华为双链路出口调试步骤Word文档格式.docx
《华为双链路出口调试步骤Word文档格式.docx》由会员分享,可在线阅读,更多相关《华为双链路出口调试步骤Word文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
0/0/0
换机的接口。
IP地址:
校用户分配到网段为
安全地域:
Trust
的私网地址
和DNS服务器地址
,部署在
Trust地域。
(2)
接口
(2)是连接ISP1的
0/0/2
接口,去往ISP1所属网段
的数据经过接口
(2)转发。
ISP1
安全优先级:
15
(3)
接口(3)是连接ISP2的
5/0/0
接口。
去往ISP2所属网段
的数据经过接口(3)转发。
ISP2
20
(4)
接口(4)是ISP1端与USG
相连的接口。
(5)
接口(5)是ISP2端与USG
ISP1分配给学校的IP地
~
,此中用作USG
址
掩码24位。
的出接口地址,
和用作
Trust—ISP1域间的NAT
地址池1的地址。
ISP2分配给学校的IP地
Trust—ISP2域间的NAT
地址池2的地址。
配置思路
为了实现校园网用户使用有限公网IP地址接入Internet,需要配置NAPT方式的NAT,借助端口将多个私网IP地址变换为有限的公网IP地址。
因为校园网连接两个营运商,所以需要分别进行地址变换,将私网地址变换为公网地址。
即创立两个安全地域ISP1和ISP2(安全优先级低于DMZ地域),并分别在Trust—ISP1域间、Trust—ISP2域间配置NAToutbound。
为了实现去往不一样营运商的流量由对应接口转发,需要采集ISP1和ISP2
所属网段的信息,并配置到这些网段的静态路由。
使去往ISP1的流量经过连接ISP1的接口转发,去往ISP2的流量经过连接ISP2的接口转发。
为了提升链路靠谱性,防止业务中断,需要配置两条缺省路由。
当报文没法般配静态路由时,经过缺省路由发送给下一跳。
在USG上启用攻击防功能,保护校园网部网络。
操作步骤
配置USG各接口的IP地址并将接口加入安全地域。
#配置USG各接口的IP地址。
<
USG>
system-view
[USG]interfaceGigabitEthernet0/0/0
[USG-GigabitEthernet0/0/0]
ipaddress16
quit
[USG]interfaceGigabitEthernet0/0/2
[USG-GigabitEthernet0/0/2]
ipaddress24
[USG]interfaceGigabitEthernet5/0/0
[USG-GigabitEthernet5/0/0]
#将GigabitEthernet0/0/0
接口加入Trust
安全地域
[USG]firewallzonetrust
[USG-zone-trust]addinterfaceGigabitEthernet0/0/0
[USG-zone-trust]
#创立安全地域ISP1,并将GigabitEthernet0/0/2
接口加入ISP1。
[USG]firewallzonenameisp1
[USG-zone-isp1]
setpriority15
addinterfaceGigabitEthernet0/0/2
#创立安全地域ISP2,并将GigabitEthernet5/0/0
接口加入ISP2。
[USG]firewallzonenameisp2
[USG-zone-isp2]
setpriority20
addinterfaceGigabitEthernet5/0/0
配置域间包过滤及ASPF功能,对校外数据流进行接见控制。
#配置Trust—ISP1的域间包过滤,同意校用户接见
ISP1。
[USG]policyinterzonetrustisp1outbound
[USG-policy-interzone-trust-isp1-outbound]
policy1
[USG-policy-interzone-trust-isp1-outbound-1]
policysource
actionpermit
#配置Trust—ISP2的域间包过滤,同意校用户接见
ISP2。
[USG]policyinterzonetrustisp2outbound
[USG-policy-interzone-trust-isp2-outbound]
[USG-policy-interzone-trust-isp2-outbound-1]
在域间开启ASPF功能,防范多通道协议没法建立连接。
[USG]firewallinterzonetrustisp1
[USG-interzone-trust-isp1]detectftp
[USG-interzone-trust-isp1]detectqq
[USG-interzone-trust-isp1]detectmsn
[USG-interzone-trust-isp1]quit
[USG]firewallinterzonetrustisp2
[USG-interzone-trust-isp2]detectftp
[USG-interzone-trust-isp2]detectqq
[USG-interzone-trust-isp2]detectmsn
[USG-interzone-trust-isp2]quit
3.配置NAToutbound,使网用户经过变换后的公网IP地址接见Internet。
配置应用于Trust—ISP1域间的NAT地址池1。
地址池1包含ISP1提
供的两个IP地址和。
[USG]nataddress-group1
配置应用于Trust—ISP2域间的NAT地址池2。
地址池2包含ISP2提
[USG]nataddress-group2
在Trust—ISP1域间配置NAToutbound,将校用户的私网IP地址变换为ISP1供给的公网IP地址。
[USG]nat-policyinterzonetrustisp1outbound
[USG-nat-policy-interzone-trust-isp1-outbound]policy1
[USG-nat-policy-interzone-trust-isp1-outbound-1]policysource
[USG-nat-policy-interzone-trust-isp1-outbound-1]action
source-nat
[USG-nat-policy-interzone-trust-isp1-outbound-1]address-group1
[USG-nat-policy-interzone-trust-isp1-outbound-1]quit
[USG-nat-policy-interzone-trust-isp1-outbound]quit
在Trust—ISP2域间配置NAToutbound,将校用户的私网IP地址变换为ISP2供给的公网IP地址。
[USG]nat-policyinterzonetrustisp2outbound
[USG-nat-policy-interzone-trust-isp2-outbound]policy1
[USG-nat-policy-interzone-trust-isp2-outbound-1]policysource
[USG-nat-policy-interzone-trust-isp2-outbound-1]action
[USG-nat-policy-interzone-trust-isp2-outbound-1]address-group2
[USG-nat-policy-interzone-trust-isp2-outbound-1]quit
[USG-nat-policy-interzone-trust-isp2-outbound]quit
配置多条静态路由和两条缺省路由,实现网络的双出口特征和链路的靠谱性。
#为特定目的IP地址的报文指定出接口,目的地址为IPS1的指定出接口
为GigabitEthernet0/0/2、目的地址为ISP2的指定出接口为
GigabitEthernet5/0/0。
注意:
实质场景中,可能需指定多条静态路由,为特定目的IP地址配置明细路由。
所以需要咨询营运商获得ISP所属网段信息。
本例中仅给出了四条静态路由的配置。
[USG]iproute-static24GigabitEthernet0/0/2
[USG]iproute-static24GigabitEthernet5/0/0
配置两条缺省路由,当报文没法般配静态路由时,经过缺省路由发送给下一跳。
[USG]iproute-staticGigabitEthernet0/0/2
[USG]iproute-staticGigabitEthernet5/0/0
配置攻击防功能,保护校园网络。
请依据网络实质状况开启攻击防功能和调整报文速率阈值,本例中配置的攻击防功能仅供参照。
开SYNFlood、UDPFlood和ICMPFlood攻击防功能,并限制每条会话同意经过的ICMP报文最大速率为5包/秒。
[USG]firewalldefendsyn-floodenable
[USG]firewalldefendudp-floodenable
[USG]firewalldefendicmp-floodenable
[USG]firewalldefendicmp-floodbase-sessionmax-rate5
结果考据
履行命令displaynatall,可以看到配置的NAT地址池和部服务器信息。
[USG]displaynatall
3.
NATaddress-groupinformation:
5.
number
:
1
name
---
6.
startaddr
endaddr
7.
reference
vrrp
vpninstance:
public
9.
10.
2
11.
12.
Total2address-groups
Serverinprivatenetworkinformation:
Total0NATservers
经过在网络中操作,检查业务能否可以正常实现。
在校园网的一台主机上,接见ISP1所属网段的一台服务器(IP地址为
),经过履行命令displayfirewallsessiontable,可以看
到私网IP地址变换成了ISP1的公网IP地址。
[USG]displayfirewallsessiontable
CurrentTotalSessions:
httpVPN:
public->
10.1.2.2:
1674[200.1.1.2:
12889]-->
200.1.2.3:
80
配置脚本
USG配置脚本:
#
nataddress-group1
nataddress-group2
firewalldefendicmp-floodenable
firewalldefendudp-floodenable
firewalldefendsyn-floodenable
firewalldefendicmp-floodbase-sessionmax-rate5#
interfaceGigabitEthernet0/0/0
ipaddress
interfaceGigabitEthernet0/0/2
interfaceGigabitEthernet5/0/0
firewallzonelocal
setpriority100
firewallzonetrust
setpriority85
addinterfaceGigabitEthernet0/0/0
firewallzoneuntrust
setpriority5
firewallzonedmz
setpriority50
firewallzonenameisp1
firewallzonenameisp2
firewallinterzonetrustisp1
detectftp
detectqq
detectmsn
firewallinterzonetrustisp2
firewallinterzonedmzisp1
firewallinterzonedmzisp2
iproute-staticGigabitEthernet0/0/2iproute-staticGigabitEthernet5/0/0iproute-staticGigabitEthernet0/0/2
iproute-staticGigabitEthernet0/0/2
iproute-staticGigabitEthernet5/0/0
policyinterzonetrustisp1outbound
policyinterzonetrustisp2outbound
nat-policyinterzonetrustisp1outbound
actionsource-nat
address-group1
nat-policyinterzonetrustisp2outbound
address-group2
return