背景说明:

如企业有海外访问需求同时也要正常访问国内资源,访问海外需求的时候走香港电信线路,访问国内需求走中国电信线路,需要在防火墙里做分流自动选路。

假设现有资源2条互联网专线分别为:WAN1中国电信、WAN2香港电信

现遇难题,华为防火墙目标源只能写目标IP,在如此庞大的海内外需求中我们怎么去填写如此之多的目标IP,在知道国内全部IP段后又怎么实现呢?

接下来根据我的解决方案来学习吧!

拓扑图如下:

8.8.8.8 为海外资源,114.114.114.114为国内资源

VLAN20可以同时访问海内网,需要分流选路

VLAN30仅限访问国内网,禁止访问海外网络

防火墙能划分vlan么 防火墙可用于划分vlan吗_防火墙能划分vlan么

 防火墙配置过程

在这里只介绍华为防火墙web端配置,因为本次解决方案难点在于防火墙,完整实验项目会打包作为附件。

1、首先配置防火墙接口IP及默认路由

防火墙能划分vlan么 防火墙可用于划分vlan吗_网络_02

防火墙能划分vlan么 防火墙可用于划分vlan吗_运维_03

2、防火墙中创建地址组

防火墙能划分vlan么 防火墙可用于划分vlan吗_网络_04

3、 创建VLAN20国内默认出口

防火墙能划分vlan么 防火墙可用于划分vlan吗_运维_05

防火墙能划分vlan么 防火墙可用于划分vlan吗_防火墙能划分vlan么_06

  

4、创建VLAN20国外默认出口(国内的已经默认有出口了,所以剩下的全部默认走该出口)

     该原理用的是反向选择排除法,当识别国内地址后会走国内,国内以外的地址全部都是海外 

防火墙能划分vlan么 防火墙可用于划分vlan吗_运维_07

 

防火墙能划分vlan么 防火墙可用于划分vlan吗_防火墙能划分vlan么_08

 5、创建VLAN30默认全部走国内出口

防火墙能划分vlan么 防火墙可用于划分vlan吗_华为_09

 

防火墙能划分vlan么 防火墙可用于划分vlan吗_防火墙能划分vlan么_10

 6、策略路由列表

防火墙能划分vlan么 防火墙可用于划分vlan吗_IP_11

7、验证结果

 VLAN20同时可以访问国内海外

防火墙能划分vlan么 防火墙可用于划分vlan吗_网络_12

 VLAN30只能访问国内,无法访问国外

防火墙能划分vlan么 防火墙可用于划分vlan吗_运维_13

结尾

唯独需要的资源就是国内IP地址段,当自己有国内地址段的时候,做策略只用排除法除国内以外就是全部海外地址了。

怎么获得国内全部IP段,可以自行在网上查询,有很多可以查询的网站,比如工信部或者一些爱好者的博客,下载为txt后导入防火墙。

http://ipblock.chacuo.net/down/t_txt=c_CN

中国IP大全 中国IP地址列表 中国IP段下载 2022-08-11