技術(shù)資料|Technical trainings

USG6000通過(guò)多ISP接入Internet（基于ISP目的地址的多出口）

Admin2017-02-16 16:29:37

組網(wǎng)需求

如圖1所示，某企業(yè)在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)，并分別從運(yùn)營(yíng)商ISP1和ISP2處購(gòu)買了寬帶上網(wǎng)服務(wù)，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)接入Internet的需求。

具體需求如下：

• 研發(fā)部門和市場(chǎng)部門中的PC可以通過(guò)運(yùn)營(yíng)商ISP1和ISP2訪問(wèn)Internet，要求去往特定目的地址的流量必須經(jīng)由相應(yīng)的運(yùn)營(yíng)商來(lái)轉(zhuǎn)發(fā)。

• 當(dāng)一條鏈路出現(xiàn)故障時(shí)，流量可以被及時(shí)切換到另一條鏈路上，避免業(yè)務(wù)中斷。

圖1 雙上行接入不同運(yùn)營(yíng)商組網(wǎng)圖 

本舉例中假設(shè)某企業(yè)從運(yùn)營(yíng)商ISP1和ISP2獲取了如下信息，這些信息僅供舉例使用，實(shí)際配置時(shí)請(qǐng)從當(dāng)?shù)剡\(yùn)營(yíng)商獲取。

配置思路

1. 配置接口的地址，并將接口加入相應(yīng)的安全區(qū)域。在配置接口GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的地址時(shí)，分別指定默認(rèn)網(wǎng)關(guān)為1.1.1.254和2.2.2.254。

2. 配置多條靜態(tài)路由，使去往特定目的地址的流量經(jīng)由相應(yīng)的運(yùn)營(yíng)商來(lái)轉(zhuǎn)發(fā)。

3. 配置安全策略，允許內(nèi)部網(wǎng)絡(luò)中的PC訪問(wèn)Internet。

4. 配置NAT策略，提供源地址轉(zhuǎn)換功能。

5. 在運(yùn)營(yíng)商ISP1和ISP2網(wǎng)絡(luò)的設(shè)備上配置回程路由，該配置由運(yùn)營(yíng)商完成，本舉例中不作介紹。

6. 規(guī)劃內(nèi)部網(wǎng)絡(luò)中PC的地址，并將內(nèi)部網(wǎng)絡(luò)中PC的網(wǎng)關(guān)設(shè)置為10.3.0.1、DNS服務(wù)器地址設(shè)置為9.9.9.9和11.11.11.11，該配置由網(wǎng)絡(luò)管理員完成，本舉例中不作介紹。

操作步驟

1. 配置接口GigabitEthernet 1/0/1。

1. 選擇“網(wǎng)絡(luò) > 安全區(qū)域”。

2. 單擊“新建”，按如下參數(shù)配置。

   
   

   安全區(qū)域名稱	isp1
   優(yōu)先級(jí)	10

   
   

3. 單擊“確定”。

4. 選擇“網(wǎng)絡(luò) > 接口”。

5. 單擊GE1/0/1對(duì)應(yīng)的，按如下參數(shù)配置。

   
   

   安全區(qū)域	isp1
   模式	路由
   IPv4
   連接類型	靜態(tài)IP
   IP地址	1.1.1.1/255.255.255.0
   默認(rèn)網(wǎng)關(guān)	1.1.1.254

   
   

6. 單擊“確定”。

2. 配置接口GigabitEthernet 1/0/7。

1. 選擇“網(wǎng)絡(luò) > 安全區(qū)域”。

2. 單擊“新建”，按如下參數(shù)配置。

   
   

   安全區(qū)域名稱	isp2
   優(yōu)先級(jí)	20

   
   

3. 單擊“確定”。

4. 選擇“網(wǎng)絡(luò) > 接口”。

5. 單擊GE1/0/7對(duì)應(yīng)的，按如下參數(shù)配置。

   
   

   安全區(qū)域	isp2
   模式	路由
   IPv4
   連接類型	靜態(tài)IP
   IP地址	2.2.2.2/255.255.255.0
   默認(rèn)網(wǎng)關(guān)	2.2.2.254

   
   

6. 單擊“確定”。

3. 配置接口GigabitEthernet 1/0/3。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 單擊GE1/0/3對(duì)應(yīng)的，按如下參數(shù)配置。

   
   

   安全區(qū)域	trust
   模式	路由
   IPv4
   連接類型	靜態(tài)IP
   IP地址	10.3.0.1/255.255.255.0

   
   

3. 單擊“確定”。

4. 配置靜態(tài)路由。

   
   

    說(shuō)明：

   此處只給出了四條靜態(tài)路由的配置，具體使用時(shí)可能需指定多條靜態(tài)路由，為特定目的地址配置明細(xì)路由，因此需要咨詢運(yùn)營(yíng)商獲取ISP所屬網(wǎng)段信息。

   
   

1. 選擇“網(wǎng)絡(luò) > 路由 > 靜態(tài)路由”。

2. 在“靜態(tài)路由列表”中單擊“新建”，按如下參數(shù)配置。

   
   

   目的地址/掩碼	200.1.2.0/24
   下一跳	1.1.1.254
   出接口	GE1/0/1

   
   

3. 單擊“確定”。

4. 在“靜態(tài)路由列表”中單擊“新建”，按如下參數(shù)配置。

   
   

   目的地址/掩碼	200.2.2.0/24
   下一跳	1.1.1.254
   出接口	GE1/0/1

   
   

5. 單擊“確定”。

6. 在“靜態(tài)路由列表”中單擊“新建”，按如下參數(shù)配置。

   
   

   目的地址/掩碼	202.1.2.0/24
   下一跳	2.2.2.254
   出接口	GE1/0/7

   
   

7. 單擊“確定”。

8. 在“靜態(tài)路由列表”中單擊“新建”，按如下參數(shù)配置。

   
   

   目的地址/掩碼	202.2.2.0/24
   下一跳	2.2.2.254
   出接口	GE1/0/7

   
   

9. 單擊“確定”。

5. 配置安全策略，允許內(nèi)部網(wǎng)絡(luò)中的PC訪問(wèn)Internet。

1. 選擇“策略 > 安全策略”。

2. 單擊“新建”，按如下參數(shù)配置。

   
   

   此處只給出了完成本舉例所需的安全策略的基本參數(shù)，具體使用時(shí)，請(qǐng)根據(jù)實(shí)際情況設(shè)置安全策略中的其他參數(shù)。

   

   
   

3. 單擊“確定”。

4. 單擊“新建”，按如下參數(shù)配置。

   
   

   此處只給出了完成本舉例所需的安全策略的基本參數(shù)，具體使用時(shí)，請(qǐng)根據(jù)實(shí)際情況設(shè)置安全策略中的其他參數(shù)。

   

   
   

5. 單擊“確定”。

6. 配置NAT策略，當(dāng)內(nèi)部網(wǎng)絡(luò)中的PC訪問(wèn)Internet時(shí)進(jìn)行地址轉(zhuǎn)換。

1. 選擇“策略 > NAT策略 > 源NAT”。

2. 在“NAT地址池列表”中單擊“新建”，按如下參數(shù)配置。

   
   

   名稱	address_1
   IP地址范圍	1.1.1.10-1.1.1.12

   
   

3. 單擊“確定”。

4. 在“NAT地址池列表”中單擊“新建”，按如下參數(shù)配置。

   
   

   名稱	address_2
   IP地址范圍	2.2.2.10-2.2.2.12

   
   

5. 單擊“確定”。

6. 在“源NAT策略列表”中單擊“新建”，按如下參數(shù)配置。

   

7. 單擊“確定”。

8. 在“源NAT策略列表”中單擊“新建”，按如下參數(shù)配置。

   

9. 單擊“確定”。

結(jié)果驗(yàn)證

1. 檢查接口GigabitEthernet 1/0/1的狀態(tài)。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 查看接口GigabitEthernet 1/0/1的公網(wǎng)地址配置是否正確，物理狀態(tài)和IPv4狀態(tài)是否為Up。

2. 檢查接口GigabitEthernet 1/0/7的狀態(tài)。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 查看接口GigabitEthernet 1/0/7的公網(wǎng)地址配置是否正確，物理狀態(tài)和IPv4狀態(tài)是否為Up。

3. 檢查接口GigabitEthernet 1/0/3的狀態(tài)。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 查看接口GigabitEthernet 1/0/3的私網(wǎng)地址配置是否正確，物理狀態(tài)和IPv4狀態(tài)是否為Up。

4. 檢查內(nèi)部網(wǎng)絡(luò)中的PC通過(guò)域名訪問(wèn)Internet時(shí)，去往特定目的地址的流量是否經(jīng)由相應(yīng)的運(yùn)營(yíng)商來(lái)轉(zhuǎn)發(fā)。若是，則表示配置成功。否則，請(qǐng)檢查配置。

配置腳本

#                                                                               
 sysname NGFW                                      
#                                                                               
interface GigabitEthernet1/0/1                                                  
 ip address 1.1.1.1 255.255.255.0                                               
#                                                                               
interface GigabitEthernet1/0/3                                                  
 ip address 10.3.0.1 255.255.255.0                                              
#                                                                               
interface GigabitEthernet1/0/7                                                  
 ip address 10.1.1.1 255.255.255.0                                              
#                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/3                                             
#                                                                               
firewall zone name isp1                                                           
 set priority 10                                                                 
 add interface GigabitEthernet1/0/1                                             
#                                                                               
firewall zone name isp2                                                           
 set priority 20                                                                 
 add interface GigabitEthernet1/0/7                                             
#                                                                               
 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.254                 
 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/7 2.2.2.254                 
 ip route-static 200.1.2.0 255.255.255.0 GigabitEthernet1/0/1 1.1.1.254         
 ip route-static 200.2.2.0 255.255.255.0 GigabitEthernet1/0/1 1.1.1.254         
 ip route-static 202.1.2.0 255.255.255.0 GigabitEthernet1/0/7 2.2.2.254         
 ip route-static 202.2.2.0 255.255.255.0 GigabitEthernet1/0/7 2.2.2.254         
#                                                                                
 nat address-group address_1                                                    
 section 0 1.1.1.10 1.1.1.12                                                      
 nat address-group address_2                                                    
 section 0 2.2.2.10 2.2.2.12                                                        
#                                                                               
security-policy                                                                 
  rule name policy_sec_1                                                        
    source-zone trust                                                           
    destination-zone isp1                                                    
    source-address 10.3.0.0 24                                                  
    action permit                                                               
  rule name policy_sec_2                                                        
    source-zone trust                                                           
    destination-zone isp2                                                   
    source-address 10.3.0.0 24                                                  
    action permit                                                               
#                                                                                
nat-policy                                                                      
  rule name policy_nat_1                                                        
    source-zone trust                                                           
    destination-zone isp1                                                    
    source-address 10.3.0.0 24                                                  
    action nat address-group address_1                                          
  rule name policy_nat_2                                                        
    source-zone trust                                                           
    destination-zone isp2                                                   
    source-address 10.3.0.0 24                                                  
    action nat address-group address_2                                          
#                                                                                
return

• 上一篇： 網(wǎng)絡(luò)風(fēng)暴處理一例
• 下一篇： 華為新墻通過(guò)多ISP接入Internet（雙機(jī)熱備多出口）