华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT
一、组网需求
1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常。
(a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。
(b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。
2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。FTP服务器位于DMZ区域。
NAT SERVER规划如下
二、来回路径不一致问题
出口防火墙有多个ISP出口,如果部署了负载均衡方式,会同时存在多条优先级相同的路由,在外部用户访问企业内部http服务时,会有来回路径不一致问题。如外网PC通过dx线路访问进来,而回包的线路可能是通过yd线路出去。解决方法:启用防火墙上的源进源出功能。
三、网络拓扑图
一、防火墙配置
1.接口配置
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.100.100 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage enble
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 172.21.100.2 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/1
description LINK_DX
undo shutdown
ip address 1.1.1.1 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/2
description LINK_YD
undo shutdown
ip address 2.2.2.1 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 172.21.101.2 255.255.255.0
service-manage ping permit
#
2.区域配置 ,将接口划分到区域中。
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/3
#创建dx区域,并设置该区域优先级为10。将G1/0/1口加入该区域。
firewall zone name dx
set priority 10
add interface GigabitEthernet1/0/1
#创建yd区域,并设置该区域优先级为11。将G1/0/2口加入该区域。
firewall zone name yd
set priority 11
add interface GigabitEthernet1/0/2
#
3.配置路由
配置二条默认路由,分别指向1.1.1.2和2.2.2.2。再配置到内网的静态路由。如果需要外网任何一条线路断了,自动切换,可采用通过与ip-link绑定的方法。
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
ip route-static 0.0.0.0 0.0.0.0 2.2.2.2
ip route-static 172.16.0.0 255.255.0.0 172.21.100.254
#
4.配置安全策略,允许区域内流量互通
#
security-policy
rule name dmz_to_untrust
source-zone dmz
destination-zone dx
destination-zone yd
source-address 172.21.101.80 mask 255.255.255.255
action permit
rule name untrust_to_dmz
source-zone dx
source-zone yd
destination-zone dmz
destination-address 172.21.101.80 mask 255.255.255.255
action permit
rule name trust2dmz
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
action permit
rule name trust_dx2yd
source-zone trust
destination-zone dx
destination-zone yd
action permit
rule name untrust_to_trust
source-zone dx
source-zone yd
destination-zone trust
destination-address address-set HTTP_SERVER01
action permit
# 5.创建NAT地址池
#
nat address-group DX_SERVER 0
mode pat
section 0 1.1.1.5 1.1.1.6
#
nat address-group YD_SERVER 1
mode pat
section 0 2.2.2.5 2.2.2.6
#
6.配置用于域内NAT的地址池
#
nat address-group server01
mode pat
section 0 2.2.2.10 2.2.2.11
#
7.配置NAT POLICY
#
nat-policy
rule name DX_NAT
source-zone trust
destination-zone dx
source-address 172.16.10.0 mask 255.255.255.0
action source-nat address-group DX_SERVER
rule name YD_NAT
source-zone trust
destination-zone yd
source-address 172.16.20.0 mask 255.255.255.0
action source-nat address-group YD_SERVER
rule name nat_policy1
description FOR_TRUST_HTTPSERVER
source-zone trust
destination-zone trust
source-address 172.16.10.0 mask 255.255.255.0
source-address 172.16.20.0 mask 255.255.255.0
destination-address 172.16.20.80 mask 255.255.255.255
service http
action source-nat address-group server01
#
8.配置策略路由
VLAN10段的用户上网从DX(1.1.1.2)出去,VLAN20段的用户上网从YD(2.2.2.2)出去。VLAN10、VLAN20和VLAN101的内网流量访问不执行pbr策略,要保证能相互访问。
#
policy-based-route
rule name pbr_5
ingress-interface GigabitEthernet1/0/0
source-address 172.16.10.0 mask 255.255.255.0
source-address 172.16.20.0 mask 255.255.255.0
destination-address 172.16.10.0 mask 255.255.255.0
destination-address 172.16.20.0 mask 255.255.255.0
destination-address 172.21.101.0 mask 255.255.255.0
action no-pbr
rule name pbr_10
ingress-interface GigabitEthernet1/0/0
source-address 172.16.10.0 mask 255.255.255.0
action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.2
rule name pbr_15
ingress-interface GigabitEthernet1/0/0
source-address 172.16.20.0 mask 255.255.255.0
action pbr egress-interface GigabitEthernet1/0/2 next-hop 2.2.2.2
9.配置基于区域的NAT SERVERT
注:指定了区域的话,就表示只允许这个区域内的用户可以访问。
#
nat server 0 zone dx protocol tcp global 1.1.1.3 8080 inside 172.21.101.80 www
nat server 1 zone yd protocol tcp global 2.2.2.3 8080 inside 172.21.101.80 www
nat server 2 zone trust protocol tcp global 1.1.1.3 8080 inside 172.21.101.80 www no-reverse
nat server 3 zone trust protocol tcp global 2.2.2.3 8080 inside 172.21.101.80 www no-reverse
#
10.基于全局的NAT SERVER /*做这个之前使用undon nat server all删除所有的nat server映射。
这个主要用于验证同一个域内内网用户通过公网IP访问http服务。
注:(1)配置nat server时加no-reverse参数,只生成正方向的Server-Map表项。如果没有指定no-reverse参数,将会生成正反两个方向的Server-Map表项(2)如果在企业中有多个出口ISP线路,同时需要将企业内部服务器发布到多个公网IP上时,如果不加no-reverse参数,将无法配置多个Global地址和同一个Inside地址建立映射关系。
#
nat server http protocol tcp global 2.2.2.3 8080 inside 172.16.20.80 www no-reverse
nat server http1 protocol tcp global 1.1.1.3 8080 inside 172.16.20.80 www no-reverse
nat server ftp01 protocol tcp global 1.1.1.4 2121 inside 172.21.101.80 ftp no-reverse
nat server ftp02 protocol tcp global 2.2.2.4 2121 inside 172.21.101.80 ftp no-reverse
#11.配置地址集
#
ip address-set HTTP_SERVER01 type object
address 0 172.21.101.80 0
address 1 172.16.20.80 0
#
12.配置自定义服务集(配置未使用)
#
ip service-set server1_port type object
service 0 protocol tcp destination-port 8888
#
ip service-set server2_port type object
service 0 protocol udp destination-port 6666
#
13.配置源进源出功能
为了保证流量来回路径一致,即从dx进来的外部流量访问,回包也从dx出去。从yd进来的外部流量访问,回包也从yd出去。
#
interface GigabitEthernet1/0/1
description LINK_DX
undo shutdown
ip address 1.1.1.1 255.255.255.0
gateway 1.1.1.2------------配置默认网关
service-manage ping permit
redirect-reverse next-hop 1.1.1.2------------配置接口的源进源出功能,外网用户从DX访问企业http或ftp服务器,防火墙就使用从该报文进入的接口(1.1.1.2)作为回包。
#
interface GigabitEthernet1/0/2
description LINK_YD
undo shutdown
ip address 2.2.2.1 255.255.255.0
gateway 2.2.2.2------------配置默认网关
service-manage ping permit
redirect-reverse next-hop 2.2.2.2------------配置接口的源进源出功能,外网用户从YD访问企业http或ftp服务器,防火墙就使用从该报文进入的接口(2.2.2.2)作为回包。
#
二、验证测试
查看防火墙server-map表
只显示正向server-map表(nat server后面加了no-reverse参数)
<FW1>display firewall server-map
2021-11-04 03:00:17.830
Current Total Server-map : 4
Type: Nat Server, ANY -> 2.2.2.3:8080[172.16.20.80:80], Zone:---, protocol:t
cp Vpn: public -> public
Type: Nat Server, ANY -> 2.2.2.4:2121[172.21.101.80:21], Zone:---, protocol:
tcp Vpn: public -> public
Type: Nat Server, ANY -> 1.1.1.3:8080[172.16.20.80:80], Zone:---, protocol:t
cp Vpn: public -> public
Type: Nat Server, ANY -> 1.1.1.4:2121[172.21.101.80:21], Zone:---, protocol:
tcp Vpn: public -> public
显示正反方向server-map表(nat server后面没有no-reverse参数)
[FW1]display firewall server-map
2021-10-28 08:33:48.950
Current Total Server-map : 4
Type: Nat Server, ANY -> 2.2.2.3:8080[172.21.101.80:80], Zone:---, protocol:
tcp
Vpn: public -> public
Type: Nat Server Reverse, 172.21.101.80[2.2.2.3] -> ANY, Zone:---, protocol:t
cp
Vpn: public -> public, counter: 1
2.1 内、外网用户访问FTP服务测试
a.外网web用户访问FTP://2.2.2.4:2121和FTP://1.1.1.4:2121
查看防火墙会话表记录
<FW1>display firewall session table
2021-11-04 03:10:53.590
Current Total Sessions : 2
ftp VPN: public --> public 50.1.1.253:2074 +-> 2.2.2.4:2121[172.21.101.80:21]
ftp VPN: public --> public 50.1.1.253:2076 +-> 1.1.1.4:2121[172.21.101.80:21]
b.内网web1用户访问FTP://2.2.2.4:2121和FTP://1.1.1.4:2121
登录防火墙web管理页面,查看会话记录
查看防火墙会话表记录
<FW1>display firewall session table
2021-11-04 03:13:57.770
Current Total Sessions : 3
ftp VPN: public --> public 172.16.10.22:2053 +-> 1.1.1.4:2121[172.21.101.80:21]
ftp VPN: public --> public 172.16.10.22:2055 +-> 2.2.2.4:2121[172.21.101.80:21]
查询指定的内网web1用户172.1.10.22的会话表记录
<FW1>display firewall session table source inside 172.16.10.22
2021-11-04 03:25:56.990
Current Total Sessions : 2
ftp VPN: public --> public 172.16.10.22:2053 +-> 1.1.1.4:2121[172.21.101.80:21]
ftp VPN: public --> public 172.16.10.22:2055 +-> 2.2.2.4:2121[172.21.101.80:21]
2.2 域内NAT访问测试
a.内网web1访问http://1.1.1.3:8080和http://2.2.2.3:8080
查看防火墙会话表,发现用户都通过NAT策略中的地址池将内网IP(172.16.10.22)转化成公网IP(2.2.2.10)。
[FW1]dis firewall session table
2021-11-01 08:55:35.580
Current Total Sessions : 1
http VPN: public --> public 172.16.10.22:2058[2.2.2.10:2058] --> 1.1.1.3:8080[172.16.20.80:80]
[FW1]dis firewall session table
2021-11-01 08:56:00.570
Current Total Sessions : 1
http VPN: public --> public 172.16.10.22:2059[2.2.2.10:2059] --> 2.2.2.3:8080[172.16.20.80:80]
b.内网web2访问http://1.1.1.3:8080和http://2.2.2.3:8080
查看防火墙会话表,发现用户都通过NAT策略中的地址池将内网IP(172.16.20.22)转化成公网IP(2.2.2.10)。
[FW1]dis firewall session table
2021-11-01 08:58:48.600
Current Total Sessions : 1
http VPN: public --> public 172.16.20.22:2059[2.2.2.10:2060] --> 1.1.1.3:8080[172.16.20.80:80]
[FW1]dis firewall session table
2021-11-01 08:58:57.320
Current Total Sessions : 1
http VPN: public --> public 172.16.20.22:2060[2.2.2.10:2061] --> 2.2.2.3:8080[172.16.20.80:80]
c.外网web访问http://1.1.1.3:8080和http://2.2.2.3:8080
查看防火墙会话表,发现用户都通过NAT策略中的地址池将公网IP(50.1.1.253)访问内网的http服务器的公网IP 1.1.1.3和2.2.2.3转化成内网IP(172.16.20.80)。
[FW1]display firewall session table
2021-11-01 09:10:06.500
Current Total Sessions : 1
http VPN: public --> public 50.1.1.253:2063 --> 1.1.1.3:8080[172.16.20.80:80]
[FW1]display firewall session table
2021-11-01 09:10:35.410
Current Total Sessions : 1
http VPN: public --> public 50.1.1.253:2064 --> 2.2.2.3:8080[172.16.20.80:80]
三、验证策略路由
PC1按照配置的策略路由从1.1.1.2线路出去,然后到达50.1.1.253。
PC2按照配置的策略路由从2.2.2.2线路出去,然后到达50.1.1.253。
通过display firewall session table检查防火墙会话表
可以看到PC1访问外网时,使用地址池中的2.2.2.6进行了转换。PC2也使用了地址池中的1.1.1.6进行了转换访问外网。
[FW1]display firewall session table
2021-11-04 14:26:52.330
Current Total Sessions : 0
[FW1]dis firewall session table
2021-11-04 14:27:56.750
Current Total Sessions : 11
icmp VPN: public --> public 172.16.10.253:16319[1.1.1.6:2048] --> 8.8.8.8:2048
[FW1]display firewall session table
2021-11-04 14:28:45.650
Current Total Sessions : 12
icmp VPN: public --> public 172.16.20.253:27583[2.2.2.6:2049] --> 114.114.114.114:2048
四、出口线路故障模拟
要求:当dx线路出现故障后,所有的流量都从yd走。
线路故障之前的路由,只摘录配置的静态路由,可以看到有二条默认路由下一跳分别是1.1.1.2和2.2.2.2。另外一条是内网的回程路由。
<FW1>display ip routing-table
2021-10-29 07:21:25.320
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 10 Routes : 11
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 1.1.1.2 GigabitEthernet1/0/1
Static 60 0 RD 2.2.2.2 GigabitEthernet1/0/2
172.16.0.0/16 Static 60 0 RD 172.21.100.254 GigabitEthernet1/0/0
在PC1先用ping命令测试与外网PC的连通性,然后通过tracert命令追踪包的路由。可以看到当DX线路出现故障后,PC1切换从YD(2.2.2.2)出去。
五、验证源进源出功能
在ISP上的路由配置如下,二条默认路由分别指向DX和YD。
<ISP>dis current-configuration | include static
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2 track nqa test dxicmp
ip route-static 0.0.0.0 0.0.0.0 40.1.1.2 track nqa test ydicmp
NQA配置
#
nqa test-instance dx 1
nqa test-instance test dxicmp
test-type icmp
destination-address ipv4 30.1.1.2
frequency 10
probe-count 2
start now
nqa test-instance test ydicmp
test-type icmp
destination-address ipv4 40.1.1.2
frequency 10
probe-count 2
start now
#
接口配置
#
interface GigabitEthernet0/0/0
ip address 50.1.1.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet0/0/1
ip address 40.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 30.1.1.1 255.255.255.0
#
a.测试外网web用户访问企业内部服务HTTP01
通过抓包查看外网用户是从YD出口进入,回包也从YD回来。如果没有配置源进源出的时候,进去可能是从DX,而回包却是从YD。这样子就会导致正常的业务访问会出问题,注意一点在实验中是能正常访问的,但如果是ISP商有做防护的话,会导致业务流量访问出现异常。
b. 测试外网web用户访问企业内部服务部FTP01
通过抓包查看外网用户是从YD出口进入,回包也从YD回来。
c. 测试外网web用户访问企业内部服务FTP://2.2.2.4:2121
通过抓包查看外网用户是从DX出口进入,回包也从DX回来。
华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT相关推荐
- 华为防火墙配置策略路由实现多个ISP出接口的智能选路
1.基本IP地址及连通性配置 (1)内网IP地址配置 (2)配置外网IP地址 [ISP1-GigabitEthernet0/0/0]ip add 20.1.1.2 24 [ISP1-GigabitEt ...
- 华为防火墙如何配置双出口,特定IP段流量走指定出接口地址上网
环境: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 电信宽带:拨号 ...
- 华为设备实现双出口访问外网nat 策略路由配置
使用ENSP模拟器实现 实验:双出口访问外网nat 策略路由配置 1.内网使用nat访问外网 2.访问联通流量默认走联通线路,电信流量默走电信线路 3.当线路出现故障时,可切换到另一个链路 4.来回路 ...
- 华为防火墙实现双机热备配置详解
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一 ...
- 华为防火墙USG多出口网络场景是如何排除故障的
故障案例 USG2230多出口网络场景配置非等价默认路由时,NAT SERVER映射不通的故障排查 问题描述 USG2230配置等价路由时从外网访问内网服务器映射出去的公网地址是通的,但将映射出去的公 ...
- 华为防火墙USG6300轻松4步配置
华为防火墙配置包可以用.版本信息:USG6300 V100R001C30SPC600,轻松4步,实现安全防护 1.登录默认admin admin,你需要查到管理口,就是0口,这个点很重要. 2.接口地 ...
- 防火墙系列---华为防火墙图形界面与基本配置
2019/7/1 - - - 本次文章是关于华为防火墙的基本配置与图形化界面的向导设置 有关ensp的使用–>>请查看这篇文章<Ensp的使用> 实验拓扑: 步骤一: 初始化防 ...
- 华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络
一.SSL配置请参考华为案例: 组网需求 企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL**隧道访问公司内网的各种资源. 图1 移动办公用户使用SecoClient通过SSL **隧道 ...
- 华为防火墙与二层交换机对接配置VLAN上网设置
拓扑图 一.防火墙设置 1.G1/0/0接口设置IP,G1/0/1接口切换二层口设置VLAN,G1/0/0 桥接了本地无线网卡来模拟公网地址 <USG6000V1>sys [USG6000 ...
最新文章
- Android studio安装与调试
- 给VMWare虚拟机做快照--保存你的劳动成果
- 浩辰CAD2021中文版
- 练习:卷积和池化过程中注意事项
- ArcGIS Engine基础开发教程(转)
- python函数模块_06.Python函数和模块
- 百度又搞了一个“搜索”~
- CASE WHEN语句中加IN应该如何使用
- 实现机器学习的循序渐进指南III——朴素贝叶斯
- mysql 二进制 nodejs_nodejs怎么存取2进制数据到数据库?
- 走进我的交易室01_引子
- php 自动生成考卷下载,试卷生成器下载-试卷生成器电脑版下载[试题生成]-华军软件园...
- 分享!基于新浪API生成短链接的15个最佳平台
- latex如何设置字体并加粗_Latex设置字体大小,加粗,加下划线,变斜体_孩纸气_新浪博客...
- 安装rouge和pyrouge
- java文本压缩算法_java 什么算法压缩文件最小
- C++ sort 排序函数使用方法
- 【Python】PyQt5入门
- 跟我一起玩Win32开发
- 移动应用开发测试工具Bugtags集成和使用教程【转载】