华为防火墙配置基于不同网段的策略路由

小乔

当不同网段用户需要通过不同的路由到达同一目的地址时，可以配置策略路由实现。
组网需求
如图1所示，在企业内网出口部署一台USG，其中和内部网络相连的接口位于Trust区域，和外部网络相连的两个接口位于Untrust区域。内网中两个不同网段（网段A和网段B）的用户通过不同的路由访问Internet。
需求如下：
内部A网段从ISP-A线路出去，并且配置ISP-B为备份链路。
内部B网段从ISP-B线路出去，并且配置ISP-A为备份链路。

配置思路
1在USG配置与Router_A、Router_B的互联数据，并配置两条去往Internet的缺省路由。
2在USG上配置策略路由，使源地址为10.1.1.0/24的报文的下一跳指定为202.168.10.1，源地址为10.1.2.0/24的报文的下一跳指定为202.169.10.1。
3在USG上配置IP-Link，监控下一跳是否可达。如果不可达，则策略路由失效。策略路由失效后，流量将根据设备上生效的缺省路由到达Internet。
操作步骤
1配置USG的接口IP地址并将接口加入对应安全区域。
# 配置USG接口IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/2] ip address 10.1.2.1 24 sub
[USG-GigabitEthernet0/0/2] quit
[USG] interface GigabitEthernet 0/0/3
[USG-GigabitEthernet0/0/3] ip address 202.168.10.2 30
[USG-GigabitEthernet0/0/3] quit
[USG] interface GigabitEthernet 0/0/4
[USG-GigabitEthernet0/0/4] ip address 202.169.10.2 30
[USG-GigabitEthernet0/0/4] quit
# 配置接口加入相应安全区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/2
[USG-zone-trust] quit
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/3
[USG-zone-untrust] add interface GigabitEthernet 0/0/4
[USG-zone-untrust] quit
2 在Trust和Untrust域间出方向配置防火墙策略。
[USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 0
[USG-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0 0.0.0.255
[USG-policy-interzone-trust-untrust-outbound-0] policy source 10.1.2.0 0.0.0.255
[USG-policy-interzone-trust-untrust-outbound-0] action permit
[USG-policy-interzone-trust-untrust-outbound-0] return
3 配置策略路由
# 定义ACL 3001匹配源地址为10.1.1.0/24的报文，ACL 3002匹配源地址为10.1.2.0/24的报文。
[USG] acl number 3001
[USG-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255
[USG-acl-adv-3001] quit
[USG] acl number 3002
[USG-acl-adv-3002] rule permit ip source 10.1.2.0 0.0.0.255
[USG-acl-adv-3002] quit
# 创建名为test的策略，定义5号节点，使源地址为10.1.1.0/24的报文被发到下一跳202.168.10.1。
[USG_A] policy-based-route test permit node 5
[USG_A-policy-based-route-test-5] if-match acl 3001
[USG_A-policy-based-route-test-5] apply ip-address next-hop 202.168.10.1
[USG_A-policy-based-route-test-5] quit
# 定义10号节点，使源地址为10.1.2.0/24的报文被发到下一跳202.169.10.1。
[USG_A] policy-based-route test permit node 10
[USG_A-policy-based-route-test-10] if-match acl 3002
[USG_A-policy-based-route-test-10] apply ip-address next-hop 202.169.10.1
[USG_A-policy-based-route-test-10] quit
# 在接口GigabitEthernet 0/0/2上应用定义的策略test，处理此接口接收的报文。
[USG_A] interface GigabitEthernet 0/0/2
[USG_A-GigabitEthernet0/0/2] ip policy-based-route test
[USG_A-GigabitEthernet0/0/2] quit
4 配置IP-Link1，监控202.168.10.1是否可达，如果不可达，则策略路由失效，策略路由失效后，ISP-A线路流量根据默认路由经ISP-B到达Internet；配置IP-Link2，监控202.169.10.1是否可达，如果不可达，则策略路由失效，策略路由失效后，ISP-B线路流量根据默认路由经ISP-A到达Internet。
[USG] ip-link check enable
[USG] ip-link 1 destination 202.168.10.1 interface GigabitEthernet 0/0/3
[USG] ip-link 2 destination 202.169.10.1 interface GigabitEthernet 0/0/4
5 配置静态路由。
# 与USG的接口GigabitEthernet 0/0/3相连路由器的接口IP地址为202.168.10.1/24。
[USG] ip route-static 0.0.0.0 0.0.0.0 202.168.10.1 track ip-link 1
# 与USG的接口GigabitEthernet 0/0/4相连路由器的接口IP地址为202.169.10.1/24。
[USG] ip route-static 0.0.0.0 0.0.0.0 202.169.10.1 track ip-link 2

• 
  

飞楼

谢谢

hugo_26

ddddddddddddd