华为双链路出口调试步骤Word文档格式.docx

华为双链路出口调试步骤Word文档格式.docx

《华为双链路出口调试步骤Word文档格式.docx》由会员分享，可在线阅读，更多相关《华为双链路出口调试步骤Word文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

0/0/0

换机的接口。

IP地址：

校用户分配到网段为

安全地域：

Trust

的私网地址

和DNS服务器地址

，部署在

Trust地域。

（2）

接口

（2）是连接ISP1的

0/0/2

接口，去往ISP1所属网段

的数据经过接口

（2）转发。

ISP1

安全优先级：

15

（3）

接口（3）是连接ISP2的

5/0/0

接口。

去往ISP2所属网段

的数据经过接口（3）转发。

ISP2

20

（4）

接口（4）是ISP1端与USG

相连的接口。

（5）

接口（5）是ISP2端与USG

ISP1分配给学校的IP地

～

，此中用作USG

址

掩码24位。

的出接口地址，

和用作

Trust—ISP1域间的NAT

地址池1的地址。

ISP2分配给学校的IP地

Trust—ISP2域间的NAT

地址池2的地址。

配置思路

为了实现校园网用户使用有限公网IP地址接入Internet，需要配置NAPT方式的NAT，借助端口将多个私网IP地址变换为有限的公网IP地址。

因为校园网连接两个营运商，所以需要分别进行地址变换，将私网地址变换为公网地址。

即创立两个安全地域ISP1和ISP2（安全优先级低于DMZ地域），并分别在Trust—ISP1域间、Trust—ISP2域间配置NAToutbound。

为了实现去往不一样营运商的流量由对应接口转发，需要采集ISP1和ISP2

所属网段的信息，并配置到这些网段的静态路由。

使去往ISP1的流量经过连接ISP1的接口转发，去往ISP2的流量经过连接ISP2的接口转发。

为了提升链路靠谱性，防止业务中断，需要配置两条缺省路由。

当报文没法般配静态路由时，经过缺省路由发送给下一跳。

在USG上启用攻击防功能，保护校园网部网络。

操作步骤

配置USG各接口的IP地址并将接口加入安全地域。

#配置USG各接口的IP地址。

<

USG>

system-view

[USG]interfaceGigabitEthernet0/0/0

[USG-GigabitEthernet0/0/0]

ipaddress16

quit

[USG]interfaceGigabitEthernet0/0/2

[USG-GigabitEthernet0/0/2]

ipaddress24

[USG]interfaceGigabitEthernet5/0/0

[USG-GigabitEthernet5/0/0]

#将GigabitEthernet0/0/0

接口加入Trust

安全地域

[USG]firewallzonetrust

[USG-zone-trust]addinterfaceGigabitEthernet0/0/0

[USG-zone-trust]

#创立安全地域ISP1，并将GigabitEthernet0/0/2

接口加入ISP1。

[USG]firewallzonenameisp1

[USG-zone-isp1]

setpriority15

addinterfaceGigabitEthernet0/0/2

#创立安全地域ISP2，并将GigabitEthernet5/0/0

接口加入ISP2。

[USG]firewallzonenameisp2

[USG-zone-isp2]

setpriority20

addinterfaceGigabitEthernet5/0/0

配置域间包过滤及ASPF功能，对校外数据流进行接见控制。

#配置Trust—ISP1的域间包过滤，同意校用户接见

ISP1。

[USG]policyinterzonetrustisp1outbound

[USG-policy-interzone-trust-isp1-outbound]

policy1

[USG-policy-interzone-trust-isp1-outbound-1]

policysource

actionpermit

#配置Trust—ISP2的域间包过滤，同意校用户接见

ISP2。

[USG]policyinterzonetrustisp2outbound

[USG-policy-interzone-trust-isp2-outbound]

[USG-policy-interzone-trust-isp2-outbound-1]

在域间开启ASPF功能，防范多通道协议没法建立连接。

[USG]firewallinterzonetrustisp1

[USG-interzone-trust-isp1]detectftp

[USG-interzone-trust-isp1]detectqq

[USG-interzone-trust-isp1]detectmsn

[USG-interzone-trust-isp1]quit

[USG]firewallinterzonetrustisp2

[USG-interzone-trust-isp2]detectftp

[USG-interzone-trust-isp2]detectqq

[USG-interzone-trust-isp2]detectmsn

[USG-interzone-trust-isp2]quit

3.配置NAToutbound，使网用户经过变换后的公网IP地址接见Internet。

配置应用于Trust—ISP1域间的NAT地址池1。

地址池1包含ISP1提

供的两个IP地址和。

[USG]nataddress-group1

配置应用于Trust—ISP2域间的NAT地址池2。

地址池2包含ISP2提

[USG]nataddress-group2

在Trust—ISP1域间配置NAToutbound，将校用户的私网IP地址变换为ISP1供给的公网IP地址。

[USG]nat-policyinterzonetrustisp1outbound

[USG-nat-policy-interzone-trust-isp1-outbound]policy1

[USG-nat-policy-interzone-trust-isp1-outbound-1]policysource

[USG-nat-policy-interzone-trust-isp1-outbound-1]action

source-nat

[USG-nat-policy-interzone-trust-isp1-outbound-1]address-group1

[USG-nat-policy-interzone-trust-isp1-outbound-1]quit

[USG-nat-policy-interzone-trust-isp1-outbound]quit

在Trust—ISP2域间配置NAToutbound，将校用户的私网IP地址变换为ISP2供给的公网IP地址。

[USG]nat-policyinterzonetrustisp2outbound

[USG-nat-policy-interzone-trust-isp2-outbound]policy1

[USG-nat-policy-interzone-trust-isp2-outbound-1]policysource

[USG-nat-policy-interzone-trust-isp2-outbound-1]action

[USG-nat-policy-interzone-trust-isp2-outbound-1]address-group2

[USG-nat-policy-interzone-trust-isp2-outbound-1]quit

[USG-nat-policy-interzone-trust-isp2-outbound]quit

配置多条静态路由和两条缺省路由，实现网络的双出口特征和链路的靠谱性。

#为特定目的IP地址的报文指定出接口，目的地址为IPS1的指定出接口

为GigabitEthernet0/0/2、目的地址为ISP2的指定出接口为

GigabitEthernet5/0/0。

注意：

实质场景中，可能需指定多条静态路由，为特定目的IP地址配置明细路由。

所以需要咨询营运商获得ISP所属网段信息。

本例中仅给出了四条静态路由的配置。

[USG]iproute-static24GigabitEthernet0/0/2

[USG]iproute-static24GigabitEthernet5/0/0

配置两条缺省路由，当报文没法般配静态路由时，经过缺省路由发送给下一跳。

[USG]iproute-staticGigabitEthernet0/0/2

[USG]iproute-staticGigabitEthernet5/0/0

配置攻击防功能，保护校园网络。

请依据网络实质状况开启攻击防功能和调整报文速率阈值，本例中配置的攻击防功能仅供参照。

开SYNFlood、UDPFlood和ICMPFlood攻击防功能，并限制每条会话同意经过的ICMP报文最大速率为5包/秒。

[USG]firewalldefendsyn-floodenable

[USG]firewalldefendudp-floodenable

[USG]firewalldefendicmp-floodenable

[USG]firewalldefendicmp-floodbase-sessionmax-rate5

结果考据

履行命令displaynatall，可以看到配置的NAT地址池和部服务器信息。

[USG]displaynatall

3.

NATaddress-groupinformation:

5.

number

:

1

name

---

6.

startaddr

endaddr

7.

reference

vrrp

vpninstance:

public

9.

10.

2

11.

12.

Total2address-groups

Serverinprivatenetworkinformation:

Total0NATservers

经过在网络中操作，检查业务能否可以正常实现。

在校园网的一台主机上，接见ISP1所属网段的一台服务器（IP地址为

），经过履行命令displayfirewallsessiontable，可以看

到私网IP地址变换成了ISP1的公网IP地址。

[USG]displayfirewallsessiontable

CurrentTotalSessions:

httpVPN:

public->

10.1.2.2:

1674[200.1.1.2:

12889]-->

200.1.2.3:

80

配置脚本

USG配置脚本：

#

nataddress-group1

nataddress-group2

firewalldefendicmp-floodenable

firewalldefendudp-floodenable

firewalldefendsyn-floodenable

firewalldefendicmp-floodbase-sessionmax-rate5#

interfaceGigabitEthernet0/0/0

ipaddress

interfaceGigabitEthernet0/0/2

interfaceGigabitEthernet5/0/0

firewallzonelocal

setpriority100

firewallzonetrust

setpriority85

addinterfaceGigabitEthernet0/0/0

firewallzoneuntrust

setpriority5

firewallzonedmz

setpriority50

firewallzonenameisp1

firewallzonenameisp2

firewallinterzonetrustisp1

detectftp

detectqq

detectmsn

firewallinterzonetrustisp2

firewallinterzonedmzisp1

firewallinterzonedmzisp2

iproute-staticGigabitEthernet0/0/2iproute-staticGigabitEthernet5/0/0iproute-staticGigabitEthernet0/0/2

iproute-staticGigabitEthernet0/0/2

iproute-staticGigabitEthernet5/0/0

policyinterzonetrustisp1outbound

policyinterzonetrustisp2outbound

nat-policyinterzonetrustisp1outbound

actionsource-nat

address-group1

nat-policyinterzonetrustisp2outbound

address-group2

return