华为策略路由加等价路由_华为——防火墙——策略路由配置及思路
华为——策略路由(校园网配置)
作用:通过分析数据报的源地址和目标地址,按照策略规则选择不同的网关,进行数据转发。提供冗余,负载,但是还是单线路的速度。只是提供了不同的方向,并没有进行合并线路。
拓扑图如下:
配置思路:
配置命令:
1.LSW1配置:
[Huawei]vlan 10
[Huawei-vlan10]vlan 20
[Huawei-vlan20]quit
[Huawei]int e0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei]int e0/0/3
[Huawei-Ethernet0/0/3]port link-type access //将接口类型定义为接入模式
[Huawei-Ethernet0/0/3]port default vlan 20 //将接口划分vlan 20
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type trunk //将该接口定义为Trunk中继模式
[Huawei-Ethernet0/0/1]port trunk allow-pass vlan all //允许所有vlan通过
2.AR1配置:
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 1.0.0.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]undo shutdown
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 4.0.0.2 255.255.255.0
[Huawei-GigabitEthernet0/0/1]undo shutdown
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 3.0.0.1 255.255.255.0
[Huawei-GigabitEthernet0/0/2]undo shutdown
[Huawei-GigabitEthernet0/0/2]quit
配置OSPF,定义为area 0区域
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 1.0.0.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 3.0.0.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 4.0.0.0 0.0.0.255
3. AR3配置:
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable //关闭consolo端接入设备信息中心发送的 调试/报警/日志消息
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 3.0.0.2 255.255.255.0
[Huawei-GigabitEthernet0/0/0]undo shutdown
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 2.0.0.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]undo shutdown
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 5.0.0.2 255.255.255.0
[Huawei-GigabitEthernet0/0/2]undo shutdown
[Huawei-GigabitEthernet0/0/2]quit
配置OSPF,定义区域为area 0
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 3.0.0.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 5.0.0.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 2.0.0.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]quit
4.(USG5500)FW1配置:
SYS
11:46:33 2020/03/03
Enter system view, return user view with Ctrl+Z.
[SRG]undo info-center enable //关闭consolo端接入设备信息中心发送的 调试/报警/日志消息
[SRG]int g0/0/2
[SRG-GigabitEthernet0/0/2]ip add 4.0.0.1 255.255.255.0
[SRG-GigabitEthernet0/0/2]undo shutdown
[SRG]int g0/0/3
[SRG-GigabitEthernet0/0/3]ip add 5.0.0.1 255.255.255.0
[SRG-GigabitEthernet0/0/3]undo shutdown
[SRG]int g0/0/1.10
[SRG-GigabitEthernet0/0/1.10]description vlan 10 //划分该子接口为vlan 10
[SRG-GigabitEthernet0/0/1.10]vlan-type dot1q 10 //vlan的封装模式为802.1q
[SRG-GigabitEthernet0/0/1.10]ip add 192.168.1.1 255.255.255.0
[SRG-GigabitEthernet0/0/1.10]undo shutdown
[SRG]int g0/0/1.20
[SRG-GigabitEthernet0/0/1.20]description vlan 20 //划分该子接口为vlan 20
[SRG-GigabitEthernet0/0/1.20]vlan-type dot1q 20 //vlan的封装模式为802.1q
[SRG-GigabitEthernet0/0/1.20]ip add 192.168.2.1 255.255.255.0
[SRG-GigabitEthernet0/0/1.20]undo shutdown
[SRG]firewall zone trust //划分信任区域
[SRG-zone-trust]add interface GigabitEthernet 0/0/1.10 //add将其添加进入trust(内网)
[SRG-zone-trust]add interface GigabitEthernet 0/0/1.20
[SRG]firewall zone untrust //划分非信任区域
[SRG-zone-untrust]add interface GigabitEthernet 0/0/2 //add将其添加进入untrust(外网)
[SRG-zone-untrust]add interface GigabitEthernet 0/0/3
1) 策略规则
[SRG]policy interzone trust untrust outbound //定义信任区域到非信任区域的输出规则
[SRG-policy-interzone-trust-untrust-outbound]policy 1 //定义规则序号1的
[SRG-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.0 0.0.0.255 //定义源地址
[SRG-policy-interzone-trust-untrust-outbound-1]action permit //动作为允许
[SRG-policy-interzone-trust-untrust-outbound-1]quit
[SRG-policy-interzone-trust-untrust-outbound]policy 2 //定义规则序号2的
[SRG-policy-interzone-trust-untrust-outbound-2]policy source 192.168.2.0 0.0.0.255 //定义源地址
[SRG-policy-interzone-trust-untrust-outbound-2]action permit //动作为允许
[SRG-policy-interzone-trust-untrust-outbound-2]quit
2) NAT转换
[SRG]nat-policy interzone trust untrust outbound //定义nat的转换区域为信任区域转到非信任区域
[SRG-nat-policy-interzone-trust-untrust-outbound]policy 1 //策略规则序号为1
[SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.0 0.0.0.255 //定义受规则的源地址
[SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat //动作为允许nat转换
[SRG-nat-policy-interzone-trust-untrust-outbound-1]easy-ip g0/0/2 //配置PAT,简单IP转换
[SRG-nat-policy-interzone-trust-untrust-outbound-1]quit
[SRG-nat-policy-interzone-trust-untrust-outbound]policy 2 //策略规则序号为2
[SRG-nat-policy-interzone-trust-untrust-outbound-2]policy source 192.168.2.0 0.0.0.255 //定义源地址
[SRG-nat-policy-interzone-trust-untrust-outbound-2]action source-nat //动作定义为允许nat转换
[SRG-nat-policy-interzone-trust-untrust-outbound-2]easy-ip g0/0/3 //配置PAT
3) 创建访问控制列表,添加内网地址池
[SRG]acl number 2000 //acl的序号定义为2000
[SRG-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255 //序号为10的规则允许192.168.1.0
[SRG-acl-basic-2000]quit
[SRG]acl number 2001 //acl的序号定义为2001
[SRG-acl-basic-2001]rule 10 permit source 192.168.2.0 0.0.0.255 //序号为10的规则允许192.168.2.0
[SRG-acl-basic-2001]quit
4) 创建策略路由
[SRG]policy-based-route clly permit node 5 //定义策略路由的名字为clly,路由点为5
[SRG-policy-based-route-clly-5]if-match acl 2000 //绑定内网地址池为192.168.1.0的acl
[SRG-policy-based-route-clly-5]apply ip-address next-hop 4.0.0.2 //指定下一条地址为4.0.0.2
[SRG-policy-based-route-clly-5]quit
[SRG]policy-based-route clly permit node 20 //定义策略路由的名字为clly,路由点为20
[SRG-policy-based-route-clly-20]if-match acl 2001 //绑定内网地址池为192.168.2.0的acl
[SRG-policy-based-route-clly-20]apply ip-address next-hop 5.0.0.2 //指定下一跳地址为5.0.0.2
[SRG-policy-based-route-clly-20]quit
5) 创建端接口检查,网关检查
[SRG]ip-link check enable //开启链路检查
12:17:59 2020/03/03
[SRG]ip-link 1 destination 4.0.0.2 interface g0/0/2 //定义序号为1,绑定目标地址为4.0.0.2的要从g0/0/2端口出发
[SRG]ip-link 2 destination 5.0.0.2 interface g0/0/3 //定义序号为1,绑定目标地址为5.0.0.2的要从g0/0/3端口出发
[SRG]display ip-link //查看链路绑定表
num state timer vpn-instance ip-address interface-name mode vgmp nex
t-hop
1 up 3 4.0.0.2 GE0/0/2 icmp none
2 up 3 5.0.0.2 GE0/0/3 icmp none
6) 设置静态路由
[SRG]ip route-static 0.0.0.0 0.0.0.0 4.0.0.2 track ip-link 1 //将该绑定策略应用到这条默认路由条目上
[SRG]ip route-static 0.0.0.0 0.0.0.0 5.0.0.2 track ip-link 2
7) 验证
使用Clinet 2访问Server 1、Server 2的web,并对AB两处进行抓包
1) 访问Server 1时
a) A点抓包没有发现Clinet 2的数据包
b) B点抓包发现Clinet 2的数据包,并且IP已经替换为5.0.0.1
2) 访问Server 2时
a) A点抓包没有发现Clinet 2的数据包
b) B点抓包发现Clinet 2的数据包,并且已经替换为5.0.0.1
华为策略路由加等价路由_华为——防火墙——策略路由配置及思路相关推荐
- 华为策略路由加等价路由_华为策略路由配置实例
华为策略路由配置实例 1.组网需求 图1策略路由组网示例图 如上图1所示,公司用户通过Switch双归属到外部网络设备.其中,一条是低速链路,网关为10.1.20.1/24:另外一条是高速链路,网关为 ...
- 华为策略路由加等价路由_两个ISP接入路由,双路由接入华为S5700交换机,实施策略路由...
核心层拓扑入图所述: 两条光纤接入,分别为联通和电信,电信为100MADSL接入,联通为固定IP接入,固定IP用来服务器和×××专用,某些主机需要经其出去,例如call manager server, ...
- 华为策略路由加等价路由_思科华为路由器如何利用route-map配置双wan口策略路由...
wan1:218.85.224.100 wan2:219.85.224.200 内网 : 192.168.201.x 和192.168.202.x走wan1 192.168.203.x走wan2 其他 ...
- 华为防火墙做单臂路由_华为单臂路由配置实例
华为单臂路由实验配置(共8篇)华为 AR2200路由器单臂路由配置实例华为 AR2200路由器单臂路由配置实例作者:救世主220实验日期:2015 6 29实验拓扑如下:AR5配置:[AR5]dis ...
- espn配置路由_华为敏捷网络解决方案.ppt
全编程及全开放:因为不同的企业对网络的开放性.可编程性.可定制性,及对业务的支撑能力要求不同,如运营商关注整网资源,希望开放网络的资源层,而传统的企业/EDC等更关注业务需求,希望开放网络的管理和业务 ...
- 华为路由器ospf路由表解读_华为动态路由OSPF实例详解之多区域配置-华为路由器设置...
在企业的大型网络中,因为设备众多,静态路由已经很难满足路由时常变化的需求,动态路由已经是必然选择,其中,OSPF又是最简单适合的动态路由协议,上一节已经介绍了单区域的OSPF配置,接着简单介绍下多区域 ...
- 华为odc是什么意思_华为不造车!但任正非加了一个有效期,3年
众所周知,最近这段时间,大家都在讨论关于华为造车的事情,尤其当消费者业务与智能汽车业务合并后,各种猜想特别多. 似乎也是为了平息大家的猜想,所以华为将一份决议也正式发布在了华为的心声社区,没有加密,外 ...
- ip route配置静态路由_华为路由交换技术 | 静态路由配置
编辑 | 排版 | 制图 | 测试 | ©瑞哥 此文用时0小时20分钟,原创不易,坚持更不易,希望我的每一份劳动成果都可以得到大家的一个[好看] 静态路由配置 1.1 拓扑 去包路由:PC1---&g ...
- 华为ensp的缺省_华为模拟器 eNSP安装教程
随着华为网络设备的日渐普遍,华为网络设备的使用越来越多,学习华为网络路由知识的人也越来越多,华为提供的eNSP模拟软件,能够很好的为初学者提供很好的模拟学习软件. 一.准备工作 软件: ensp软件为 ...
最新文章
- Caused by: java.sql.BatchUpdateException
- 构建插件式的应用程序框架(六)----通讯机制(ZT)
- Matlab与线性代数 -- 方阵的行列式
- boost::sequential_vertex_coloring用法的测试程序
- IOS - IPhone或IPAD,如何恢复出厂操作系统?
- uipath循环datatable_UiPath之DataTable转换为List和Array
- NYOJ455 - 黑色帽子
- @Override错误
- 《交互式程序设计 第2版》一第2章 编程基础
- 【转】Bootloader之uBoot简介(转)
- Java语言课程设计——简易计算器(详细含报告和源代码)
- Python-等额本息计算
- 嵌入式开发板硬件操作入门学习8——单片机的引脚功能(51单片机为例)
- 这次,多地消防控制室双人值守可变单人值守
- 计算机转魔方最快多少,人类最快还原魔方的极限时间是几秒?
- 5、提取snp indel 位点
- linux系统如何运行ansys,ANSYS在linux下使用
- Word文档中不显示图片(只有框)
- SpringBoot2.x 集成 七牛云对象存储Kodo
- 泛微Ecology8.0二次开发指导手册
热门文章
- 机器学习】LDA线性判别分析
- 论文笔记(eTrust: Understanding Trust Evolution in an Online World)
- SiameseSentenceSimilarity相似句子匹配分类项目
- JavaWeb从开发环境搭建,到第一个servlet程序(图文)
- DVA框架统一处理所有页面的loading状态
- 接口自动化- 基于 Python
- MVC防止xss攻击 ——Html.AntiForgeryToken的AJAX提交
- EJB3与EJB2的差别
- [导入]韩语基本会话
- 00003-回文数的判定-leetcode-解法不唯一,1.reverse最简单,2.数学方法很有意思