华为双链路出口调试步骤.docx

华为双链路出口调试步骤.docx

《华为双链路出口调试步骤.docx》由会员分享，可在线阅读，更多相关《华为双链路出口调试步骤.docx（11页珍藏版）》请在冰豆网上搜索。

华为双链路出口调试步骤

出口网关双链路接入不同运营商举例二

USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，并保护内网不受网络攻击。

组网需求

某学校网络通过USG连接到Internet，校内组网情况如下：

校内用户主要分布在教学楼和宿舍区，通过汇聚交换机连接到USG。

学校分别通过两个不同运营商（ISP1和ISP2）连接到Internet，两个运营商分别为该校分配了3个IP地址。

ISP1分配的IP地址是，ISP2分配的IP地址是，掩码均为24位。

该学校网络需要实现以下需求：

校内用户能够通过两个运营商访问Internet，且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。

当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免网络长时间中断。

保护内部网络不受SYNFlood、UDPFlood和ICMPFlood的攻击。

图1出口网关双链路接入不同运营商举例二组网图

项目

数据

说明

（1）

接口号：

GigabitEthernet0/0/0

IP地址：

10.1.1.1/16

安全区域：

Trust

接口

（1）是连接内网汇聚交换机的接口。

校内用户分配到网段为10.1.0.0/16的私网地址和DNS服务器地址，部署在Trust区域。

（2）

接口号：

GigabitEthernet0/0/2

IP地址：

安全区域：

ISP1

安全优先级：

15

接口

（2）是连接ISP1的接口，去往ISP1所属网段的数据通过接口

（2）转发。

（3）

接口号：

GigabitEthernet5/0/0

IP地址：

安全区域：

ISP2

安全优先级：

20

接口（3）是连接ISP2的接口。

去往ISP2所属网段的数据通过接口（3）转发。

（4）

接口号：

GigabitEthernet0/0/0

IP地址：

接口（4）是ISP1端与USG相连的接口。

（5）

接口号：

GigabitEthernet0/0/0

IP地址：

接口（5）是ISP2端与USG相连的接口。

ISP1分配给学校的IP地址

，掩码24位。

其中用作USG的出接口地址，和用作Trust—ISP1域间的NAT地址池1的地址。

ISP2分配给学校的IP地址

，掩码24位。

其中用作USG的出接口地址，和用作Trust—ISP2域间的NAT地址池2的地址。

配置思路

为了实现校园网用户使用有限公网IP地址接入Internet，需要配置NAPT方式的NAT，借助端口将多个私网IP地址转换为有限的公网IP地址。

由于校园网连接两个运营商，因此需要分别进行地址转换，将私网地址转换为公网地址。

即创建两个安全区域ISP1和ISP2（安全优先级低于DMZ区域），并分别在Trust—ISP1域间、Trust—ISP2域间配置NAToutbound。

为了实现去往不同运营商的流量由对应接口转发，需要收集ISP1和ISP2所属网段的信息，并配置到这些网段的静态路由。

使去往ISP1的流量通过连接ISP1的接口转发，去往ISP2的流量通过连接ISP2的接口转发。

为了提高链路可靠性，避免业务中断，需要配置两条缺省路由。

当报文无法匹配静态路由时，通过缺省路由发送给下一跳。

在USG上启用攻击防范功能，保护校园网内部网络。

操作步骤

1.配置USG各接口的IP地址并将接口加入安全区域。

#配置USG各接口的IP地址。

system-view

[USG]interfaceGigabitEthernet0/0/0

[USG-GigabitEthernet0/0/0]ipaddress10.1.1.116

[USG-GigabitEthernet0/0/0]quit

[USG]interfaceGigabitEthernet0/0/2

[USG-GigabitEthernet0/0/2]ipaddress24

[USG-GigabitEthernet0/0/2]quit

[USG]interfaceGigabitEthernet5/0/0

[USG-GigabitEthernet5/0/0]ipaddress24

[USG-GigabitEthernet5/0/0]quit

#将GigabitEthernet0/0/0接口加入Trust安全区域

[USG]firewallzonetrust

[USG-zone-trust]addinterfaceGigabitEthernet0/0/0

[USG-zone-trust]quit

#创建安全区域ISP1，并将GigabitEthernet0/0/2接口加入ISP1。

[USG]firewallzonenameisp1

[USG-zone-isp1]setpriority15

[USG-zone-isp1]addinterfaceGigabitEthernet0/0/2

[USG-zone-isp1]quit

#创建安全区域ISP2，并将GigabitEthernet5/0/0接口加入ISP2。

[USG]firewallzonenameisp2

[USG-zone-isp2]setpriority20

[USG-zone-isp2]addinterfaceGigabitEthernet5/0/0

[USG-zone-isp2]quit

2.配置域间包过滤及ASPF功能，对校内外数据流进行访问控制。

#配置Trust—ISP1的域间包过滤，允许校内用户访问ISP1。

[USG]policyinterzonetrustisp1outbound

[USG-policy-interzone-trust-isp1-outbound]policy1

[USG-policy-interzone-trust-isp1-outbound-1]policysource10.1.0.0actionpermit

[USG-policy-interzone-trust-isp1-outbound-1]quit

[USG-policy-interzone-trust-isp1-outbound]quit

#配置Trust—ISP2的域间包过滤，允许校内用户访问ISP2。

[USG]policyinterzonetrustisp2outbound

[USG-policy-interzone-trust-isp2-outbound]policy1

[USG-policy-interzone-trust-isp2-outbound-1]policysource10.1.0.0actionpermit

[USG-policy-interzone-trust-isp2-outbound-1]quit

[USG-policy-interzone-trust-isp2-outbound]quit

#在域间开启ASPF功能，防止多通道协议无法建立连接。

[USG]firewallinterzonetrustisp1

[USG-interzone-trust-isp1]detectftp

[USG-interzone-trust-isp1]detectqq

[USG-interzone-trust-isp1]detectmsn

[USG-interzone-trust-isp1]quit

[USG]firewallinterzonetrustisp2

[USG-interzone-trust-isp2]detectftp

[USG-interzone-trust-isp2]detectqq

[USG-interzone-trust-isp2]detectmsn

[USG-interzone-trust-isp2]quit

3.配置NAToutbound，使内网用户通过转换后的公网IP地址访问Internet。

#配置应用于Trust—ISP1域间的NAT地址池1。

地址池1包括ISP1提供的两个IP地址和。

[USG]nataddress-group1配置应用于Trust—ISP2域间的NAT地址池2。

地址池2包括ISP2提供的两个IP地址和。

[USG]nataddress-group2在Trust—ISP1域间配置NAToutbound，将校内用户的私网IP地址转换为ISP1提供的公网IP地址。

[USG]nat-policyinterzonetrustisp1outbound

[USG-nat-policy-interzone-trust-isp1-outbound]policy1

[USG-nat-policy-interzone-trust-isp1-outbound-1]policysource10.1.0.0actionsource-nat

[USG-nat-policy-interzone-trust-isp1-outbound-1]address-group1

[USG-nat-policy-interzone-trust-isp1-outbound-1]quit

[USG-nat-policy-interzone-trust-isp1-outbound]quit

#在Trust—ISP2域间配置NAToutbound，将校内用户的私网IP地址转换为ISP2提供的公网IP地址。

[USG]nat-policyinterzonetrustisp2outbound

[USG-nat-policy-interzone-trust-isp2-outbound]policy1

[USG-nat-policy-interzone-trust-isp2-outbound-1]policysource10.1.0.0actionsource-nat

[USG-nat-policy-interzone-trust-isp2-outbound-1]address-group2

[USG-nat-policy-interzone-trust-isp2-outbound-1]quit

[USG-nat-policy-interzone-trust-isp2-outbound]quit

4.配置多条静态路由和两条缺省路由，实现网络的特性和链路的可靠性。

#为特定目的IP地址的报文指定出接口，目的地址为IPS1的指定出接口为GigabitEthernet0/0/2、目的地址为ISP2的指定出接口为GigabitEthernet5/0/0。

注意：

实际场景中，可能需指定多条静态路由，为特定目的IP地址配置明细路由。

因此需要咨询运营商获取ISP所属网段信息。

本例中仅给出了四条静态路由的配置。

[USG]iproute-static24GigabitEthernet0/0/2iproute-static24GigabitEthernet0/0/2iproute-static24GigabitEthernet5/0/0iproute-static24GigabitEthernet5/0/0配置两条缺省路由，当报文无法匹配静态路由时，通过缺省路由发送给下一跳。

5.[USG]iproute-static0.0.0.0GigabitEthernet0/0/2iproute-static0.0.0.0GigabitEthernet5/0/0配置攻击防范功能，保护校园网络。

注意：

请根据网络实际情况开启攻击防范功能和调整报文速率阈值，本例中配置的攻击防范功能仅供参考。

#开SYNFlood、UDPFlood和ICMPFlood攻击防范功能，并限制每条会话允许通过的ICMP报文最大速率为5包/秒。

[USG]firewalldefendsyn-floodenable

[USG]firewalldefendudp-floodenable

[USG]firewalldefendicmp-floodenable

[USG]firewalldefendicmp-floodbase-sessionmax-rate5

结果验证

1.执行命令displaynatall，可以看到配置的NAT地址池和内部服务器信息。

2.[USG]displaynatall

3.

4.NATaddress-groupinformation:

5.number:

1name:

---

6.startaddr:

endaddr:

7.reference:

0vrrp:

---

8.vpninstance:

public

9.

10.number:

2name:

---

11.startaddr:

endaddr:

12.reference:

1vrrp:

---

13.vpninstance:

public

14.

15.Total2address-groups

16.

17.Serverinprivatenetworkinformation:

Total0NATservers

18.通过在网络中操作，检查业务是否能够正常实现。

#在校园网内的一台主机上，访问ISP1所属网段的一台服务器（IP地址为），通过执行命令displayfirewallsessiontable，可以看到私网IP地址转换成了ISP1的公网IP地址。

[USG]displayfirewallsessiontable

CurrentTotalSessions:

1

httpVPN:

public->public10.1.2.2:

1674[

配置脚本

USG配置脚本：

#

nataddress-group1

nataddress-group2

#

firewalldefendicmp-floodenable

firewalldefendudp-floodenable

firewalldefendsyn-floodenable

firewalldefendicmp-floodbase-sessionmax-rate5

#

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.1

#

interfaceGigabitEthernet0/0/2

ipaddress

#

interfaceGigabitEthernet5/0/0

ipaddress

#

firewallzonelocal

setpriority100

#

firewallzonetrust

setpriority85

addinterfaceGigabitEthernet0/0/0

#

firewallzoneuntrust

setpriority5

#

firewallzonedmz

setpriority50

#

firewallzonenameisp1

setpriority15

addinterfaceGigabitEthernet0/0/2

#

firewallzonenameisp2

setpriority20

addinterfaceGigabitEthernet5/0/0

#

firewallinterzonetrustisp1

detectftp

detectqq

detectmsn

#

firewallinterzonetrustisp2

detectftp

detectqq

detectmsn

#

firewallinterzonedmzisp1

detectftp

#

firewallinterzonedmzisp2

detectftp

#

iproute-static0.0.0.0GigabitEthernet0/0/2

iproute-static0.0.0.0GigabitEthernet5/0/0

iproute-staticGigabitEthernet0/0/2

iproute-staticGigabitEthernet0/0/2iproute-staticGigabitEthernet5/0/0

iproute-staticGigabitEthernet5/0/0

policyinterzonetrustisp1outbound

policy1

actionpermit

policysource10.1.0.0

#

policyinterzonetrustisp2outbound

policy1

actionpermit

policysource10.1.0.0

#

nat-policyinterzonetrustisp1outbound

policy1

actionsource-nat

policysource10.1.0.0

address-group1

#

nat-policyinterzonetrustisp2outbound

policy1

actionsource-nat

policysource10.1.0.0

address-group2

#

return