收藏
下载资源

华为双链路出口调试步骤

上传人:鲁** 文档编号:575869780 上传时间:2024-08-18 格式:PDF 页数:9 大小:280.91KB
返回 下载 相关 举报
华为双链路出口调试步骤_第1页
第1页 / 共9页
华为双链路出口调试步骤_第2页
第2页 / 共9页
华为双链路出口调试步骤_第3页
第3页 / 共9页
华为双链路出口调试步骤_第4页
第4页 / 共9页
华为双链路出口调试步骤_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《华为双链路出口调试步骤》由会员分享,可在线阅读,更多相关《华为双链路出口调试步骤(9页珍藏版)》请在金锄头文库上搜索。

1、. . . . . 出口网关双链路接入不同运营商举例二USG 作为校园或大型企业出口网关可以实现网用户通过两个运营商访问Internet,并保护网不受网络攻击。组网需求某学校网络通过 USG 连接到 Internet,校组网情况如下:?校用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG 。?学校分别通过两个不同运营商(ISP1和 ISP2)连接到 Internet,两个运营商分别为该校分配了3 个 IP 地址。 ISP1 分配的 IP 地址是 200.1.1.1 200.1.1.3 ,ISP2 分配的 IP 地址是 202.1.1.1 202.1.1.3 ,掩码均为 24位。该学校网络

2、需要实现以下需求:?校用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG 上连接该运营商的对应的接口转发。?当一条链路出现故障时, 流量可以被及时切换到另一条链路上,避免网络长时间中断。?保护部网络不受 SYN Flood、UDP Flood 和 ICMP Flood 的攻击。图 1 出口网关双链路接入不同运营商举例二组网图项目数据说明. . . . . 项目数据说明(1)接口号:GigabitEthernet 0/0/0 IP 地址: 10.1.1.1/16 安全区域: Trust 接口(1)是连接网汇聚交换机的接口。校用户分配到网段为10.1.0.0/16的私网地址

3、和 DNS 服务器地址100.1.1.1/24,部署在Trust 区域。(2)接口号:GigabitEthernet 0/0/2 IP 地址: 200.1.1.1/24 安全区域: ISP1 安全优先级: 15 接口( 2)是连接 ISP1 的接口, 去往 ISP1 所属网段的数据通过接口(2) 转发。(3)接口号:GigabitEthernet 5/0/0 IP 地址: 202.1.1.1/24 安全区域: ISP2 安全优先级: 20 接口( 3)是连接 ISP2 的接口。 去往 ISP2 所属网段的数据通过接口(3) 转发。(4)接口号:GigabitEthernet 0/0/0 IP

4、地址: 200.1.1.10/24 接口 (4) 是 ISP1 端与 USG相连的接口。(5)接口号:GigabitEthernet 0/0/0 IP 地址: 202.1.1.10/24 接口 (5) 是 ISP2 端与 USG相连的接口。ISP1 分配给学校的 IP 地址200.1.1.1 200.1.1.3 ,掩码 24位。其中 200.1.1.1用作 USG的出接口地址,200.1.1.2和 200.1.1.3用作Trust ISP1 域间的 NAT地址池 1 的地址。ISP2 分配给学校的 IP 地址202.1.1.1 202.1.1.3 ,掩码 24位。其中 202.1.1.1用作

5、USG的出接口地址,202.1.1.2和 202.1.1.3用作. . . . . 项目数据说明Trust ISP2 域间的 NAT地址池 2 的地址。配置思路?为了实现校园网用户使用有限公网IP 地址接入 Internet, 需要配置 NAPT方式的 NAT ,借助端口将多个私网IP 地址转换为有限的公网IP 地址。由于校园网连接两个运营商, 因此需要分别进行地址转换, 将私网地址转换为公网地址。即创建两个安全区域ISP1 和 ISP2(安全优先级低于DMZ区域) , 并分别在 Trust ISP1域间、 Trust ISP2 域间配置 NAT outbound。?为了实现去往不同运营商的流

6、量由对应接口转发,需要收集 ISP1 和 ISP2所属网段的信息,并配置到这些网段的静态路由。使去往ISP1 的流量通过连接 ISP1 的接口转发,去往ISP2 的流量通过连接 ISP2 的接口转发。为了提高链路可靠性, 避免业务中断, 需要配置两条缺省路由。 当报文无法匹配静态路由时,通过缺省路由发送给下一跳。?在 USG 上启用攻击防功能,保护校园网部网络。操作步骤1. 配置 USG 各接口的 IP 地址并将接口加入安全区域。# 配置 USG 各接口的 IP 地址。 system-viewUSG interface GigabitEthernet 0/0/0USG-GigabitEther

7、net0/0/0 ip address 10.1.1.1 16USG-GigabitEthernet0/0/0 quitUSG interface GigabitEthernet 0/0/2USG-GigabitEthernet0/0/2 ip address 200.1.1.1 24USG-GigabitEthernet0/0/2 quitUSG interface GigabitEthernet 5/0/0USG-GigabitEthernet5/0/0 ip address 202.1.1.1 24USG-GigabitEthernet5/0/0 quit# 将 GigabitEther

8、net 0/0/0接口加入 Trust 安全区域USG firewall zone trustUSG-zone-trust add interface GigabitEthernet 0/0/0. . . . . USG-zone-trust quit# 创建安全区域 ISP1,并将 GigabitEthernet 0/0/2接口加入 ISP1。USG firewall zone name isp1USG-zone-isp1 set priority 15USG-zone-isp1 add interface GigabitEthernet 0/0/2USG-zone-isp1 quit# 创

9、建安全区域 ISP2,并将 GigabitEthernet 5/0/0接口加入 ISP2。USG firewall zone name isp2USG-zone-isp2 set priority 20USG-zone-isp2 add interface GigabitEthernet 5/0/0USG-zone-isp2 quit2. 配置域间包过滤及ASPF功能,对校外数据流进行访问控制。# 配置 Trust ISP1 的域间包过滤,允许校用户访问ISP1。USG policy interzone trust isp1 outboundUSG-policy-interzone-trust

10、-isp1-outbound policy 1USG-policy-interzone-trust-isp1-outbound-1 policy source 10.1.0.0 0.0.255.255USG-policy-interzone-trust-isp1-outbound-1 action permitUSG-policy-interzone-trust-isp1-outbound-1 quitUSG-policy-interzone-trust-isp1-outbound quit# 配置 Trust ISP2 的域间包过滤,允许校用户访问ISP2。USG policy interz

11、one trust isp2 outboundUSG-policy-interzone-trust-isp2-outbound policy 1USG-policy-interzone-trust-isp2-outbound-1 policy source 10.1.0.0 0.0.255.255USG-policy-interzone-trust-isp2-outbound-1 action permitUSG-policy-interzone-trust-isp2-outbound-1 quitUSG-policy-interzone-trust-isp2-outbound quit# 在

12、域间开启 ASPF功能,防止多通道协议无法建立连接。USG firewall interzone trust isp1USG-interzone-trust-isp1 detect ftpUSG-interzone-trust-isp1 detect qqUSG-interzone-trust-isp1 detect msnUSG-interzone-trust-isp1 quit. . . . . USG firewall interzone trust isp2USG-interzone-trust-isp2 detect ftpUSG-interzone-trust-isp2 detec

13、t qqUSG-interzone-trust-isp2 detect msnUSG-interzone-trust-isp2 quit3. 配置 NAT outbound,使网用户通过转换后的公网IP 地址访问 Internet。# 配置应用于 Trust ISP1 域间的 NAT地址池 1。地址池 1 包括 ISP1 提供的两个 IP 地址 200.1.1.2和 200.1.1.3 。USG nat address-group 1 200.1.1.2 200.1.1.3# 配置应用于 Trust ISP2 域间的 NAT地址池 2。地址池 2 包括 ISP2 提供的两个 IP 地址 202

14、.1.1.2和 202.1.1.3 。USG nat address-group 2 202.1.1.2 202.1.1.3# 在 Trust ISP1 域间配置 NAT outbound,将校用户的私网IP 地址转换为 ISP1 提供的公网 IP 地址。USG nat-policy interzone trust isp1 outboundUSG-nat-policy-interzone-trust-isp1-outbound policy 1USG-nat-policy-interzone-trust-isp1-outbound-1 policy source 10.1.0.0 0.0.2

15、55.255USG-nat-policy-interzone-trust-isp1-outbound-1 action source-natUSG-nat-policy-interzone-trust-isp1-outbound-1 address-group 1USG-nat-policy-interzone-trust-isp1-outbound-1 quitUSG-nat-policy-interzone-trust-isp1-outbound quit# 在 Trust ISP2 域间配置 NAT outbound,将校用户的私网IP 地址转换为 ISP2 提供的公网 IP 地址。US

16、G nat-policy interzone trust isp2 outboundUSG-nat-policy-interzone-trust-isp2-outbound policy 1USG-nat-policy-interzone-trust-isp2-outbound-1 policy source 10.1.0.0 0.0.255.255USG-nat-policy-interzone-trust-isp2-outbound-1 action source-natUSG-nat-policy-interzone-trust-isp2-outbound-1 address-group

17、 2USG-nat-policy-interzone-trust-isp2-outbound-1 quitUSG-nat-policy-interzone-trust-isp2-outbound quit. . . . . 4. 配置多条静态路由和两条缺省路由, 实现网络的 双出口 特性和链路的可靠性。# 为特定目的 IP 地址的报文指定出接口, 目的地址为 IPS1 的指定出接口为 GigabitEthernet 0/0/2、目的地址为 ISP2 的指定出接口为GigabitEthernet 5/0/0。注意:实际场景中, 可能需指定多条静态路由,为特定目的 IP 地址配置明细路由。因此需要

18、咨询运营商获取ISP 所属网段信息。 本例中仅给出了四条静态路由的配置。USG ip route-static 200.1.2.3 24 GigabitEthernet 0/0/2 200.1.1.10USG ip route-static 200.2.2.1 24 GigabitEthernet 0/0/2 200.1.1.10USG ip route-static 202.1.2.3 24 GigabitEthernet 5/0/0 202.1.1.10USG ip route-static 202.2.3.4 24 GigabitEthernet 5/0/0 202.1.1.10# 配置

19、两条缺省路由, 当报文无法匹配静态路由时, 通过缺省路由发送给下一跳。USG ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/2 200.1.1.10USG ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 5/0/0 202.1.1.105. 配置攻击防功能,保护校园网络。注意:请根据网络实际情况开启攻击防功能和调整报文速率阈值,本例中配置的攻击防功能仅供参考。# 开 SYN Flood、UDP Flood 和 ICMP Flood 攻击防功能,并限制每条会话允许通过的 ICMP报文最大速率

20、为 5 包/ 秒。USG firewall defend syn-flood enableUSG firewall defend udp-flood enableUSG firewall defend icmp-flood enableUSG firewall defend icmp-flood base-session max-rate 5. . . . . 结果验证1. 执行命令 display nat all ,可以看到配置的 NAT地址池和部服务器信息。2.USG display nat all3.4.NAT address-group information: 5. number :

21、 1 name : - 6. startaddr : 200.1.1.2 endaddr : 200.1.1.3 7. reference : 0 vrrp : - 8. vpninstance : public 9.10. number : 2 name : - 11. startaddr : 202.1.1.2 endaddr : 202.1.1.3 12. reference : 1 vrrp : - 13. vpninstance : public 14.15. Total 2 address-groups 16.17.Server in private network informa

22、tion: Total 0 NAT servers 18. 通过在网络中操作,检查业务是否能够正常实现。# 在校园网的一台主机上,访问ISP1 所属网段的一台服务器( IP 地址为200.1.2.3 ),通过执行命令display firewall session table,可以看到私网 IP 地址转换成了 ISP1 的公网 IP 地址。USG display firewall session table Current Total Sessions : 1 http VPN: public - public 10.1.2.2:1674200.1.1.2:12889-200.1.2.3:80

23、 配置脚本USG 配置脚本:# nat address-group 1 200.1.1.2 200.1.1.3 nat address-group 2 202.1.1.2 202.1.1.3 # . . . . . firewall defend icmp-flood enable firewall defend udp-flood enable firewall defend syn-flood enable firewall defend icmp-flood base-session max-rate 5 # interface GigabitEthernet0/0/0 ip addre

24、ss 10.1.1.1 255.255.0.0 # interface GigabitEthernet0/0/2 ip address 200.1.1.1 255.255.255.0 # interface GigabitEthernet5/0/0 ip address 202.1.1.1 255.255.255.0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 # firewall zone untrust set

25、priority 5 # firewall zone dmz set priority 50 # firewall zone name isp1 set priority 15 add interface GigabitEthernet0/0/2 # firewall zone name isp2 set priority 20 add interface GigabitEthernet5/0/0 # firewall interzone trust isp1 detect ftp detect qq detect msn # firewall interzone trust isp2 det

26、ect ftp detect qq detect msn . . . . . # firewall interzone dmz isp1 detect ftp # firewall interzone dmz isp2 detect ftp # ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 200.1.1.10 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet5/0/0 202.1.1.10 ip route-static 200.1.2.0 255.255.255.0 GigabitEt

27、hernet0/0/2 200.1.1.10 ip route-static 200.2.2.1 255.255.255.0 GigabitEthernet0/0/2 200.1.1.10 ip route-static 202.1.2.0 255.255.255.0 GigabitEthernet5/0/0 202.1.1.10 ip route-static 202.2.3.4 255.255.255.0 GigabitEthernet5/0/0 202.1.1.10 # policy interzone trust isp1 outbound policy 1 action permit

28、 policy source 10.1.0.0 0.0.255.255 # policy interzone trust isp2 outbound policy 1 action permit policy source 10.1.0.0 0.0.255.255 # nat-policy interzone trust isp1 outbound policy 1 action source-nat policy source 10.1.0.0 0.0.255.255 address-group 1 # nat-policy interzone trust isp2 outbound policy 1 action source-nat policy source 10.1.0.0 0.0.255.255 address-group 2 # return

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号