action permit

policy service service-set test //指定上面创建的服务组 policy destination 192.168.1.5 mask 255.255.255.255 policy destination 192.168.1.6 mask 255.255.255.255 policy destination 192.168.1.7 mask 255.255.255.255 policy 2 action permit

policy destination 192.168.1.10 mask 255.255.255.255 policy destination 192.168.1.11 mask 255.255.255.255 #

有地方还需要创建地址集，方法如下

ip address-set ap type object //创建地址集： address 0 192.168.100.62 mask 32 //一个单独地址 address 1 range 18.0.6.55 18.0.6.255 //创建一个地址范围

类型是object和group的格式是一样的，只不过group里的地址里可以包含object和其他的group。

ip address-set 生产网ip限制 type group //创建地址组

address 0 address-set ap //可以包含以前的object。 address 1 range 18.0.7.0 18.0.7.255 address 2 range 18.0.6.55 18.0.6.255 address 3 range 18.0.5.0 18.0.5.255

address 4 range 18.0.4.0 18.0.4.255 //一个地址范围，组里可以包含以前创建的地址或者组。 添加地址界面

创建的地址集或者是地址组需要在策略里引用：

policy interzone trust dmz outbound policy 1

policy destination address-set生产网ip限制

2.8 内部服务器的映射

ip service-set video type object //增加自定义服务，做域间策略的时候引用 service protocol tcp destination-port 10001 to 10007 //开启端口的范围 service protocol tcp destination-port 9001 service protocol tcp destination-port 3389 service protocol tcp destination-port 1521 service protocol tcp destination-port 5060 service protocol udp destination-port 5060

ip service-set test_group type group //增加自定义服务组 service 0 service-set http service 1 service-set telnet

service 2 service-set video //这个可以是自定义的服务集 ip address-set address type object //增加自定义IP地址集 address 192.168.5.123 0 address 192.168.5.20 0

ip address-set test type group //创建自定义IP地址组

address address-set address //可以包含以前的地址object。 address 192.168.5.123 0

address range 18.0.7.0 18.0.7.255 address range 18.0.6.55 18.0.6.255 address range 18.0.5.0 18.0.5.255 policy interzone untrust dmz inbound policy 1

action permit

policy destination address-set test policy service service-set icmp policy service service-set http policy service service-set video

nat server protocol udp global 218.84.3.174 5060 inside 192.168.5.123 5060

nat server protocol tcp global 218.84.3.174 5060 inside 192.168.5.123 5060 nat server protocol tcp global 218.84.3.174 10002 inside 192.168.5.123 10002 nat server protocol tcp global 218.84.3.174 10003 inside 192.168.5.123 10003 nat server protocol tcp global 218.84.3.174 10004 inside 192.168.5.123 10004 nat server protocol tcp global 218.84.3.174 10005 inside 192.168.5.123 10005 nat server protocol tcp global 218.84.3.174 10006 inside 192.168.5.123 10006 nat server protocol tcp global 218.84.3.174 10007 inside 192.168.5.123 10007 nat server protocol tcp global 218.84.3.174 80 inside 192.168.5.20 80 查看dis policy interzone Dis nat-policy

2.9 配置域内NAT，实现内网用户通过公网访问内部服务器

1、针对全局trust区域配置了nat server

nat address-group 1 192.168.0.1 192.168.0.1 比如防火墙的trust接口地址为192.168.0.1，地址池的地址无所谓，即使配置一个防火墙上不存在的地址也无所谓，一般为了直观都用接口的ip地址。 #

nat server zone trust protocol tcp global 218.84.3.174 8090 inside 192.168.5.198 8080 //这个可以不用配置，直接用全局的也行，即不带zone的。这条没必要配置。 #

nat-policy zone trust policy 0

action source-nat

policy source 192.168.5.0 0.0.0.255 //内网网段，可以不用指定，不指定代表any policy destination 192.168.1.123 0 //内部服务器，可以不用指定，不指定代表any policy destination 192.168.1.198 0 //内部服务器，可以不用指定，不指定代表any。 address-group 1 #

ip route-static 192.168.0.1 32 NULL 0 //配置黑洞路由，避免形成路由环路，也可以不用配置，

不正常的时候在配置。

2、针对全局dmz区域配置了nat server，但是trust区域想访问dmz内部服务器映射后的公网地址的配置。

nat address-group 2 172.18.200.250 172.18.200.250 //比如dmz接口的地址是172.18.200.250 nat-policy interzone trust dmz outbound policy 0

action source-nat address-group 2

如果要是想实现dmz通过trust映射后的地址访问内部服务器可以用以下命令 nat address-group 3 172.18.200.251 172.18.200.251 nat-policy interzone dmz trust inbound policy 0

action source-nat

address-group 3

2.10 配置策略路由

配置要求：10.10.167.0走218.201.135.177，10.10.168.0走58.57.15.53。 1、创建acl

acl number 3000

rule 1 permit ip source 10.10.167.0 0.0.0.255 acl number 3001

rule 1 permit ip source 10.10.168.0 0.0.0.255

2、创建策略路由

policy-based-route internet permit node 0 if-match acl 3000

apply ip-address next-hop 218.201.135.177 policy-based-route internet permit node 1 if-match acl 3001

apply ip-address next-hop 58.57.15.53

3、将策略路由引用到入接口（内网口） ip policy-based-route internet

4、配置默认路由，配置策略路由的时候不需要配置明细路由。 ip route-static 0.0.0.0 0.0.0.0 218.201.135.177 ip route-static 0.0.0.0 0.0.0.0 58.57.15.53

检查配置：

dis policy-based-route

2.11双线接入时的路由配置

双线接入时必须选择等价路由，配置到达相同目的地的多条路由，如果指定相同优先级，则可

实现负载分担。此时，多条路由之间称为等价路由。

load-balance flow命令用来配置IP报文逐流负载分担。主要有destination-ip ，destination-port