通线路。网络->路由->源地址路由->新增
添加内网192.168.100.0/24网段访问Internet的源地址路由,经由电信线路。网络->路由->源地址路由->新增
添加192.168.10.0/24网段访问Internet的动态NAT,因为该网段通过网通线路访问Inernet,所以要使用if0接口地址做NAT。NAT->动态NAT->新增
添加192.168.100.0/24网段访问Internet的动态NAT,因为该网段通过电信线路访问Inernet,所以要使用if2接口地址做NAT。NAT->动态NAT->新增
为网段192.168.10.0/24定义网络对象,在后续的策略中要引用(注意选择正确接口)。网络->网络对象->新增
为网段192.168.100.0/24定义网络对象,在后续的策略中要引用(注意选择正确接口)。网络->网络对象->新增
添加策略允许192.168.10.0/24网段访问untrust(网通线路)
添加策略允许192.168.100.0/24网段访问DMZ(电信线路)
设置完毕后点击按钮使配置马上生效,点击按钮保存配置。下载本文
