华为双链路出口调试步骤.docx
- 文档编号:5570280
- 上传时间:2022-12-27
- 格式:DOCX
- 页数:10
- 大小:36.13KB
华为双链路出口调试步骤.docx
《华为双链路出口调试步骤.docx》由会员分享,可在线阅读,更多相关《华为双链路出口调试步骤.docx(10页珍藏版)》请在冰豆网上搜索。
华为双链路出口调试步骤
出口网关双链路接入不同运营商举例二
USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击。
组网需求
某学校网络通过USG连接到Internet,校内组网情况如下:
∙校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。
∙学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了3个IP地址。
ISP1分配的IP地址是200.1.1.1~200.1.1.3,ISP2分配的IP地址是202.1.1.1~202.1.1.3,掩码均为24位。
该学校网络需要实现以下需求:
∙校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。
∙当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
∙保护内部网络不受SYNFlood、UDPFlood和ICMPFlood的攻击。
图1出口网关双链路接入不同运营商举例二组网图
项目
数据
说明
(1)
接口号:
GigabitEthernet0/0/0
IP地址:
10.1.1.1/16
安全区域:
Trust
接口
(1)是连接内网汇聚交换机的接口。
校内用户分配到网段为10.1.0.0/16的私网地址和DNS服务器地址100.1.1.1/24,部署在Trust区域。
(2)
接口号:
GigabitEthernet0/0/2
IP地址:
200.1.1.1/24
安全区域:
ISP1
安全优先级:
15
接口
(2)是连接ISP1的接口,去往ISP1所属网段的数据通过接口
(2)转发。
(3)
接口号:
GigabitEthernet5/0/0
IP地址:
202.1.1.1/24
安全区域:
ISP2
安全优先级:
20
接口(3)是连接ISP2的接口。
去往ISP2所属网段的数据通过接口(3)转发。
(4)
接口号:
GigabitEthernet0/0/0
IP地址:
200.1.1.10/24
接口(4)是ISP1端与USG相连的接口。
(5)
接口号:
GigabitEthernet0/0/0
IP地址:
202.1.1.10/24
接口(5)是ISP2端与USG相连的接口。
ISP1分配给学校的IP地址
200.1.1.1~200.1.1.3,掩码24位。
其中200.1.1.1用作USG的出接口地址,200.1.1.2和200.1.1.3用作Trust—ISP1域间的NAT地址池1的地址。
ISP2分配给学校的IP地址
202.1.1.1~202.1.1.3,掩码24位。
其中202.1.1.1用作USG的出接口地址,202.1.1.2和202.1.1.3用作Trust—ISP2域间的NAT地址池2的地址。
配置思路
∙为了实现校园网用户使用有限公网IP地址接入Internet,需要配置NAPT方式的NAT,借助端口将多个私网IP地址转换为有限的公网IP地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网地址。
即创建两个安全区域ISP1和ISP2(安全优先级低于DMZ区域),并分别在Trust—ISP1域间、Trust—ISP2域间配置NAToutbound。
∙为了实现去往不同运营商的流量由对应接口转发,需要收集ISP1和ISP2所属网段的信息,并配置到这些网段的静态路由。
使去往ISP1的流量通过连接ISP1的接口转发,去往ISP2的流量通过连接ISP2的接口转发。
为了提高链路可靠性,避免业务中断,需要配置两条缺省路由。
当报文无法匹配静态路由时,通过缺省路由发送给下一跳。
∙在USG上启用攻击防范功能,保护校园网内部网络。
操作步骤
1.配置USG各接口的IP地址并将接口加入安全区域。
#配置USG各接口的IP地址。
[USG]interfaceGigabitEthernet0/0/0
[USG-GigabitEthernet0/0/0]ipaddress10.1.1.116
[USG-GigabitEthernet0/0/0]quit
[USG]interfaceGigabitEthernet0/0/2
[USG-GigabitEthernet0/0/2]ipaddress200.1.1.124
[USG-GigabitEthernet0/0/2]quit
[USG]interfaceGigabitEthernet5/0/0
[USG-GigabitEthernet5/0/0]ipaddress202.1.1.124
[USG-GigabitEthernet5/0/0]quit
#将GigabitEthernet0/0/0接口加入Trust安全区域
[USG]firewallzonetrust
[USG-zone-trust]addinterfaceGigabitEthernet0/0/0
[USG-zone-trust]quit
#创建安全区域ISP1,并将GigabitEthernet0/0/2接口加入ISP1。
[USG]firewallzonenameisp1
[USG-zone-isp1]setpriority15
[USG-zone-isp1]addinterfaceGigabitEthernet0/0/2
[USG-zone-isp1]quit
#创建安全区域ISP2,并将GigabitEthernet5/0/0接口加入ISP2。
[USG]firewallzonenameisp2
[USG-zone-isp2]setpriority20
[USG-zone-isp2]addinterfaceGigabitEthernet5/0/0
[USG-zone-isp2]quit
2.配置域间包过滤及ASPF功能,对校内外数据流进行访问控制。
#配置Trust—ISP1的域间包过滤,允许校内用户访问ISP1。
[USG]policyinterzonetrustisp1outbound
[USG-policy-interzone-trust-isp1-outbound]policy1
[USG-policy-interzone-trust-isp1-outbound-1]policysource10.1.0.00.0.255.255
[USG-policy-interzone-trust-isp1-outbound-1]actionpermit
[USG-policy-interzone-trust-isp1-outbound-1]quit
[USG-policy-interzone-trust-isp1-outbound]quit
#配置Trust—ISP2的域间包过滤,允许校内用户访问ISP2。
[USG]policyinterzonetrustisp2outbound
[USG-policy-interzone-trust-isp2-outbound]policy1
[USG-policy-interzone-trust-isp2-outbound-1]policysource10.1.0.00.0.255.255
[USG-policy-interzone-trust-isp2-outbound-1]actionpermit
[USG-policy-interzone-trust-isp2-outbound-1]quit
[USG-policy-interzone-trust-isp2-outbound]quit
#在域间开启ASPF功能,防止多通道协议无法建立连接。
[USG]firewallinterzonetrustisp1
[USG-interzone-trust-isp1]detectftp
[USG-interzone-trust-isp1]detectqq
[USG-interzone-trust-isp1]detectmsn
[USG-interzone-trust-isp1]quit
[USG]firewallinterzonetrustisp2
[USG-interzone-trust-isp2]detectftp
[USG-interzone-trust-isp2]detectqq
[USG-interzone-trust-isp2]detectmsn
[USG-interzone-trust-isp2]quit
3.配置NAToutbound,使内网用户通过转换后的公网IP地址访问Internet。
#配置应用于Trust—ISP1域间的NAT地址池1。
地址池1包括ISP1提供的两个IP地址200.1.1.2和200.1.1.3。
[USG]nataddress-group1200.1.1.2200.1.1.3
#配置应用于Trust—ISP2域间的NAT地址池2。
地址池2包括ISP2提供的两个IP地址202.1.1.2和202.1.1.3。
[USG]nataddress-group2202.1.1.2202.1.1.3
#在Trust—ISP1域间配置NAToutbound,将校内用户的私网IP地址转换为ISP1提供的公网IP地址。
[USG]nat-policyinterzonetrustisp1outbound
[USG-nat-policy-interzone-trust-isp1-outbound]policy1
[USG-nat-policy-interzone-trust-isp1-outbound-1]policysource10.1.0.00.0.255.255
[USG-nat-policy-interzone-trust-isp1-outbound-1]actionsource-nat
[USG-nat-policy-interzone-trust-isp1-outbound-1]address-group1
[USG-nat-policy-interzone-trust-isp1-outbound-1]quit
[USG-nat-policy-interzone-trust-isp1-outbound]quit
#在Trust—ISP2域间配置NAToutbound,将校内用户的私网IP地址转换为ISP2提供的公网IP地址。
[USG]nat-policyinterzonetrustisp2outbound
[USG-nat-policy-interzone-trust-isp2-outbound]policy1
[USG-nat-policy-interzone-trust-isp2-outbound-1]policysource10.1.0.00.0.255.255
[USG-nat-policy-interzone-trust-isp2-outbound-1]actionsource-nat
[USG-nat-policy-interzone-trust-isp2-outbound-1]address-group2
[USG-nat-policy-interzone-trust-isp2-outbound-1]quit
[USG-nat-policy-interzone-trust-isp2-outbound]quit
4.配置多条静态路由和两条缺省路由,实现网络的双出口特性和链路的可靠性。
#为特定目的IP地址的报文指定出接口,目的地址为IPS1的指定出接口为GigabitEthernet0/0/2、目的地址为ISP2的指定出接口为GigabitEthernet5/0/0。
注意:
实际场景中,可能需指定多条静态路由,为特定目的IP地址配置明细路由。
因此需要咨询运营商获取ISP所属网段信息。
本例中仅给出了四条静态路由的配置。
[USG]iproute-static200.1.2.324GigabitEthernet0/0/2200.1.1.10
[USG]iproute-static200.2.2.124GigabitEthernet0/0/2200.1.1.10
[USG]iproute-static202.1.2.324GigabitEthernet5/0/0202.1.1.10
[USG]iproute-static202.2.3.424GigabitEthernet5/0/0202.1.1.10
#配置两条缺省路由,当报文无法匹配静态路由时,通过缺省路由发送给下一跳。
[USG]iproute-static0.0.0.00.0.0.0GigabitEthernet0/0/2200.1.1.10
[USG]iproute-static0.0.0.00.0.0.0GigabitEthernet5/0/0202.1.1.10
5.配置攻击防范功能,保护校园网络。
注意:
请根据网络实际情况开启攻击防范功能和调整报文速率阈值,本例中配置的攻击防范功能仅供参考。
#开SYNFlood、UDPFlood和ICMPFlood攻击防范功能,并限制每条会话允许通过的ICMP报文最大速率为5包/秒。
[USG]firewalldefendsyn-floodenable
[USG]firewalldefendudp-floodenable
[USG]firewalldefendicmp-floodenable
[USG]firewalldefendicmp-floodbase-sessionmax-rate5
结果验证
1.执行命令displaynatall,可以看到配置的NAT地址池和内部服务器信息。
2.[USG]displaynatall
3.
4.NATaddress-groupinformation:
5.number:
1name:
---
6.startaddr:
200.1.1.2endaddr:
200.1.1.3
7.reference:
0vrrp:
---
8.vpninstance:
public
9.
10.number:
2name:
---
11.startaddr:
202.1.1.2endaddr:
202.1.1.3
12.reference:
1vrrp:
---
13.vpninstance:
public
14.
15.Total2address-groups
16.
17.Serverinprivatenetworkinformation:
Total0NATservers
18.通过在网络中操作,检查业务是否能够正常实现。
#在校园网内的一台主机上,访问ISP1所属网段的一台服务器(IP地址为200.1.2.3),通过执行命令displayfirewallsessiontable,可以看到私网IP地址转换成了ISP1的公网IP地址。
[USG]displayfirewallsessiontable
CurrentTotalSessions:
1
httpVPN:
public->public10.1.2.2:
1674[200.1.1.2:
12889]-->200.1.2.3:
80
配置脚本
USG配置脚本:
#
nataddress-group1200.1.1.2200.1.1.3
nataddress-group2202.1.1.2202.1.1.3
#
firewalldefendicmp-floodenable
firewalldefendudp-floodenable
firewalldefendsyn-floodenable
firewalldefendicmp-floodbase-sessionmax-rate5
#
interfaceGigabitEthernet0/0/0
ipaddress10.1.1.1255.255.0.0
#
interfaceGigabitEthernet0/0/2
ipaddress200.1.1.1255.255.255.0
#
interfaceGigabitEthernet5/0/0
ipaddress202.1.1.1255.255.255.0
#
firewallzonelocal
setpriority100
#
firewallzonetrust
setpriority85
addinterfaceGigabitEthernet0/0/0
#
firewallzoneuntrust
setpriority5
#
firewallzonedmz
setpriority50
#
firewallzonenameisp1
setpriority15
addinterfaceGigabitEthernet0/0/2
#
firewallzonenameisp2
setpriority20
addinterfaceGigabitEthernet5/0/0
#
firewallinterzonetrustisp1
detectftp
detectqq
detectmsn
#
firewallinterzonetrustisp2
detectftp
detectqq
detectmsn
#
firewallinterzonedmzisp1
detectftp
#
firewallinterzonedmzisp2
detectftp
#
iproute-static0.0.0.00.0.0.0GigabitEthernet0/0/2200.1.1.10
iproute-static0.0.0.00.0.0.0GigabitEthernet5/0/0202.1.1.10
iproute-static200.1.2.0255.255.255.0GigabitEthernet0/0/2200.1.1.10
iproute-static200.2.2.1255.255.255.0GigabitEthernet0/0/2200.1.1.10
iproute-static202.1.2.0255.255.255.0GigabitEthernet5/0/0202.1.1.10
iproute-static202.2.3.4255.255.255.0GigabitEthernet5/0/0202.1.1.10
#
policyinterzonetrustisp1outbound
policy1
actionpermit
policysource10.1.0.00.0.255.255
#
policyinterzonetrustisp2outbound
policy1
actionpermit
policysource10.1.0.00.0.255.255
#
nat-policyinterzonetrustisp1outbound
policy1
actionsource-nat
policysource10.1.0.00.0.255.255
address-group1
#
nat-policyinterzonetrustisp2outbound
policy1
actionsource-nat
policysource10.1.0.00.0.255.255
address-group2
#
return
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 双链路 出口 调试 步骤
![提示](https://static.bdocx.com/images/bang_tan.gif)