网络

背景信息

• 上行链路IP-Link

  当前企业通常以双上行链路方式接入Internet，以保证链路的稳定。IP-Link是指防火墙通过向指定的目的IP周期性地发送探测报文并等待应答，来判断上行链路是否发生故障。

  当上行链路出现故障时，防火墙不能将流量切换到备份链路上。故希望通过与IP-Link联动，检查链路的有效性。当发现所在链路出现故障时，则将业务流量切换到备份链路上。当链路从故障中恢复，防火墙能连续地收到响应报文，则认为链路故障已经消除。则将业务流量切换到主用链路上。

• DNS

  在防火墙上配置DNS相关功能，通过防火墙接入网络的设备能通过DNS服务器识别某些域名，自动将其解析为对应的IP地址。DNS技术实现了域名和IP地址的相互映射，可以使用户能更方便地访问互联网，无需记忆具体的IP地址。DNS客户端在接入网络以后，将DNS请求发送到DNS中继/代理：

  • 对于DNS代理，会先查询本地域名缓存表。如果能查到对应的域名解析结果，会直接将应答返回给DNS客户端；否则会将请求报文转发给DNS服务器，由DNS服务器执行域名解析。
  • 对于DNS中继，则直接将请求报文转发给DNS服务器，由DNS服务器执行域名解析，并将应答报文转发回DNS客户端。
• NAT

  在防火墙上开启NAT映射（缺省情况下已启用），使下行网络中的设备能以防火墙WAN口的IP地址访问Internet。

  NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。防火墙支持基于出接口地址方式的NAT（又称为EasyIP），租户网络中的设备可以直接借用防火墙公网接口的IP地址访问Internet。

• 子网

  通过防火墙接入网络的设备能从防火墙自动获取IP地址，从而实现与防火墙上行网络的互通。

  • DHCP服务器

    负责为DHCP客户端动态分配IP地址等网络参数的设备。

  • （可选）DHCP中继

    如果DHCP客户端和DHCP服务器不在同一个网段，可以通过DHCP中继与DHCP服务器通信，从而获取到合法的IP地址。通过部署DHCP中继可以使多个网段的设备共用一个DHCP服务器，降低成本，便于集中管理。

  • DHCP客户端

    通过DHCP协议以广播方式发送报文请求获取IP地址等网络参数的终端设备。例如PC、手机、IP电话、无盘工作站等。

操作步骤（配置上行链路管理）

1. 在站点配置页面，选择左侧导航栏的“设备配置 > 防火墙 > 设备列表”。
2. 选择目标设备，单击“设备名称”或按钮进入设备配置页面，选择“上行链路管理”页签。
3. 根据组网场景选择设备的链路联动分析策略模式。
   • 采用“主备模式”时，只需配置主链路端口的链路质量。

     

   • 采用“负载均衡”时，链路1端口和链路2端口的链路质量都需要设置。

     

   • 采用“智能选路”时，可以创建多条出口链路，并设置SLA参数，根据出口链路带宽动态地选择出接口，实现链路资源的合理利用和用户体验的提升。

     

4. （可选）创建IP-Link。
   

   如果防火墙是上行双链路，在创建IP-Link前，请确保“接口”界面已有2个上行口。一个是“连接云平台”的端口，另一个是普通上行口。

   • 单击“联动IP-Link”后的，选择链路端口对应的IP-Link。
   • 若没有适合的IP-Link，可以单击“创建”，新建一个IP-Link。具体参数说明见表1。

   

   表1 IP-Link参数说明

   参数名称	说明
   IP-Link名称	IP-Link的名称，唯一标识一个IP-Link。
   目的IP	待进行链路检测的目的IP地址。
   发包间隔	发送探测报文的时间间隔。
   失败次数	超时失败的最大次数。
   出接口	IP-Link链路在本端的接口类型和接口编号。

5. 完成配置后，单击“应用”。

操作步骤（配置NAT）

• 支持全局配置和个性化配置，全局配置的优先级低于个性化配置。
• 如果需要对站点下设备分别创建源地址和目的地址的转换策略，则需要进行“个性化配置”，创建新的配置模式。

1. （可选）NAT全局配置。
   1. 在站点配置页面，选择左侧导航栏的“设备配置 > 防火墙 > 防火墙全局配置”。
   2. 选择 “NAT”页签，开启“NAT使能”开关，使能EasyIP NAT功能，最后单击“应用”。

      

2. （可选）NAT个性化配置。
   1. 在站点配置页面，选择左侧导航栏的“设备配置 > 防火墙 > 设备列表”。
   2. 选择目标设备，单击“设备名称”或按钮进入设备配置页面，选择“NAT”页签。
   3. 单击“创建”，根据表2选择合适的转换模式，完成后单击"确定"。

      

      表2 个性化配置参数说明

      参数名称	说明
      转换模式	仅转换源地址 仅转换目的地址 源地址和目的地址同时转换 不转换源地址和目的地址
      目的地址转换方式	当且仅当NAT转换模式为“仅转换目的地址”或者“源地址和目的地址同时转换”时需要配置此项。 公网地址与私网地址一对一转换：适用于通过一个公网地址访问一个私网地址或者多个公网地址访问多个私网地址的场景。表示公网地址与私网地址一对一进行映射。 公网端口与私网地址一对一转换：适用于通过一个公网地址的多个端口访问多个私网地址的场景。表示公网地址的多个端口与多个私网地址一对一进行映射。 公网端口与私网端口一对一转换：适用于通过一个公网地址的多个端口访问一个私网地址的多个端口的场景。公网端口与私网端口一对一进行映射。 公网地址与私网端口一对一转换：适用于通过多个公网地址访问一个私网地址的多个端口的场景。多个公网地址与多个私网端口一对一进行映射。
      安全域
      源安全域	配置流量的源安全域模板。
      目的安全域	配置流量的目的安全域模板。
      原始数据包
      源地址	输入需要转换的流量的原始源IP地址，即内网主机的IP地址。输入源地址后，系统将只对来自该源地址的流量进行IP地址转换。
      目的地址	支持配置地址/地址组或者域名组。 输入内网主机想要访问的公网IP地址。配置后，系统将只对去往该目的地址的流量进行IP地址转换。 新增内网主机想要访问的域名组。配置后，系统将只对去往该域名组的流量进行IP地址转换。 说明： 当一个IP地址对应多个域名时，则一个IP地址最多支持查找两个域名，如果要查找的域名不在策略规则中，则无法命中策略，建议将相同IP地址的多个域名配置在同一个策略规则中。
      转换后的数据包
      源地址转换为	仅NAT转换模式为“仅转换源地址”或者“源地址和目的地址同时转换”时需要配置此项。 选择方式： 地址池中的地址：使用含有多个公网地址的NAT地址池来作为转换后流量的源IP地址。 出接口地址：使用该条流量最终的出接口的IP地址来作为转换后的流量的源IP地址。系统通过查询路由自动找到对应的出接口。 说明： 防火墙支持透明模式下（业务接口工作在交换模式）的NAT配置，但只支持采用地址池中的地址作为转换后的源地址。
      源转换地址池	仅NAT转换模式为“仅转换源地址”或者“源地址和目的地址同时转换”时需要配置此项。 源转换地址IP或IP段。
      目的转换地址池	仅NAT转换模式为“仅转换目的地址”或者“源地址和目的地址同时转换”时需要配置此项。 目的转换地址IP或IP段。
      目的端口转换为	仅NAT转换模式为“仅转换目的地址”或者“源地址和目的地址同时转换”时需要配置此项。 转换后的端口号。

操作步骤（配置DNS-可选）

1. 在站点配置页面，选择左侧导航栏的“设备配置 > 防火墙 > 防火墙全局配置”。
2. 根据表3设置DNS，完成后单击“应用”。如果DNS代理和DNS中继同时开启，DNS代理生效。

   

   表3 DNS参数说明

   参数名称	说明
   DNS设置	为防火墙开启/关闭DNS相关功能。如果DNS中继和DNS代理同时开启，DNS代理生效。
   DNS代理	如果设置为“ON”，则开启DNS代理功能。
   DNS动态	如果设置为“ON”，则从上行口获取DNS服务器地址。
   DNS中继	如果设置为“ON”，则开启DNS中继功能。
   DNS服务器配置列表	为防火墙配置DNS服务器。最多可以添加6个，优先级按先后顺序由高到低。每一个IP地址以换行符分隔，且重复性无效，提交时将剔除重复项。

操作步骤（配置子网）

1. 在站点配置页面，选择左侧导航栏的“设备配置 > 防火墙 > 设备列表”。
2. 选择目标设备，单击“设备名称”或按钮进入设备配置页面，选择“子网”页签。
3. 单击“创建”，根据表 子网基本参数说明设置LAN侧子网基本参数，单击“下一步”。

   

   表4 子网基本参数说明

   参数名称	说明
   子网名称	子网名称。
   VLAN ID	与防火墙直连内网设备的VLAN ID一致。
   IP/掩码	IP：VLANIF接口的IP地址，作为DHCP客户端的默认网关。 掩码：DHCP客户端自动获取到的IP地址的子网掩码。网关IP地址和子网掩码共同决定了DHCP客户端可能获取到的IP地址范围（DHCP地址池）。
   安全域	缺省为trust，可选择或创建其他域。
   Ping	是否开启Ping功能。

4. 根据表 DHCP参数说明配置DHCP参数，完成后单击“确定”。

   

   表5 DHCP参数说明

   参数名称	说明
   DHCP	是否开启DHCP功能。
   DHCP模式	为防火墙配置DHCP工作模式。 服务器：将防火墙作为DHCP服务器，为内网用户动态分配IP地址。 中继：将防火墙作为DHCP中继。
   DNS服务	为DHCP客户端指定DNS服务器。 系统DNS Proxy：从上行口获取DNS服务器地址。 自定义：单独配置DNS服务器地址。
   首选DNS/备选DNS	DNS服务设置为自定义时，需要配置DNS服务器的IP地址。
   DHCP选项	DHCP option的选项和值，在DHCP分配IP地址的时候一起下发给DHCP终端。 当选择“云平台地址(148)”时，需要将文本类型的值设置为agilemode=xxx；agilemanage-mode=xxx；agilemanage-domain=xxxx.xxx；agilemanage-port=xxx；样式。内网云化设备在通过DHCP请求IP地址的时候就会通过该选项的值获得华为乾坤的地址和端口。例如：agilemode=agile-cloud;agilemanage-mode=domain;agilemanage-domain=device.qiankun-saas.huawei.com;agilemanage-port=10020;。 其中： agilemode：值为agile-cloud（云平台默认下发模式）、tradition（通过外挂的DHCP server option148切换）或者tradition-fit（WAC场景下的FIT模式切换；只有AP识别此种类型）。 agilemanage-mode：值为ip或者domain，表示agilemanage-domain的参数值是IP地址还是域名。 agilemanage-domain：云平台的域名或者IP地址。 agile-port：格式为数字，表示云平台的端口。
   租期	DHCP服务器采用动态分配机制给客户端分配IP地址时，分配出去的IP地址有租期限制。租期时间到后服务器会收回该IP地址，收回的IP地址可以继续分配给其他客户端使用。
   保留IP	保留指定IP地址段。防火墙不会将该范围内的IP地址分配给内网设备。
   静态地址绑定	为特定的终端分配固定的IP地址。

后续操作

完成网络配置后，还支持如下操作：

• “设备配置 > 防火墙 > 设备列表”下，单设备的“上行链路管理”页签中IP-Link支持的操作：

  修改IP-Link：单击IP-Link列表中，支持修改IP-Link目的IP，其他参数不支持修改。

  删除IP-Link：单击IP-Link列表中，支持删除指定IP-Link。

• “设备配置 > 防火墙 > 设备列表”下，单设备的“NAT”页签中个性化配置支持的操作：

  修改NAT：单击NAT列表中，支持修改NAT参数。名称和转换模式不支持修改。

  删除NAT：单击NAT列表中或单击列表右上方“删除”。

• “设备配置 > 防火墙 > 设备列表”下，单设备的“子网”页签中支持的操作：

  修改子网：单击子网列表中，支持修改子网参数。子网名称与VLAN ID不支持修改。

  删除子网：单击子网列表中，支持删除子网。

• 查看业务配置结果：
  • 查看设备侧配置结果：单击“设备配置 > 防火墙 > 设备列表”，选择指定设备，单击“配置结果”页签查看设备配置详情。
  • 查看全局配置结果：在站点配置页面，单击页面“配置结果”，查看站点内所有设备的配置详情。