NEWS

在線QQ咨詢

021-62279227

在線留言

技術(shù)資料|Technical trainings

首頁 > 新聞中心 > 技術(shù)資料

華為新墻通過多ISP接入Internet（雙機熱備多出口）

Admin

2017-02-17 15:09:12

組網(wǎng)需求

如圖1所示，兩臺NGFW的業(yè)務(wù)接口都工作在三層，上下行分別連接二層交換機。

上行的兩臺交換機分別連接到不同的運營商，其中ISP1分配給企業(yè)的IP地址為1.1.1.1、1.1.1.2、1.1.1.3，ISP2分配給企業(yè)的IP地址為2.2.2.1、2.2.2.2、2.2.2.3。

現(xiàn)在希望兩臺NGFW以負載分擔方式工作，部門A的用戶（10.3.0.51～10.3.0.100）的流量去往ISP1，部門B（10.3.0.101～10.3.0.150）的流量去往ISP2。正常情況下，NGFW_A和NGFW_B共同轉(zhuǎn)發(fā)流量。當其中一臺NGFW出現(xiàn)故障時，另外一臺NGFW轉(zhuǎn)發(fā)全部業(yè)務(wù)，保證業(yè)務(wù)不中斷。

圖1 業(yè)務(wù)接口工作在三層，上下行連接交換機的負載分擔組網(wǎng)

操作步驟

配置接口，完成網(wǎng)絡(luò)基本配置。

選擇“網(wǎng)絡(luò) > 接口”。
單擊GE1/0/1，按如下參數(shù)配置。
安全區(qū)域
isp1
IPv4
IP地址
1.1.1.2/24
單擊“確定”。
參考上述步驟按如下參數(shù)配置GE1/0/2接口。
安全區(qū)域
isp2
IPv4
IP地址
2.2.2.2/24
參考上述步驟按如下參數(shù)配置GE1/0/3接口。
安全區(qū)域
trust
IPv4
IP地址
10.3.0.2/24
參考上述步驟按如下參數(shù)配置GE1/0/7接口。
安全區(qū)域
dmz
IPv4
IP地址
10.10.0.2/24
選擇“網(wǎng)絡(luò) > 接口”。
單擊GE1/0/1，按如下參數(shù)配置。
安全區(qū)域
isp1
IPv4
IP地址
1.1.1.1/24
單擊“確定”。
參考上述步驟按如下參數(shù)配置GE1/0/2接口。
安全區(qū)域
isp2
IPv4
IP地址
2.2.2.1/24
參考上述步驟按如下參數(shù)配置GE1/0/3接口。
安全區(qū)域
trust
IPv4
IP地址
10.3.0.1/24
參考上述步驟按如下參數(shù)配置GE1/0/7接口。
安全區(qū)域
dmz
IPv4
IP地址
10.10.0.1/24

安全區(qū)域	isp1
IPv4
IP地址	1.1.1.2/24

安全區(qū)域	isp2
IPv4
IP地址	2.2.2.2/24

安全區(qū)域	trust
IPv4
IP地址	10.3.0.2/24

安全區(qū)域	dmz
IPv4
IP地址	10.10.0.2/24

安全區(qū)域	isp1
IPv4
IP地址	1.1.1.1/24

安全區(qū)域	isp2
IPv4
IP地址	2.2.2.1/24

安全區(qū)域	trust
IPv4
IP地址	10.3.0.1/24

安全區(qū)域	dmz
IPv4
IP地址	10.10.0.1/24

在NGFW_A上配置接口。

說明：
isp1和isp2為已經(jīng)創(chuàng)建好的安全區(qū)域。
在NGFW_B上配置接口。

配置路由功能，保證路由可達。
NGFW_A與NGFW_B的路由配置相同。

選擇“策略 > 策略路由”。
單擊“新建”。
按如下參數(shù)配置到ISP1的策略路由。

名稱
route_policy_isp1
類型
源安全區(qū)域
源安全區(qū)域
trust
源地址
10.3.0.51-10.3.0.100
動作
轉(zhuǎn)發(fā)
下一跳
1.1.1.254
單擊“確定”。
參考上述步驟，配置到ISP2的策略路由。

名稱
route_policy_isp2
類型
源安全區(qū)域
源安全區(qū)域
trust
源地址
10.3.0.101-10.3.0.150
動作
轉(zhuǎn)發(fā)
下一跳
2.2.2.254

配置雙機熱備功能。

名稱	route_policy_isp1
類型	源安全區(qū)域
源安全區(qū)域	trust
源地址	10.3.0.51-10.3.0.100
動作	轉(zhuǎn)發(fā)
下一跳	1.1.1.254

名稱	route_policy_isp2
類型	源安全區(qū)域
源安全區(qū)域	trust
源地址	10.3.0.101-10.3.0.150
動作	轉(zhuǎn)發(fā)
下一跳	2.2.2.254

選擇“系統(tǒng) > 高可靠性 > 雙機熱備”。
單擊“配置”。
選中“啟用”前的復選框后，按如下參數(shù)配置。
單擊“確定”。
選擇“系統(tǒng) > 高可靠性 > 雙機熱備”。
單擊“配置”。
選中“啟用”前的復選框后，按如下參數(shù)配置。
單擊“確定”。

在NGFW_A上配置雙機熱備功能。
在NGFW_B上配置雙機熱備功能。

在內(nèi)網(wǎng)的設(shè)備上配置缺省路由，將部門A用戶的下一跳設(shè)置為VRRP備份組3的虛擬IP地址10.3.0.3，部門B用戶的下一跳設(shè)置為VRRP備份組4的虛擬IP地址10.3.0.4。
配置安全策略。

在NGFW_A上配置的安全策略會自動備份到NGFW_B上。

選擇“策略 > 安全策略 > 安全策略”。
單擊“新建”。
按照如下參數(shù)配置安全策略。

名稱
policy_sec
源安全區(qū)域
trust
目的安全區(qū)域
isp1,isp2
動作
允許
單擊“確定”。

配置NAT策略，使內(nèi)網(wǎng)用戶通過轉(zhuǎn)換后的公網(wǎng)IP地址訪問Internet。

在NGFW_A上配置的NAT策略會自動備份到NGFW_B上。

名稱	policy_sec
源安全區(qū)域	trust
目的安全區(qū)域	isp1,isp2
動作	允許

選擇“策略 > NAT策略 > 源NAT”。
選擇“NAT地址池”頁簽。
單擊“新建”。
按照如下參數(shù)配置NAT地址池1。

名稱
1
IP地址范圍
1.1.1.3-1.1.1.3
單擊“確定”。
參考上述步驟按如下參數(shù)配置NAT地址池2。

名稱
2
IP地址范圍
2.2.2.3-2.2.2.3
選擇“源NAT”頁簽。
單擊“新建”。
按照如下參數(shù)配置trust與isp1間的NAT策略。

名稱
policy_nat_1
源安全區(qū)域
trust
目的安全區(qū)域
isp1
動作
NAT轉(zhuǎn)換
轉(zhuǎn)換后
源地址
地址池中的地址
地址池
1
單擊“確定”。
參考上述步驟按如下參數(shù)配置trust與isp2間的NAT策略。

名稱
policy_nat_2
源安全區(qū)域
trust
目的安全區(qū)域
isp2
動作
NAT轉(zhuǎn)換
轉(zhuǎn)換后
源地址
地址池中的地址
地址池
2

名稱	1
IP地址范圍	1.1.1.3-1.1.1.3

名稱	2
IP地址范圍	2.2.2.3-2.2.2.3

名稱	policy_nat_1
源安全區(qū)域	trust
目的安全區(qū)域	isp1
動作	NAT轉(zhuǎn)換
轉(zhuǎn)換后
源地址	地址池中的地址
地址池	1

名稱	policy_nat_2
源安全區(qū)域	trust
目的安全區(qū)域	isp2
動作	NAT轉(zhuǎn)換
轉(zhuǎn)換后
源地址	地址池中的地址
地址池	2

結(jié)果驗證

選擇“系統(tǒng) > 高可靠性 > 雙機熱備”，查看雙機熱備的運行情況。

正常情況下，NGFW_A的“當前運行模式”為“負載分擔”，“當前運行角色”為“主用”；NGFW_B的“當前運行模式”為“負載分擔”，“當前運行角色”為“備用”。這說明流量通過兩臺NGFW共同轉(zhuǎn)發(fā)。
當NGFW_A出現(xiàn)故障時，NGFW_A的“當前運行模式”為“主備備份”，“當前運行角色”為“備用”；NGFW_B的“當前運行模式”為“主備備份”，“當前運行角色”為“主用”。這說明流量通過NGFW_B轉(zhuǎn)發(fā)。

配置腳本

NGFW_A	NGFW_B
# hrp mirror session enable hrp enable hrp loadbalance-device hrp interface GigabitEthernet 1/0/7 # interface GigabitEthernet 1/0/1 ip address 1.1.1.1 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 active# interface GigabitEthernet 1/0/2 ip address 2.2.2.1 255.255.255.0 vrrp vrid 2 virtual-ip 2.2.2.3 standby# interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 active vrrp vrid 4 virtual-ip 10.3.0.4 standby# interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone isp1 set priority 10 add interface GigabitEthernet 1/0/1 # firewall zone isp2 set priority 15 add interface GigabitEthernet 1/0/2 # nat address-group 1 section 0 1.1.1.3 1.1.1.3 nat address-group 2 section 0 2.2.2.3 2.2.2.3 # security-policy rule name policy_sec source-zone trust destination-zone isp1 destination-zone isp2 action permit # policy-based-route rule name route_policy_isp1 source-zone trust source-address range 10.3.0.51 10.3.0.100 action pbr next-hop 1.1.1.254 rule name route_policy_isp2 source-zone trust source-address range 10.3.0.101 10.3.0.150 action pbr next-hop 2.2.2.254 # nat-policy rule name policy_nat_1 source-zone trust destination-zone isp1 action nat address-group 1 rule name policy_nat_2 source-zone trust destination-zone isp2 action nat address-group 2	# hrp mirror session enable hrp enable hrp loadbalance-device hrp interface GigabitEthernet 1/0/7 # interface GigabitEthernet 1/0/1 ip address 1.1.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 standby# interface GigabitEthernet 1/0/2 ip address 2.2.2.2 255.255.255.0 vrrp vrid 2 virtual-ip 2.2.2.3 active# interface GigabitEthernet 1/0/3 ip address 10.3.0.2 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 standby vrrp vrid 4 virtual-ip 10.3.0.4 active# interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone isp1 set priority 10 add interface GigabitEthernet 1/0/1 # firewall zone isp2 set priority 15 add interface GigabitEthernet 1/0/2 # nat address-group 1 section 0 1.1.1.3 1.1.1.3 nat address-group 2 section 0 2.2.2.3 2.2.2.3 # security-policy rule name policy_sec source-zone trust destination-zone isp1 destination-zone isp2 action permit # policy-based-route rule name route_policy_isp1 source-zone trust source-address range 10.3.0.51 10.3.0.100 action pbr next-hop 1.1.1.254 rule name route_policy_isp2 source-zone trust source-address range 10.3.0.101 10.3.0.150 action pbr next-hop 2.2.2.254 # nat-policy rule name policy_nat_1 source-zone trust destination-zone isp1 action nat address-group rule name policy_nat_2 source-zone trust destination-zone isp2 action nat address-group 2

NGFW_A

NGFW_B

#
 hrp mirror session enable
 hrp enable
 hrp loadbalance-device
 hrp interface GigabitEthernet 1/0/7
#
interface GigabitEthernet 1/0/1
 ip address 1.1.1.1 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.3 active#
interface GigabitEthernet 1/0/2
 ip address 2.2.2.1 255.255.255.0
 vrrp vrid 2 virtual-ip 2.2.2.3 standby#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.1 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.0.3 active
 vrrp vrid 4 virtual-ip 10.3.0.4 standby#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone dmz  
 set priority 50   
 add interface GigabitEthernet1/0/7
#
firewall zone isp1
 set priority 10   
 add interface GigabitEthernet 1/0/1
#
firewall zone isp2
 set priority 15
 add interface GigabitEthernet 1/0/2
#
 nat address-group 1
 section 0 1.1.1.3 1.1.1.3
 nat address-group 2
 section 0 2.2.2.3 2.2.2.3
#
security-policy  
 rule name policy_sec
  source-zone trust
  destination-zone isp1
  destination-zone isp2
  action permit    
#
policy-based-route
 rule name route_policy_isp1
  source-zone trust
  source-address range 10.3.0.51 10.3.0.100
  action pbr next-hop 1.1.1.254
 rule name route_policy_isp2
  source-zone trust
  source-address range 10.3.0.101 10.3.0.150
  action pbr next-hop 2.2.2.254
#
nat-policy  
 rule name policy_nat_1
  source-zone trust
  destination-zone isp1
  action nat address-group 1
 rule name policy_nat_2
  source-zone trust
  destination-zone isp2
  action nat address-group 2

#
 hrp mirror session enable
 hrp enable
 hrp loadbalance-device
 hrp interface GigabitEthernet 1/0/7
#
interface GigabitEthernet 1/0/1
 ip address 1.1.1.2 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.3 standby#
interface GigabitEthernet 1/0/2
 ip address 2.2.2.2 255.255.255.0
 vrrp vrid 2 virtual-ip 2.2.2.3 active#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.2 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.0.3 standby
 vrrp vrid 4 virtual-ip 10.3.0.4 active#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.2 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone dmz  
 set priority 50   
 add interface GigabitEthernet1/0/7
#
firewall zone isp1
 set priority 10 
 add interface GigabitEthernet 1/0/1
#
firewall zone isp2
 set priority 15   
 add interface GigabitEthernet 1/0/2
#
 nat address-group 1
 section 0 1.1.1.3 1.1.1.3
 nat address-group 2
 section 0 2.2.2.3 2.2.2.3
#
security-policy  
 rule name policy_sec
  source-zone trust
  destination-zone isp1
  destination-zone isp2
  action permit    
#
policy-based-route
 rule name route_policy_isp1
  source-zone trust
  source-address range 10.3.0.51 10.3.0.100
  action pbr next-hop 1.1.1.254
 rule name route_policy_isp2
  source-zone trust
  source-address range 10.3.0.101 10.3.0.150
  action pbr next-hop 2.2.2.254
#
nat-policy
 rule name policy_nat_1
  source-zone trust
  destination-zone isp1
  action nat address-group 
 rule name policy_nat_2
  source-zone trust
  destination-zone isp2
  action nat address-group 2

上一篇： USG6000通過多ISP接入Internet（基于ISP目的地址的多出口）
下一篇：華為交換機登錄密碼忘記了怎么辦？

上海普用電子科技有限公司

NEWS

技術(shù)資料|Technical trainings

華為新墻通過多ISP接入Internet（雙機熱備多出口）

組網(wǎng)需求

操作步驟

結(jié)果驗證

配置腳本

相關(guān)動態(tài)

友情鏈接

產(chǎn)品系列

聯(lián)系我們