一、组网需求

1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常。

(a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。

(b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。

2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。FTP服务器位于DMZ区域。

NAT SERVER规划如下

二、来回路径不一致问题

出口防火墙有多个ISP出口,如果部署了负载均衡方式,会同时存在多条优先级相同的路由,在外部用户访问企业内部http服务时,会有来回路径不一致问题。如外网PC通过dx线路访问进来,而回包的线路可能是通过yd线路出去。解决方法:启用防火墙上的源进源出功能。

三、网络拓扑图

一、防火墙配置

1.接口配置

#

interface GigabitEthernet0/0/0

undo shutdown

ip binding vpn-instance default

ip address 192.168.100.100 255.255.255.0

alias GE0/METH

service-manage http permit

service-manage https permit

service-manage ping permit

service-manage enble

#

interface GigabitEthernet1/0/0

undo shutdown

ip address 172.21.100.2 255.255.255.0

service-manage ping permit

#

interface GigabitEthernet1/0/1

description LINK_DX

undo shutdown

ip address 1.1.1.1 255.255.255.0

service-manage ping permit

#

interface GigabitEthernet1/0/2

description LINK_YD

undo shutdown

ip address 2.2.2.1 255.255.255.0

service-manage ping permit

#

interface GigabitEthernet1/0/3

undo shutdown

ip address 172.21.101.2 255.255.255.0

service-manage ping permit

#

2.区域配置 ,将接口划分到区域中。

#

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

add interface GigabitEthernet1/0/0

#

firewall zone dmz

set priority 50

add interface GigabitEthernet1/0/3

#创建dx区域,并设置该区域优先级为10。将G1/0/1口加入该区域。

firewall zone name dx

set priority 10

add interface GigabitEthernet1/0/1

#创建yd区域,并设置该区域优先级为11。将G1/0/2口加入该区域。

firewall zone name yd

set priority 11

add interface GigabitEthernet1/0/2

#

3.配置路由

配置二条默认路由,分别指向1.1.1.22.2.2.2。再配置到内网的静态路由。如果需要外网任何一条线路断了,自动切换,可采用通过与ip-link绑定的方法。

#

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

ip route-static 0.0.0.0 0.0.0.0 2.2.2.2

ip route-static 172.16.0.0 255.255.0.0 172.21.100.254

#

4.配置安全策略,允许区域内流量互通

#

security-policy

rule name dmz_to_untrust

source-zone dmz

destination-zone dx

destination-zone yd

source-address 172.21.101.80 mask 255.255.255.255

action permit

rule name untrust_to_dmz

source-zone dx

source-zone yd

destination-zone dmz

destination-address 172.21.101.80 mask 255.255.255.255

action permit

rule name trust2dmz

source-zone dmz

source-zone trust

destination-zone dmz

destination-zone trust

action permit

rule name trust_dx2yd

source-zone trust

destination-zone dx

destination-zone yd

action permit

rule name untrust_to_trust

source-zone dx

source-zone yd

destination-zone trust

destination-address address-set HTTP_SERVER01

action permit

# 5.创建NAT地址池

#

nat address-group DX_SERVER 0

mode pat

section 0 1.1.1.5 1.1.1.6

#

nat address-group YD_SERVER 1

mode pat

section 0 2.2.2.5 2.2.2.6

#

6.配置用于域内NAT的地址池

#

nat address-group server01

mode pat

section 0 2.2.2.10 2.2.2.11

#

7.配置NAT POLICY

#

nat-policy

rule name DX_NAT

source-zone trust

destination-zone dx

source-address 172.16.10.0 mask 255.255.255.0

action source-nat address-group DX_SERVER

rule name YD_NAT

source-zone trust

destination-zone yd

source-address 172.16.20.0 mask 255.255.255.0

action source-nat address-group YD_SERVER

rule name nat_policy1

description FOR_TRUST_HTTPSERVER

source-zone trust

destination-zone trust

source-address 172.16.10.0 mask 255.255.255.0

source-address 172.16.20.0 mask 255.255.255.0

destination-address 172.16.20.80 mask 255.255.255.255

service http

action source-nat address-group server01

#

8.配置策略路由

VLAN10段的用户上网从DX(1.1.1.2)出去,VLAN20段的用户上网从YD(2.2.2.2)出去。VLAN10VLAN20VLAN101的内网流量访问不执行pbr策略,要保证能相互访问。

#

policy-based-route

rule name pbr_5

ingress-interface GigabitEthernet1/0/0

source-address 172.16.10.0 mask 255.255.255.0

source-address 172.16.20.0 mask 255.255.255.0

destination-address 172.16.10.0 mask 255.255.255.0

destination-address 172.16.20.0 mask 255.255.255.0

destination-address 172.21.101.0 mask 255.255.255.0

action no-pbr

rule name pbr_10

ingress-interface GigabitEthernet1/0/0

source-address 172.16.10.0 mask 255.255.255.0

action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.2

rule name pbr_15

ingress-interface GigabitEthernet1/0/0

source-address 172.16.20.0 mask 255.255.255.0

action pbr egress-interface GigabitEthernet1/0/2 next-hop 2.2.2.2

9.配置基于区域的NAT SERVERT

注:指定了区域的话,就表示只允许这个区域内的用户可以访问。

#

nat server 0 zone dx protocol tcp global 1.1.1.3 8080 inside 172.21.101.80 www

nat server 1 zone yd protocol tcp global 2.2.2.3 8080 inside 172.21.101.80 www

nat server 2 zone trust protocol tcp global 1.1.1.3 8080 inside 172.21.101.80 www no-reverse

nat server 3 zone trust protocol tcp global 2.2.2.3 8080 inside 172.21.101.80 www no-reverse

#

10.基于全局的NAT SERVER /*做这个之前使用undon nat server all删除所有的nat server映射。

这个主要用于验证同一个域内内网用户通过公网IP访问http服务。

注:(1)配置nat server时加no-reverse参数,只生成正方向的Server-Map表项。如果没有指定no-reverse参数,将会生成正反两个方向的Server-Map表项(2)如果在企业中有多个出口ISP线路,同时需要将企业内部服务器发布到多个公网IP上时,如果不加no-reverse参数,将无法配置多个Global地址和同一个Inside地址建立映射关系。

#

nat server http protocol tcp global 2.2.2.3 8080 inside 172.16.20.80 www no-reverse

nat server http1 protocol tcp global 1.1.1.3 8080 inside 172.16.20.80 www no-reverse

nat server ftp01 protocol tcp global 1.1.1.4 2121 inside 172.21.101.80 ftp no-reverse

nat server ftp02 protocol tcp global 2.2.2.4 2121 inside 172.21.101.80 ftp no-reverse

#11.配置地址集

#

ip address-set HTTP_SERVER01 type object

address 0 172.21.101.80 0

address 1 172.16.20.80 0

#

12.配置自定义服务集(配置未使用)

#

ip service-set server1_port type object

service 0 protocol tcp destination-port 8888

#

ip service-set server2_port type object

service 0 protocol udp destination-port 6666

#

13.配置源进源出功能

为了保证流量来回路径一致,即从dx进来的外部流量访问,回包也从dx出去。从yd进来的外部流量访问,回包也从yd出去。

#

interface GigabitEthernet1/0/1

description LINK_DX

undo shutdown

ip address 1.1.1.1 255.255.255.0

gateway 1.1.1.2------------配置默认网关

service-manage ping permit

redirect-reverse next-hop 1.1.1.2------------配置接口的源进源出功能,外网用户从DX访问企业http或ftp服务器,防火墙就使用从该报文进入的接口(1.1.1.2)作为回包。

#

interface GigabitEthernet1/0/2

description LINK_YD

undo shutdown

ip address 2.2.2.1 255.255.255.0

gateway 2.2.2.2------------配置默认网关

service-manage ping permit

redirect-reverse next-hop 2.2.2.2------------配置接口的源进源出功能,外网用户从YD访问企业http或ftp服务器,防火墙就使用从该报文进入的接口(2.2.2.2)作为回包。

#

二、验证测试

查看防火墙server-map

只显示正向server-map表(nat server后面加了no-reverse参数)

<FW1>display firewall server-map

2021-11-04 03:00:17.830

Current Total Server-map : 4

Type: Nat Server,  ANY -> 2.2.2.3:8080[172.16.20.80:80],  Zone:---,  protocol:t

cp  Vpn: public -> public

Type: Nat Server,  ANY -> 2.2.2.4:2121[172.21.101.80:21],  Zone:---,  protocol:

tcp  Vpn: public -> public

Type: Nat Server,  ANY -> 1.1.1.3:8080[172.16.20.80:80],  Zone:---,  protocol:t

cp  Vpn: public -> public

Type: Nat Server,  ANY -> 1.1.1.4:2121[172.21.101.80:21],  Zone:---,  protocol:

tcp  Vpn: public -> public

显示正反方向server-map表(nat server后面没有no-reverse参数)

[FW1]display firewall server-map

2021-10-28 08:33:48.950

Current Total Server-map : 4

Type: Nat Server,  ANY -> 2.2.2.3:8080[172.21.101.80:80],  Zone:---,  protocol:

tcp

Vpn: public -> public

Type: Nat Server Reverse,  172.21.101.80[2.2.2.3] -> ANY,  Zone:---,  protocol:t

cp

Vpn: public -> public,  counter: 1

2.1 内、外网用户访问FTP服务测试

a.外网web用户访问FTP://2.2.2.4:2121FTP://1.1.1.4:2121

查看防火墙会话表记录

<FW1>display firewall session table

2021-11-04 03:10:53.590

Current Total Sessions : 2

ftp  VPN: public --> public  50.1.1.253:2074 +-> 2.2.2.4:2121[172.21.101.80:21]

ftp  VPN: public --> public  50.1.1.253:2076 +-> 1.1.1.4:2121[172.21.101.80:21]

b.内网web1用户访问FTP://2.2.2.4:2121FTP://1.1.1.4:2121

登录防火墙web管理页面,查看会话记录

查看防火墙会话表记录

<FW1>display firewall session table

2021-11-04 03:13:57.770

Current Total Sessions : 3

ftp  VPN: public --> public  172.16.10.22:2053 +-> 1.1.1.4:2121[172.21.101.80:21]

ftp  VPN: public --> public  172.16.10.22:2055 +-> 2.2.2.4:2121[172.21.101.80:21]

查询指定的内网web1用户172.1.10.22的会话表记录

<FW1>display firewall session table source inside 172.16.10.22

2021-11-04 03:25:56.990

Current Total Sessions : 2

ftp  VPN: public --> public  172.16.10.22:2053 +-> 1.1.1.4:2121[172.21.101.80:21]

ftp  VPN: public --> public  172.16.10.22:2055 +-> 2.2.2.4:2121[172.21.101.80:21]

2.2 域内NAT访问测试

a.内网web1访问http://1.1.1.3:8080和http://2.2.2.3:8080

查看防火墙会话表,发现用户都通过NAT策略中的地址池将内网IP172.16.10.22)转化成公网IP2.2.2.10)。

[FW1]dis firewall session table

2021-11-01 08:55:35.580

Current Total Sessions : 1

http  VPN: public --> public  172.16.10.22:2058[2.2.2.10:2058] --> 1.1.1.3:8080[172.16.20.80:80]

[FW1]dis firewall session table

2021-11-01 08:56:00.570

Current Total Sessions : 1

http  VPN: public --> public  172.16.10.22:2059[2.2.2.10:2059] --> 2.2.2.3:8080[172.16.20.80:80]

b.内网web2访问http://1.1.1.3:8080和http://2.2.2.3:8080

查看防火墙会话表,发现用户都通过NAT策略中的地址池将内网IP172.16.20.22)转化成公网IP2.2.2.10)。

[FW1]dis firewall session table

2021-11-01 08:58:48.600

Current Total Sessions : 1

http  VPN: public --> public  172.16.20.22:2059[2.2.2.10:2060] --> 1.1.1.3:8080[172.16.20.80:80]

[FW1]dis firewall session table

2021-11-01 08:58:57.320

Current Total Sessions : 1

http  VPN: public --> public  172.16.20.22:2060[2.2.2.10:2061] --> 2.2.2.3:8080[172.16.20.80:80]

c.外网web访问http://1.1.1.3:8080和http://2.2.2.3:8080

查看防火墙会话表,发现用户都通过NAT策略中的地址池将公网IP50.1.1.253)访问内网的http服务器的公网IP 1.1.1.32.2.2.3转化成内网IP172.16.20.80)。

[FW1]display firewall session table

2021-11-01 09:10:06.500

Current Total Sessions : 1

http  VPN: public --> public  50.1.1.253:2063 --> 1.1.1.3:8080[172.16.20.80:80]

[FW1]display firewall session table

2021-11-01 09:10:35.410

Current Total Sessions : 1

http  VPN: public --> public  50.1.1.253:2064 --> 2.2.2.3:8080[172.16.20.80:80]

三、验证策略路由

PC1按照配置的策略路由从1.1.1.2线路出去,然后到达50.1.1.253

PC2按照配置的策略路由从2.2.2.2线路出去,然后到达50.1.1.253

通过display firewall session table检查防火墙会话表

可以看到PC1访问外网时,使用地址池中的2.2.2.6进行了转换。PC2也使用了地址池中的1.1.1.6进行了转换访问外网。

[FW1]display firewall session table

2021-11-04 14:26:52.330

Current Total Sessions : 0

[FW1]dis firewall session table

2021-11-04 14:27:56.750

Current Total Sessions : 11

icmp  VPN: public --> public  172.16.10.253:16319[1.1.1.6:2048] --> 8.8.8.8:2048

[FW1]display firewall session table

2021-11-04 14:28:45.650

Current Total Sessions : 12

icmp  VPN: public --> public  172.16.20.253:27583[2.2.2.6:2049] --> 114.114.114.114:2048

四、出口线路故障模拟

要求:当dx线路出现故障后,所有的流量都从yd走。

线路故障之前的路由,只摘录配置的静态路由,可以看到有二条默认路由下一跳分别是1.1.1.2和2.2.2.2。另外一条是内网的回程路由。

<FW1>display ip routing-table

2021-10-29 07:21:25.320

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

Destinations : 10       Routes : 11

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

0.0.0.0/0   Static  60   0          RD   1.1.1.2       GigabitEthernet1/0/1

Static  60   0          RD   2.2.2.2         GigabitEthernet1/0/2

172.16.0.0/16  Static  60   0          RD   172.21.100.254  GigabitEthernet1/0/0

在PC1先用ping命令测试与外网PC的连通性,然后通过tracert命令追踪包的路由。可以看到当DX线路出现故障后,PC1切换从YD(2.2.2.2)出去。

五、验证源进源出功能

ISP上的路由配置如下,二条默认路由分别指向DXYD

<ISP>dis current-configuration | include static

ip route-static 0.0.0.0 0.0.0.0 30.1.1.2 track nqa test dxicmp

ip route-static 0.0.0.0 0.0.0.0 40.1.1.2 track nqa test ydicmp

NQA配置

#

nqa test-instance dx 1

nqa test-instance test dxicmp

test-type icmp

destination-address ipv4 30.1.1.2

frequency 10

probe-count 2

start now

nqa test-instance test ydicmp

test-type icmp

destination-address ipv4 40.1.1.2

frequency 10

probe-count 2

start now

#

接口配置

#

interface GigabitEthernet0/0/0

ip address 50.1.1.1 255.255.255.0

dhcp select interface

#

interface GigabitEthernet0/0/1

ip address 40.1.1.1 255.255.255.0

#

interface GigabitEthernet0/0/2

ip address 30.1.1.1 255.255.255.0

#

a.测试外网web用户访问企业内部服务HTTP01

通过抓包查看外网用户是从YD出口进入,回包也从YD回来。如果没有配置源进源出的时候,进去可能是从DX,而回包却是从YD。这样子就会导致正常的业务访问会出问题,注意一点在实验中是能正常访问的,但如果是ISP商有做防护的话,会导致业务流量访问出现异常。

b. 测试外网web用户访问企业内部服务部FTP01

通过抓包查看外网用户是从YD出口进入,回包也从YD回来。

c. 测试外网web用户访问企业内部服务FTP://2.2.2.4:2121

通过抓包查看外网用户是从DX出口进入,回包也从DX回来。

华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT相关推荐

  1. 华为防火墙配置策略路由实现多个ISP出接口的智能选路

    1.基本IP地址及连通性配置 (1)内网IP地址配置 (2)配置外网IP地址 [ISP1-GigabitEthernet0/0/0]ip add 20.1.1.2 24 [ISP1-GigabitEt ...

  2. 华为防火墙如何配置双出口,特定IP段流量走指定出接口地址上网

    环境: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 电信宽带:拨号 ...

  3. 华为设备实现双出口访问外网nat 策略路由配置

    使用ENSP模拟器实现 实验:双出口访问外网nat 策略路由配置 1.内网使用nat访问外网 2.访问联通流量默认走联通线路,电信流量默走电信线路 3.当线路出现故障时,可切换到另一个链路 4.来回路 ...

  4. 华为防火墙实现双机热备配置详解

    一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一 ...

  5. 华为防火墙USG多出口网络场景是如何排除故障的

    故障案例 USG2230多出口网络场景配置非等价默认路由时,NAT SERVER映射不通的故障排查 问题描述 USG2230配置等价路由时从外网访问内网服务器映射出去的公网地址是通的,但将映射出去的公 ...

  6. 华为防火墙USG6300轻松4步配置

    华为防火墙配置包可以用.版本信息:USG6300 V100R001C30SPC600,轻松4步,实现安全防护 1.登录默认admin admin,你需要查到管理口,就是0口,这个点很重要. 2.接口地 ...

  7. 防火墙系列---华为防火墙图形界面与基本配置

    2019/7/1 - - - 本次文章是关于华为防火墙的基本配置与图形化界面的向导设置 有关ensp的使用–>>请查看这篇文章<Ensp的使用> 实验拓扑: 步骤一: 初始化防 ...

  8. 华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络

    一.SSL配置请参考华为案例: 组网需求 企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL**隧道访问公司内网的各种资源. 图1 移动办公用户使用SecoClient通过SSL **隧道 ...

  9. 华为防火墙与二层交换机对接配置VLAN上网设置

    拓扑图 一.防火墙设置 1.G1/0/0接口设置IP,G1/0/1接口切换二层口设置VLAN,G1/0/0 桥接了本地无线网卡来模拟公网地址 <USG6000V1>sys [USG6000 ...

最新文章

  1. Android studio安装与调试
  2. 给VMWare虚拟机做快照--保存你的劳动成果
  3. 浩辰CAD2021中文版
  4. 练习:卷积和池化过程中注意事项
  5. ArcGIS Engine基础开发教程(转)
  6. python函数模块_06.Python函数和模块
  7. 百度又搞了一个“搜索”~
  8. CASE WHEN语句中加IN应该如何使用
  9. 实现机器学习的循序渐进指南III——朴素贝叶斯
  10. mysql 二进制 nodejs_nodejs怎么存取2进制数据到数据库?
  11. 走进我的交易室01_引子
  12. php 自动生成考卷下载,试卷生成器下载-试卷生成器电脑版下载[试题生成]-华军软件园...
  13. 分享!基于新浪API生成短链接的15个最佳平台
  14. latex如何设置字体并加粗_Latex设置字体大小,加粗,加下划线,变斜体_孩纸气_新浪博客...
  15. 安装rouge和pyrouge
  16. java文本压缩算法_java 什么算法压缩文件最小
  17. C++ sort 排序函数使用方法
  18. 【Python】PyQt5入门
  19. 跟我一起玩Win32开发
  20. 移动应用开发测试工具Bugtags集成和使用教程【转载】

热门文章

  1. 解决网页在浏览器有反应 在手机端没反应问题
  2. win10关闭动态磁贴_磁贴怎么用
  3. ERP系统的备份考虑
  4. visio 画图记录
  5. IoC与DI工厂、单例、原型模式详解
  6. denoise_timedomain 时域降噪
  7. 用python写一个自动注册脚本_js自己写脚本自动操作注册插件基于chrome浏览器
  8. java 二进制最大值_java int型最大值/最小值,最大值+1,最小值-1
  9. 网络安全原理与实践学习笔记——设计DMZ
  10. Hash算法总结(转载)