拓扑环境:
客户端(172.2.215.10)------------172.2.215.105--G1/0/0 -F1060
测试防火墙版本
[H3C]dis version
H3C Comware Software, Version 7.1.064, Release 9323P13
[H3C]probe
[H3C-probe]dis sys int ver
H3C SecPath F1060 V900R003B01D622SP13
Comware V700R001B64D022SP13
IP资源配置(采用设备默认证书)
(这里其他步骤和WEB资源方式基本类似,在新建访问实例时,勾选上IP资源,IP资源的配置如下图所示)
IP业务需要分配的地址段配置完成后,将IP资源和资源组做个关联,需要特别注意的是,IPv4 ACL侧一定要下发包过滤策略,不然无法ping通AC接口地址
强制接入解释:
在资源组中勾选强制接入按钮时,系统会自动下发一条缺省路由到客户端,使得客户端访问外网的流量统一走总部出口设备出去,如下图一
(图一 强制接入时主机路由表项)
如下图二是没有勾选强制接入的主机路由表项,该情况下,客户端访问总部的流量从本地网卡出去(前提是已经配置了到达总部内网网段的明细路由),访问外网的流量走PC自身网卡出去
(图二 没有勾选强制接入时主机路由表项)
图三 是做个简单的测试,在防火墙F1060上起了一个环回口,地址为1.1.1.1 32,点击强制接入和没有点击强制接入时ping测试的效果
结论:当勾选强制接入时,防火墙会向PC下发一条默认路由,该路由比PC自身的默认路由优先级高,所以当访问1.1.1.1时,会主走防火墙下发的那条默认路由,所以ping 1.1.1.1是通的;当没有勾选强制接入时,防火墙不会下发缺省路由给PC,当PC访问1.1.1.1时,会走主机原有的默认路由,而访问1.1.1.1找不到目标主机,所以不可达
注意:在配置IP资源时,在资源中一定要关联上IPv4 ACL策略,否则,Ping测试AC口地址都是不通的。
如上案例为早期学习时整理的,如有错误之处,欢迎指正,技术问题可联系QQ:1656209309