华为防火墙配置基于不同协议的策略路由
当不同协议的流量需要通过不同的路由到达同一目的地址时,可以通过配置策略路由实现。组网需求
如图1所示,在企业内部网络出口处部署一台USG,USG分别通过与ISP-A的Router_A、ISP-B的Router_B互连的两条链路连接到Internet。
需求如下:
内部网络访问www产生的流量都由接口(2)发出,通过ISP-A到达Internet,其余流量都由接口(3)发出,通过ISP-B到达Internet。
两条链路相互备份,当其中一条链路故障时,所有流量都能够通过另外一条链路达到Internet。
图1 基于不同协议的策略路由组网图
配置思路1 在USG上配置两条缺省路由,下一跳分别指向10.10.1.2和10.20.1.2。其中,下一跳指向10.20.1.2的缺省路由的优先级高,使正常情况下所有流量都通过ISP-B到达Internet。2 在USG上配置基于协议的策略路由,使内部网络访问www产生的流量都由接口(2)发出,通过ISP-A到达Internet。3 在USG上配置IP-Link,监控10.10.1.2是否可达。如果不可达,则策略路由失效。策略路由失效后,流量根据默认路由经ISP-B到达Internet。
操作步骤
1 配置USG的基本数据。
# 配置接口的IP地址。
<USG> system-view
interface GigabitEthernet 0/0/2
ip address 10.10.1.1 255.255.255.0
quit
interface GigabitEthernet 0/0/3
ip address 10.1.1.1 255.255.255.0
quit
interface GigabitEthernet 0/0/4
ip address 10.20.1.1 255.255.255.0
quit
# 配置接口加入安全区域。
firewall zone trust
add interface GigabitEthernet 0/0/3
quit
firewall zone untrust
add interface GigabitEthernet 0/0/2
add interface GigabitEthernet 0/0/4
quit
# 在Trust和Untrust域间出方向配置防火墙策略。
policy interzone trust untrust outbound
policy 0
policy source 10.1.1.0 0.0.0.255
action permit
return
2 配置两条不同优先级的缺省路由,使正常情况下所有流量都优选下一跳指向10.20.1.2的路由,下一跳指向10.10.1.2的路由做为备份。
ip route-static 0.0.0.0 0 10.20.1.2 60
ip route-static 0.0.0.0 0 10.10.1.2 70
3 配置策略路由,使内部网络访问www产生的流量通过ISP-A到达Internet。
# 定义ACL 3001匹配www流量。
<USG> system-view
acl number 3001
rule permit tcp destination-port eq www
quit
# 创建名为www的策略,使访问www的报文的下一跳指定为10.10.1.2。
policy-based-route www permit node 5
if-match acl 3001
apply ip-address next-hop 10.10.1.2
quit# 在接口GigabitEthernet 0/0/3上应用定义的策略www,处理此接口接收的报文。
interface GigabitEthernet 0/0/3
ip policy-based-route www
quit
4 配置IP-Link,监控10.10.1.2是否可达。如果不可达,则策略路由失效。策略路由失效后,流量根据默认路由经ISP-B到达Internet。
ip-link check enable
ip-link 1 destination 10.10.1.2 interface GigabitEthernet 0/0/2
结果验证
通过查看会话表中的出接口和下一跳验证www流量和其他流量所经链路是否正确。www流量的下一跳应该为10.10.1.2,其他流量的下一跳应该为10.20.1.2。
<USG> display firewall session table verbose
HTTPVPN: public -> public
Zone: trust -> untrustTTL: 00:00:20Left: 00:00:11
Interface: G0/0/2Nexthop: 10.10.1.2MAC: 00-1b-b9-74-89-2e
<-- packets:5 bytes:420 --> packets:5 bytes:420
ddddddddddddddd 谢谢分享!!
页:
[1]