ensp防火墙出口路由双链路运营商,负载分担及设备冗余
USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击。
学习内容:
用户网关在出口防火墙接口处,汇聚交换机作为中转站不做配置,直接连接下面的接入交换机,简单的三层配置。
实验目标:
1、校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。
2、当通往两个运营商链路都正常工作的情况下,宿舍区用户通过运营商ISP1访问Internet,教学楼用户通过运营商ISP2访问Internet。
3、当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
配置思路:
1、校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG
2、内网可以访问服务器,不连接外网。
2、学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了4个IP地址。ISP1分配的IP地址是200.1.1.1~200.1.1.4,ISP2分配的IP地址是220.1.1.1~220.1.1.4,掩码均为24位。
拓扑图:
配置如下:
FW配置:
一、基本配置:
Username:
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:
Please enter new password:
Please confirm new password:
<USG6000V1>language-mode Chinese
Change language mode, confirm? [Y/N] y
提示:改变语言模式成功。
<USG6000V1>sy
进入系统视图,键入Ctrl+Z退回到用户视图。
[USG6000V1]sys FW
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip add 10.1.1.1 16
[FW-GigabitEthernet1/0/0]int g1/0/1
[FW-GigabitEthernet1/0/1]ip add 172.1.1.1 24
[FW-GigabitEthernet1/0/1]int g 1/0/2
[FW-GigabitEthernet1/0/2]ip add 200.1.1.1 24
[FW-GigabitEthernet1/0/2]int g1/0/3
[FW-GigabitEthernet1/0/3]ip add 220.1.1.1 24二、安全域配置:
[FW]fir zone trust
[FW-zone-trust]add int g1/0/0
[FW-zone-trust]fir zone dmz
[FW-zone-dmz]add int g1/0/1
[FW-zone-dmz]fir zone name ISP1
[FW-zone-ISP1]add int g1/0/2
[FW-zone-ISP1]set priority 15
[FW-zone-ISP1]fir zone name ISP2
[FW-zone-ISP2]add int g1/0/3
[FW-zone-ISP2]set priority 20三、区域间放行策略配置:
[FW]security-policy
[FW-policy-security]rule name trust_IPS1
[FW-policy-security-rule-trust_IPS1]source-zone trust
[FW-policy-security-rule-trust_IPS1]source-address 10.1.0.0 mask 255.255.0.0
[FW-policy-security-rule-trust_IPS1]destination-zone ISP1
[FW-policy-security-rule-trust_IPS1]action permit
[FW-policy-security-rule-trust_IPS1]rule name trust_ISP2
[FW-policy-security-rule-trust_ISP2]source-zone trust
[FW-policy-security-rule-trust_ISP2]source-address 10.1.0.0 mask 255.255.0.0
[FW-policy-security-rule-trust_ISP2]destination-zone ISP2
[FW-policy-security-rule-trust_ISP2]action permit
[FW-policy-security]rule name trust_dmz
[FW-policy-security-rule-trust_dmz]source-zone trust
[FW-policy-security-rule-trust_dmz]source-address 10.1.0.0 mask 255.255.0.0
[FW-policy-security-rule-trust_dmz]destination-zone dmz
[FW-policy-security-rule-trust_dmz]destination-address 172.16.1.0 mask 255.255.2
55.0
[FW-policy-security-rule-trust_dmz]action permint四、在域间开启ASPF功能,防止多通道协议无法建立连接:
[FW]firewall interzone trust ISP1
[FW-interzone-trust-ISP1]detect ftp
[FW-interzone-trust-ISP1]detect qq
[FW-interzone-trust-ISP1]detect msn
[FW]firewall interzone trust ISP2
[FW-interzone-trust-ISP2]detect ftp
[FW-interzone-trust-ISP2]detect qq
[FW-interzone-trust-ISP2]detect msn五、建立nat地址池及nat转换策略
[FW]nat address-group 1
[FW-address-group-1]section 0 200.1.1.2 200.1.1.3
[FW-address-group-1]nat address-group 2
[FW-address-group-2]section 0 220.1.1.2 220.1.1.3[FW]nat-policy
[FW-policy-nat]rule name ISP1
[FW-policy-nat-rule-ISP1]source-zone trust
[FW-policy-nat-rule-ISP1]destination-zone ISP1
[FW-policy-nat-rule-ISP1]action source-nat address-group 1
[FW-policy-nat-rule-ISP1]
[FW-policy-nat-rule-ISP1]rule name ISP2
[FW-policy-nat-rule-ISP2]source-zone trust
[FW-policy-nat-rule-ISP2]destination-zone ISP2
[FW-policy-nat-rule-ISP2]action source-nat address-group 2六、配置IP-Link、多条静态路由和两条缺省路由,实现网络的双出口特性和链路的可靠性。
配置链路可达性检查后,当发现该链路不可达时,则选择另一条链路可达的路由。
# 配置IP-Link,并使用ICMP报文进行链路检测
[FW]ip-link check enable
[FW]ip-link name ISP1
[FW-iplink-ISP1]destination 200.1.1.4 mode icmp
[FW-iplink-ISP1]ip-link name ISP2
[FW-iplink-ISP2]destination 220.1.1.4 mode icmp七、配置缺省路由:
[FW]ip route-s 0.0.0.0 0 g1/0/2 200.1.1.4 track ip-link ISP1
[FW]ip route-s 0.0.0.0 0 g1/0/3 220.1.1.4 track ip-link ISP2八、配置策略路由:
[FW]policy-based-route
[FW-policy-pbr]rule name ISP1
[FW-policy-pbr-rule-ISP1]ingress-interface g1/0/0
[FW-policy-pbr-rule-ISP1]source-address 10.1.1.1 mask 255.255.255.128
[FW-policy-pbr-rule-ISP1]action pbr egress-interface g1/0/2 next-hop 200.1.1.4[FW-policy-pbr-rule-ISP1]rule name ISP2
[FW-policy-pbr-rule-ISP2]ingress-interface g1/0/0
[FW-policy-pbr-rule-ISP2]source-address 10.1.1.128 mask 255.255.255.128
[FW-policy-pbr-rule-ISP2]action pbr egress-interface g1/0/3 next-hop 220.1.1.4
总结:目前该拓扑只做了负载分担和冗余配置,未做其服务器外网访问配置及更细节的配置,用户网关配置在防火墙,一般情况下应配置在核心交换机上。ACL及vlan均未划分。有很多拓展的空间。路由策略大致相同,等学习到更多的路由协议再做更改,现在也是在一边学习,一边修改,一边实践中。
ensp防火墙出口路由双链路运营商,负载分担及设备冗余相关推荐
- 双链路热备份(负载分担)实验
该实验说明了如何采用双链路热备份(负载分担)的方式,提高无线用户数据传输的可靠性.案例采用了旁挂二层直接转发方式组网. 参数规划 配置项 数据 AP管理VLAN VLAN100 STA业务VLAN V ...
- 华为防火墙,配置双链路接入和IP-LINK,即线路互备模式的配置
之前有粉丝提到,双链路接入没有配置线路互备,是最大的失败,其实笔者是有安排的,循序渐进而已,今天就来讲一下,如何配置两条外网链路的互备,即IP-LINK的配置. 先来看一下拓扑图,根据粉丝建议,把IP ...
- 基于ensp防火墙双击热备二层网络规划与设计
作者:BSXY_19计科_陈永跃 BSXY_信息学院 注:未经允许禁止转发任何内容 基于ensp防火墙双击热备二层网络规划与设计 前言及资源下载 一.设计topo与要求(15个要求) 二.插曲:基于e ...
- ENSP 防火墙USG6000V NAT 设置(全场景)
这里写目录标题 NAT 源NAT no-pat napt easy-ip 目的NAT nat server 网关重定向(纯目的NAT) acl方式 nat-policy方式 双向nat slb(负载均 ...
- 学习笔记:防火墙智能路由选路
简介 当FW作为网络出口设备拥有多条出口链路时,智能选路功能可以根据管理员设置的带宽.权重和优先级自动探测链路质量并动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验. • 全局选路策略 ...
- 云计算逼迫运营商重新出海
我们对运营商并不陌生,中国电信.联通和移动,这些运营商企业的业务早已渗透到了我们每个普通人的生活中,而我们的生活也早已离不开它们.实际上,除了面向普通人们的业务,数据业务仍是运营商最为重要的组成部分. ...
- 2017展望之四:运营商能否老树开新花?
走过2016,迎来2017,不少人在写行业大趋势. 我没那个本事,只能在年初写下自己的一些通用性的观点,准备到今年底的时候再翻出来看看. 第四篇,说说运营商在业务创新方面的事儿. [新通话.新联系.新 ...
- 为什么需要运营商级NAT设备?
2011年2月4日农历大年初二,大家可能留意到这么一则新闻:全球顶级IP地址分配机构IANA分配完了最后5个A级地址块,由此IANA宣告IPv4地址告罄.2011年4月15日,APNIC(亚太互联网络 ...
- 防治运营商HTTP劫持的终极技术手段
运营商HTTP劫持(非DNS劫持)推送广告的情况相信大家并不陌生,解决的方法大多也是投诉增值业务部门进而投诉工信部.但这种方法费时费力,投诉接听人员并不了解情况导致答非所问的情况有很多,有时候不但受气 ...
最新文章
- 浅谈软件自动化集成测试的流程
- Android定位开发之百度定位、高德定位、腾讯定位,三足鼎立一起为我所用!
- 驱动硬件Framebuffer驱动程序框架 skeletonfb.c 分析
- 一鼓作气一年拿下信息系统项目管理师和软考中级系统集成
- JVM-程序计数器02
- pepflashplayer32_25_0_0_127.dll: 0x59952C6D is not a valid instance ID.
- 浩然GG和女朋友的游戏 (数学,规律)
- task文件服务器无法输入,Win10系统无法启动task scheduler服务的解决方法
- mysql 案例 ~ pt修复工具的使用
- 怎么在HTML上显示数据库的表格,在预定义的html表格中显示数据库表格记录
- 我的docker随笔:开篇
- FreeType需要libpng的说明(编译时可以用参数去掉,2.12已支持svg)
- Android GMS 包。 GOOGLE play
- linux下打印pdf文件很慢,使用adobe Reader PDF 双面打印/ 福晰pdf阅读器打印速度慢
- Protel99se中文版PCB负片输出
- [洛谷P2123]皇后游戏
- 引进国外SD-WAN技术,凌锐蓝信为企业提供跨境网络连接服务
- FICO 财务替代创建
- 遥感图像变化检测数据集
- 数据库系统概论练习3