華為雙鏈路出口調(diào)試步驟

1、10J.1.1/16宣全M風(fēng)ISP2出口網(wǎng)關(guān)雙鏈路接入不同運(yùn)營商舉例二usG乍為校園或大型企業(yè)出口網(wǎng)關(guān)可以實(shí)現(xiàn)網(wǎng)用戶通過兩個(gè)運(yùn)營商訪問In ternet ，并保護(hù)網(wǎng)不受網(wǎng)絡(luò)攻擊。組網(wǎng)需求某學(xué)校網(wǎng)絡(luò)通過USG1接到In ternet ，校組網(wǎng)情況如下:?校用戶主要分布在教學(xué)樓和宿舍區(qū)，通過匯聚交換機(jī)連接到USG?學(xué)校分別通過兩個(gè)不同運(yùn)營商（ISP1和ISP2）連接到In ternet，兩個(gè)運(yùn) 營商分別為該校分配了 3個(gè)IP地址。ISP1分配的IP地址是，ISP2 分配的 IP 地址是 ，掩碼均為 24 位。該學(xué)校網(wǎng)絡(luò)需要實(shí)

2、現(xiàn)以下需求：?校用戶能夠通過兩個(gè)運(yùn)營商訪問In ternet，且去往不同運(yùn)營商的流量由 USGk連接該運(yùn)營商的對(duì)應(yīng)的接口轉(zhuǎn)發(fā)。?當(dāng)一條鏈路出現(xiàn)故障時(shí)，流量可以被及時(shí)切換到另一條鏈路上， 避免網(wǎng)絡(luò) 長時(shí)間中斷。? 保護(hù)部網(wǎng)絡(luò)不受SYN Flood、UDP Flood和ICMP Flood的攻擊。圖1出口網(wǎng)關(guān)雙鏈路接入不同運(yùn)營商舉例二組網(wǎng)圖；雲(yún)節(jié)區(qū)域=Trust項(xiàng)目數(shù)據(jù)說明1二一-一項(xiàng)目數(shù)據(jù)說明(1)接口號(hào)：GigabitEthernet0/0/0IP 地址：/16安全區(qū)域：Trust接口（ 1）是連接網(wǎng)匯聚交 換機(jī)的接口。校用戶分配到網(wǎng)段為/16 的私網(wǎng)地址和DN

3、S!務(wù)器地址/24 ，部署在 Trust區(qū)域。(2)接口號(hào)：GigabitEthernet0/0/2IP 地址：/24安全區(qū)域：ISP1安全優(yōu)先級(jí)：15接口（2）是連接ISP1的 接口，去往ISP1所屬網(wǎng)段 的數(shù)據(jù)通過接口（2）轉(zhuǎn)發(fā)。(3)接口號(hào)：GigabitEthernet5/0/0IP 地址：/24安全區(qū)域：ISP2安全優(yōu)先級(jí)：20接口（3）是連接ISP2的 接口。去往ISP2所屬網(wǎng)段 的數(shù)據(jù)通過接口（ 3）轉(zhuǎn)發(fā)。(4)接口號(hào)：GigabitEthernet 0/0/0IP 地址：0/24接口（4）是ISP1端與US

4、G 相連的接口。(5)接口號(hào)：GigabitEthernet 0/0/0IP 地址：0/24接口（ 5）是ISP2端與USG 相連的接口。ISP1分配給學(xué)校的IP地 址 , 掩碼24位。其中 用作USG 的出接口地址， 和用作Trust ISP1 域間的 NAT 地址池1的地址。ISP2分配給學(xué)校的IP地 址 , 掩碼24位。其中 用作USG 的出接口地址， 和用作項(xiàng)目數(shù)據(jù)說明Trust ISP

5、2 域間的 NAT 地址池2的地址。配置思路?為了實(shí)現(xiàn)校園網(wǎng)用戶使用有限公網(wǎng)IP地址接入In ternet ，需要配置NAPT 方式的NAT借助端口將多個(gè)私網(wǎng)IP地址轉(zhuǎn)換為有限的公網(wǎng)IP地址。由于校園網(wǎng)連接兩個(gè)運(yùn)營商，因此需要分別進(jìn)行地址轉(zhuǎn)換，將私網(wǎng)地址轉(zhuǎn) 換為公網(wǎng)地址。即創(chuàng)建兩個(gè)安全區(qū)域 ISP1和ISP2 （安全優(yōu)先級(jí)低于DMZ 區(qū)域），并分別在Trust ISP1域間、Trust ISP2域間配置NAToutbound。?為了實(shí)現(xiàn)去往不同運(yùn)營商的流量由對(duì)應(yīng)接口轉(zhuǎn)發(fā)，需要收集ISP1和ISP2所屬網(wǎng)段的信息，并配置到這些網(wǎng)段的靜態(tài)路由。使去往ISP1的流量通過連接ISP1的接口轉(zhuǎn)發(fā)，去往I

6、SP2的流量通過連接ISP2的接口轉(zhuǎn)發(fā)。為了提高鏈路可靠性，避免業(yè)務(wù)中斷，需要配置兩條缺省路由。當(dāng)報(bào)文無 法匹配靜態(tài)路由時(shí)，通過缺省路由發(fā)送給下一跳。?在USGk啟用攻擊防功能，保護(hù)校園網(wǎng)部網(wǎng)絡(luò)。操作步驟1.配置USG各接口的IP地址并將接口加入安全區(qū)域。#配置USG各接口的IP地址。system-viewUSG in terface GigabitEthernet 0/0/0USG-GigabitEthernetO/O/O ip address 16USG-GigabitEthernet0/0/0 quitUSG in terface GigabitEthernet 0/0

7、/2USG-GigabitEthernet0/0/2 ip address 24USG-GigabitEthernet0/0/2 quitUSG in terface GigabitEthernet 5/0/0USG-GigabitEthernet5/0/0USG-GigabitEthernet5/0/0ip address 24 quit# 將 GigabitEthernet 0/0/0接口加入Trust安全區(qū)域USG firewall zone trustUSG-zo ne-trust add in terface GigabitEthernet 0

8、/0/0USG-zo ne-trustquit#創(chuàng)建安全區(qū)域ISP1，并將GigabitEthernet 0/0/2 接口加入ISP1USG-zo ne-isp1USG-zo ne-isp1USG-zo ne-isp1set priority 15add in terface GigabitEthernet 0/0/2 quitUSG firewall zone n ame isp1#創(chuàng)建安全區(qū)域ISP2，并將GigabitEthernet 5/0/0 接口加入ISP2。USG firewall zone n ame isp2USG-zo ne-isp2USG-zo ne-isp2USG-zo

9、 ne-isp2set priority 20add in terface GigabitEthernet 5/0/0 quit2.配置域間包過濾及ASPF功能，對(duì)校外數(shù)據(jù)流進(jìn)行訪問控制。#配置Trust ISP1的域間包過濾，允許校用戶訪問ISP1。USG policy in terz one trust isp1 outbo undUSG-policy-i nterz on e-trust-isp1-outbo undUSG-policy-i nterz on e-trust-isp1-outbo un d-1 55USG-policy-i nterz

10、on e-trust-isp1-outbo un d-1 USG-policy-i nterz on e-trust-isp1-outbo un d-1 USG-policy-i nterz on e-trust-isp1-outbo undpolicy 1policy sourceaction permit quit quit#配置Trust ISP2的域間包過濾，允許校用戶訪問ISP2。USG policy in terz one trust isp2 outbo undUSG-policy-i nterz on e-trust-isp2-outbo undUSG-policy-i nte

11、rz on e-trust-isp2-outbo un d-1 55USG-policy-i nterz on e-trust-isp2-outbo un d-1USG-policy-i nterz on e-trust-isp2-outbo un d-1 USG-policy-i nterz on e-trust-isp2-outbo undpolicy 1policy sourceaction permit quit quit#在域間開啟ASPF功能，防止多通道協(xié)議無法建立連接USG firewall interzone trust isp1USG-i

12、nterzo ne-trust-isp1detect ftpUSG-i nterz on e-trust-isp1detect qqUSG-i nterz on e-trust-isp1detect msnUSG-i nterz on e-trust-isp1quitUSG firewall in terz one trust isp2USG-i nterz on e-trust-isp2detect ftpUSG-i nterz on e-trust-isp2detect qqUSG-i nterz on e-trust-isp2detect msnUSG-i nterz on e-trus

13、t-isp2quit3.配置NAT outbou nd,使網(wǎng)用戶通過轉(zhuǎn)換后的公網(wǎng)IP地址訪問In ternet 。#配置應(yīng)用于Trust ISP1域間的NAT地址池1。地址池1包括ISP1提 供的兩個(gè)IP地址 和。USG nat address-group 1 #配置應(yīng)用于Trust ISP2域間的NAT地址池2。地址池2包括ISP2提 供的兩個(gè)IP地址 和。USG nat address-group 2 #在Trust ISP1域間配置NATou

14、tbound，將校用戶的私網(wǎng)IP地址轉(zhuǎn)換 為ISP1提供的公網(wǎng)IP地址。USG n at-policy in terz one trust isp1 outbo undpolicy 1policy sourceacti onaddress-group 1quitquitUSG-nat-policy-i nterz on e-trust-isp1-outbo undUSG-nat-policy-i nterz on e-trust-isp1-outbo un d-1 55USG-nat-policy-i nterz on e-trust-isp1-outbo

15、un d-1 source-natUSG-nat-policy-i nterz on e-trust-isp1-outbo un d-1USG-nat-policy-i nterz on e-trust-isp1-outbo un d-1USG-nat-policy-i nterz on e-trust-isp1-outbo und#在Trust ISP2域間配置NAToutbound，將校用戶的私網(wǎng)IP地址轉(zhuǎn)換 為ISP2提供的公網(wǎng)IP地址。USG n at-policy in terz one trust isp2 outbo undpolicy 1policy sourceacti on

16、address-group 2quitquitUSG-nat-policy-i nterz on e-trust-isp2-outbo undUSG-nat-policy-i nterz on e-trust-isp2-outbo un d-1 55USG-nat-policy-i nterz on e-trust-isp2-outbo un d-1 source-natUSG-nat-policy-i nterz on e-trust-isp2-outbo un d-1 USG-nat-policy-i nterz on e-trust-isp2-outb

17、o un d-1USG-nat-policy-i nterz on e-trust-isp2-outbo und4.配置多條靜態(tài)路由和兩條缺省路由，實(shí)現(xiàn)網(wǎng)絡(luò)的雙出口特性和鏈路的可靠 性。#為特定目的IP地址的報(bào)文指定出接口，目的地址為IPS1的指定出接口 為GigabitEthernet 0/0/2 、目的地址為ISP2的指定出接口為 GigabitEthernet 5/0/0。實(shí)際場景中，可能需指定多條靜態(tài)路由，為特定目的IP地址配置明細(xì)路 由。因此需要咨詢運(yùn)營商獲取ISP所屬網(wǎng)段信息。本例中僅給出了四條靜 態(tài)路由的配置。USG ip route-static 24 Gi

18、gabitEthernet 0/0/20USG ip route-static 24 GigabitEthernet 0/0/20USG ip route-static 24 GigabitEthernet 5/0/00USG ip route-static 24 GigabitEthernet 5/0/00#配置兩條缺省路由，當(dāng)報(bào)文無法匹配靜態(tài)路由時(shí)，通過缺省路由發(fā)送給 下一跳。USG ip route-static Gigabi

19、tEthernet 0/0/20USG ip route-static GigabitEthernet 5/0/005.配置攻擊防功能，保護(hù)校園網(wǎng)絡(luò)。請(qǐng)根據(jù)網(wǎng)絡(luò)實(shí)際情況開啟攻擊防功能和調(diào)整報(bào)文速率閾值，本例中配置的攻擊防功能僅供參考。#開SYNFIood、UDPFIood和ICMPFIood攻擊防功能，并限制每條會(huì)話 允許通過的ICMP報(bào)文最大速率為5包/秒。USG firewall defe nd syn-flood en ableUSG firewall defe nd udp-flood en ableUSG firew

20、all defe nd icmp-flood en ableUSG firewall defe nd icmp-flood base-sessi on max-rate 5結(jié)果驗(yàn)證1.執(zhí)行命令display nat all ,可以看到配置的NAT地址池和部服務(wù)器信息2.USG display nat all3.4.NAT address-group in formati on:5.nu mber:1n ame6.startaddr :endaddr7.refere nee:0vrrp:8.vpnin sta nee:public9.10.nu mber:2n

21、 ame11.startaddr :endaddr12.refere nee:1vrrp:13.vpnin sta nee:public14.15.Total 2 address-groups16.17.Server in private n etwork in formati on:Total 0 NATservers18.通過在網(wǎng)絡(luò)中操作，檢查業(yè)務(wù)是否能夠正常實(shí)現(xiàn)。#在校園網(wǎng)的一臺(tái)主機(jī)上，訪問ISP1所屬網(wǎng)段的一臺(tái)服務(wù)器（IP地址為200.123 ），通過執(zhí)行命令 display firewall session table，可以看到私網(wǎng)IP地址轉(zhuǎn)換成了

22、 ISP1的公網(wǎng)IP地址。USG display firewall session tableCurre nt Total Sessi ons : 1http VPN: public - public:1674 :12889 卜-:80配置腳本USG配置腳本：#nat address-group 1 nat address-group 2 #firewall defe nd icmp-flood en ablefirewall defe nd udp-flood en

23、 ablefirewall defe nd syn-flood en ablefirewall defe nd icmp-flood base-sessi on max-rate 5 #in terface GigabitEthernetO/O/Oip address #in terface GigabitEthernet0/0/2ip address #in terface GigabitEthernet5/0/0ip address #firewall zon

24、e localset priority 100#firewall zone trustset priority 85add in terface GigabitEthernet0/0/0#firewall zone un trustset priority 5#firewall zone dmzset priority 50#firewall zone n ame isp1set priority 15add in terface GigabitEthernet0/0/2#firewall zone n ame isp2set priority 20add in terface GigabitEthernet5/0/0#firewall in terz one trust isp1detect ftpdetect qqdetect msn#firewall in terz one trust isp2detect ftpdetect qqdetect msn#firewall in terz one dmz ispldetect ftp#firewall in terz one dmz isp2detect ftp#ip route-static 0.