设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡华为认证≡□≡ HCIA学习资料 华为防火墙配置基于不同协议的策略路由
返回列表 发新帖
查看: 2100|回复: 2
收起左侧

[分享] 华为防火墙配置基于不同协议的策略路由

[复制链接]
小乔
 成长值: 63400
发表于 2019-12-12 09:32:39 | 显示全部楼层 |阅读模式
当不同协议的流量需要通过不同的路由到达同一目的地址时,可以通过配置策略路由实现。
组网需求
如图1所示,在企业内部网络出口处部署一台USG,USG分别通过与ISP-A的Router_A、ISP-B的Router_B互连的两条链路连接到Internet。
需求如下:
内部网络访问www产生的流量都由接口(2)发出,通过ISP-A到达Internet,其余流量都由接口(3)发出,通过ISP-B到达Internet。
两条链路相互备份,当其中一条链路故障时,所有流量都能够通过另外一条链路达到Internet。
图1 基于不同协议的策略路由组网图
2.jpg
配置思路1 在USG上配置两条缺省路由,下一跳分别指向10.10.1.2和10.20.1.2。其中,下一跳指向10.20.1.2的缺省路由的优先级高,使正常情况下所有流量都通过ISP-B到达Internet。2 在USG上配置基于协议的策略路由,使内部网络访问www产生的流量都由接口(2)发出,通过ISP-A到达Internet。3 在USG上配置IP-Link,监控10.10.1.2是否可达。如果不可达,则策略路由失效。策略路由失效后,流量根据默认路由经ISP-B到达Internet。

操作步骤
1 配置USG的基本数据。
# 配置接口的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 10.10.1.1 255.255.255.0
[USG-GigabitEthernet0/0/2] quit
[USG] interface GigabitEthernet 0/0/3
[USG-GigabitEthernet0/0/3] ip address 10.1.1.1 255.255.255.0
[USG-GigabitEthernet0/0/3] quit
[USG] interface GigabitEthernet 0/0/4
[USG-GigabitEthernet0/0/4] ip address 10.20.1.1 255.255.255.0
[USG-GigabitEthernet0/0/4] quit
# 配置接口加入安全区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/3
[USG-zone-trust] quit
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/2
[USG-zone-untrust] add interface GigabitEthernet 0/0/4
[USG-zone-untrust] quit
# 在Trust和Untrust域间出方向配置防火墙策略。
[USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 0
[USG-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0 0.0.0.255
[USG-policy-interzone-trust-untrust-outbound-0] action permit
[USG-policy-interzone-trust-untrust-outbound-0] return
2 配置两条不同优先级的缺省路由,使正常情况下所有流量都优选下一跳指向10.20.1.2的路由,下一跳指向10.10.1.2的路由做为备份。
[USG] ip route-static 0.0.0.0 0 10.20.1.2 60
[USG] ip route-static 0.0.0.0 0 10.10.1.2 70
3 配置策略路由,使内部网络访问www产生的流量通过ISP-A到达Internet。
# 定义ACL 3001匹配www流量。
<USG> system-view
[USG] acl number 3001
[USG-acl-basic-3001] rule permit tcp destination-port eq www
[USG-acl-basic-3001] quit
# 创建名为www的策略,使访问www的报文的下一跳指定为10.10.1.2。
[USG] policy-based-route www permit node 5
[USG-policy-based-route-www-5] if-match acl 3001
[USG-policy-based-route-www-5] apply ip-address next-hop 10.10.1.2
[USG-policy-based-route-www-5] quit# 在接口GigabitEthernet 0/0/3上应用定义的策略www,处理此接口接收的报文。

[USG] interface GigabitEthernet 0/0/3
[USG-GigabitEthernet0/0/3] ip policy-based-route www
[USG-GigabitEthernet0/0/3] quit
4 配置IP-Link,监控10.10.1.2是否可达。如果不可达,则策略路由失效。策略路由失效后,流量根据默认路由经ISP-B到达Internet。
[USG] ip-link check enable
[USG] ip-link 1 destination 10.10.1.2 interface GigabitEthernet 0/0/2

结果验证
通过查看会话表中的出接口和下一跳验证www流量和其他流量所经链路是否正确。www流量的下一跳应该为10.10.1.2,其他流量的下一跳应该为10.20.1.2。
<USG> display firewall session table verbose
  HTTP  VPN: public -> public                                                   
  Zone: trust -> untrust  TTL: 00:00:20  Left: 00:00:11                           
  Interface: G0/0/2  Nexthop: 10.10.1.2  MAC: 00-1b-b9-74-89-2e                  
  <-- packets:5 bytes:420   --> packets:5 bytes:420      


回复

使用道具 举报

hugo_26
发表于 2020-1-27 19:55:12 | 显示全部楼层
ddddddddddddddd
沙发 2020-1-27 19:55:12 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-2-2 14:03 , Processed in 0.063205 second(s), 14 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表