2. 程式人生 > >華為USG6000V 多ISP接入Internet(基於ISP目的地址的多出口)

華為USG6000V 多ISP接入Internet(基於ISP目的地址的多出口)

阿新 發佈:2018-12-27

組網需求

1、如圖所示,某企業在網路邊界處部署了NGFW作為安全閘道器,並分別從運營商ISP1和ISP2處購買了寬頻上網服務,實現內部網路接入Internet的需求。
具體需求如下:
研發部門和市場部門中的PC可以通過運營商ISP1和ISP2訪問Internet,要求去往特定目的地址的流量必須經由相應的運營商來轉發。

當一條鏈路出現故障時,流量可以被及時切換到另一條鏈路上,避免業務中斷。

2、網路拓撲

3、配置思路

配置介面的地址,並將介面加入相應的安全區域。在配置介面GigabitEthernet 1/0/0和GigabitEthernet 1/0/2的地址時,分別指定預設閘道器為1.1.1.254和2.2.2.254。
配置多條靜態路由,使去往特定目的地址的流量經由相應的運營商來轉發。
配置安全策略,允許內部網路中的PC訪問Internet。
配置NAT策略,提供源地址轉換功能。
在運營商ISP1和ISP2網路的裝置上配置回程路由,該配置由運營商完成。

規劃內部網路中PC的地址,並將內部網路中PC的閘道器設定為10.3.0.254

二、操作步驟

1、配置防火牆介面IP地址

<USG6000V1>system-view 
[USG6000V1]interface GigabitEthernet  1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address  10.3.0.254 24
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit 
[USG6000V1-GigabitEthernet1/0/1]q
[USG6000V1]interface GigabitEthernet  1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address  202.1.1.1 24
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit 
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]interface GigabitEthernet  1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip address  202.1.2.1 24
[USG6000V1-GigabitEthernet1/0/2]service-manage ping  permit  
[USG6000V1-GigabitEthernet1/0/2]q

2、加入對應安全區域

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add  interface  GigabitEthernet  1/0/1
[USG6000V1-zone-trust]q

[USG6000V1]firewall zone name ISP1
[USG6000V1-zone-ISP1]set priority 10
[USG6000V1-zone-ISP1]add  interface  GigabitEthernet  1/0/0
[USG6000V1-zone-ISP1]q

[USG6000V1]firewall zone  name  ISP2
[USG6000V1-zone-ISP2]set priority 15
[USG6000V1-zone-ISP2]add  interface  GigabitEthernet  1/0/2
[USG6000V1-zone-ISP2]q

3、配置靜態路由

[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 202.1.1.254
[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 202.1.2.254

4、配置安全策略,允許內部網路PC訪問Internet

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name trus_ISP1
[USG6000V1-policy-security-rule-trus_ISP1]source-zone trust 
[USG6000V1-policy-security-rule-trus_ISP1]destination-zone ISP1
[USG6000V1-policy-security-rule-trus_ISP1]source-address  10.3.0.0 24
[USG6000V1-policy-security-rule-trus_ISP1]action  permit 
[USG6000V1-policy-security-rule-trus_ISP1]q

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name trust_ISP2
[USG6000V1-policy-security-rule-trust_ISP2]source-zone  trust 
[USG6000V1-policy-security-rule-trust_ISP2]destination-zone ISP2
[USG6000V1-policy-security-rule-trust_ISP2]source-address 10.3.0.0 24
[USG6000V1-policy-security-rule-trust_ISP2]action  permit 
[USG6000V1-policy-security-rule-trust_ISP2]q

5、配置NAT地址池

[USG6000V1]nat address-group address1
[USG6000V1-address-group-address1]section 202.1.1.10 202.1.1.12
[USG6000V1-address-group-address1]mode pat
[USG6000V1-address-group-address1]q

[USG6000V1]nat address-group address2
[USG6000V1-address-group-address2]section 202.1.2.10 202.1.2.12 
[USG6000V1-address-group-address2]mode pat 
[USG6000V1-address-group-address2]q

6、配置NAT策略

[USG6000V1]nat-policy 
[USG6000V1-policy-nat]rule name nat_isp1
[USG6000V1-policy-nat-rule-nat_isp1]source-zone trust 
[USG6000V1-policy-nat-rule-nat_isp1]destination-zone ISP1
[USG6000V1-policy-nat-rule-nat_isp1]source-address  10.3.0.0 24
[USG6000V1-policy-nat-rule-nat_isp1]action nat address-group address1 
[USG6000V1-policy-nat-rule-nat_isp1]q

[USG6000V1]nat-policy 
[USG6000V1-policy-nat]rule name nat_ips2
[USG6000V1-policy-nat-rule-nat_ips2]source-zone  trust 
[USG6000V1-policy-nat-rule-nat_ips2]destination-zone ISP2
[USG6000V1-policy-nat-rule-nat_ips2]source-address 10.3.0.0 24
[USG6000V1-policy-nat-rule-nat_ips2]action  nat address-group address2
[USG6000V1-policy-nat-rule-nat_ips2]q

7、ISP配置介面IP

<Huawei>system-view
[Huawei]sysname ISP1
[ISP1]interface  GigabitEthernet  0/0/0
[ISP1-GigabitEthernet0/0/0]ip address  202.1.1.254 24
[ISP1-GigabitEthernet0/0/0]q

<Huawei>system-view  
[Huawei]sysname ISP2
[ISP2]interface  GigabitEthernet 0/0/0
[ISP2-GigabitEthernet0/0/0]ip address  202.1.2.254 24
[ISP2-GigabitEthernet0/0/0]q

8、ISP配置路由

[ISP1]ip route-static 10.3.0.0 24 202.1.1.1
[ISP2]ip route-static 10.3.0.0 24 202.1.2.1

9、內網PC測試ping,檢視防火牆nat會話

[USG6000V1]display  firewall session table
 Current Total Sessions : 10
 icmp  VPN: public --> public  10.3.0.1:33768[202.1.2.10:2049] --> 202.1.2.254:2
048
 icmp  VPN: public --> public  10.3.0.1:36328[202.1.1.10:2058] --> 202.1.1.254:2
048
 icmp  VPN: public --> public  10.3.0.1:36840[202.1.1.10:2060] --> 202.1.1.254:2
048
 icmp  VPN: public --> public  10.3.0.1:35048[202.1.1.10:2053] --> 202.1.1.254:2
048

 

 

相關推薦

USG6000V ISP接入Internet基於ISP目的地址出口

組網需求 1、如圖所示,某企業在網路邊界處部署了NGFW作為安全閘道器,並分別從運營商ISP1和ISP2處購買了寬頻上網服務,實現內部網路接入Internet的需求。 具體需求如下: 研發部門和市場部門中的PC可以通過運營商ISP1和ISP2訪問Internet,要求去往特定目的地址的流量必

:dynamic host config protocolDHCP

offer mask 重要 off term mark 子網 lis 全局 1.態主機配置協議,動態給用戶分配ip地址、子網掩碼、網關、DNS 等。2.可以提供DHCP功能設備:家用路由器、三層交換機、路由器、防火墻、服務器。 dhcp enable 啟用 dhcp

-vlan間路由之SVIswitch virtual interface

華為 SVI VLAN間路由 SVI(switch virtual interface) (使用多層交換機 配置 vlanif接口) 交換機: vlan batch 10 20 interface GigabitEthernet0/0/2 port link-type access

25、【HCIE-Storage】--Hyper Snapshot文件業務

HCIE Storage hostman ------------------------------------重要說明------------------------------------以下部分內容來網絡,部分自華為存儲官方教材具體教材內容請移步華為存儲官網進行教材下載 網絡引用內容

23、【HCIE-Storage】--Smart MigrationLUN同一控制器

HCIE Storage hostman ------------------------------------重要說明------------------------------------以下部分內容來網絡,部分自華為存儲官方教材具體教材內容請移步華為存儲官網進行教材下載 網絡引用內容

24、【HCIE-Storage】--Hyper Snapshot塊業務

HCIE Storage hostman ------------------------------------重要說明------------------------------------以下部分內容來網絡,部分自華為存儲官方教材具體教材內容請移步華為存儲官網進行教材下載 網絡引用內容

26、【HCIE-Storage】--Hyper Clone不支持外部存儲,同一控制器

HCIE Storage hostman ------------------------------------重要說明------------------------------------以下部分內容來網絡,部分自華為存儲官方教材具體教材內容請移步華為存儲官網進行教材下載 網絡引用內容

27、【HCIE-Storage】--Hyper Mirror不同的硬盤域

HCIE Storage hostman ------------------------------------重要說明------------------------------------以下部分內容來網絡,部分自華為存儲官方教材具體教材內容請移步華為存儲官網進行教材下載 網絡引用內容

程式設計題第四道108--cin>>hex>>a的用法

一.count函式 algorithm標頭檔案定義了一個count的函式,其功能類似於find。這個函式使用一對迭代器和一個值做引數,返回這個值出現次數的統計結果。 編寫程式讀取一系列in

路由器OSPF特殊區域配置

OSPF區域型別:骨幹區域,非骨幹區域; 骨幹區域為:0區域; 非骨幹區域分為:標準區域、特殊區域; 特殊區域分為:stub區域、tatally stub區域、nssa區域、totally nssa區域。 本文主要為大家介紹OSPF四種特殊區域配置命令及鏈路狀態分析,實驗拓撲如下:

路由交換交換綜合實驗包含 Hybrid, MAC VLAN、三層路由及單臂路由

lsw1 實驗配置: [lsw1]dis cu sysname lsw1 vlan batch 10 20 30 40 110 120 199 dhcp enable #(這裡是三層交換的配置,可以替換成單臂路由的配置,見最後) interface Vlani

[程式設計題] 簡單錯誤記錄 string的使用)

[程式設計題] 簡單錯誤記錄 時間限制:1秒 空間限制:65536K 開發一個簡單錯誤記錄功能小模組,能夠記錄出錯的程式碼所在的檔名稱和行號。  處理: 1.記錄最多8條錯誤記錄,對相同的錯誤記錄(即檔名稱和行號完全匹配)只記錄一條,錯誤計數增加;(檔案所在的目錄不同,檔名和行

[程式設計題] 最高分是多少 水題

[程式設計題] 最高分是多少 時間限制:1秒 空間限制:65536K 老師想知道從某某同學當中,分數最高的是多少,現在請你程式設計模擬老師的詢問。當然,老師有時候需要更新某位同學的成績. 輸入描述: 輸入包括多組測試資料。 每組輸入第一行是兩個正整數N和M(0 < N &l

2017暑期實習生招聘真題3月24日

昨天做了一下華為的機考題,難度比之前的有所增加,因為涉及的知識不再是眾所周知的東西了。 首先第一題就開始坑(對沒看過機考經驗的人來說) 第一題的題目要求是輸入兩個整數a,b(0 < a < b <= 70000),求反轉後的數字的和。 例如: 輸入 123

CentOS的ip設定/Ubuntu的ip設定:在Oracle VM VirtualBOX下CentOS 7/Ubuntu 系統設定網路:接入internet上網和 區域網 ip

##################CentOS為手動設定靜態IP步驟############# 注:以下部分ip用"*",替代保密:1:設定ip OK後,檢視這些資訊[配置這些即可]: Netmask 子網掩碼,Gateway 預設閘道器,HostName 主機名稱,Do

OJ之N皇后問題C++程式碼

1問題描述 N皇后問題,就是如何將國際象棋中的N個皇后放在N*N的棋盤上而不會互相攻擊,是一種通過列舉,再遞迴、回溯的思想。 2思路 以8皇后問題為例,可知在8*8二維陣列中,每個點用data[i][j]表示(0 <= i,j <= 7)。

牛客機試題刷題筆記

馬上華為提前批開始了,嚇得我趕緊上牛客網刷題,記錄如下: 所有程式碼都在github 1.字串最後一個單詞的長度 一段英文字串中最後一個單詞的長度。 題目比較簡單,做法有很多: 比如, 可以放到stringstream裡面split,拿到最後一個單詞

機試題--高鐵換乘Floyed演算法

題目: 已知2條地鐵線路,其中A為環線,B為東西向線路,線路都是雙向的。經過的站點名分別如下,兩條線交叉的換乘點用T1、T2表示。編寫程式,任意輸入兩個站點名稱,輸出乘坐地鐵最少需要經過的車站數量(含

機試—N皇后問題高階題160分:兩種回溯法解決 吐血整理

一、問題描述:     在n×n格的棋盤上放置彼此不受攻擊的n個皇后。按照國際象棋的規則,皇后可以攻擊與之處在同一行或同一列或同一斜線上的棋子。n後問題等價於再n×n的棋盤上放置n個皇后,任何2個皇后不妨在同一行或同一列或同一斜線上。 輸入:     給定棋盤的大小

機試:購物單考點:動態規劃

題目:分析:這是一道01揹包問題,有一個限制條件就是附件必須要在主件購買的前提下才能購買。本題的總錢數就類似於揹包問題中的總重量,價格與重要度乘積的總和就類似於揹包問題中的價值。定義陣列dp[i][j]表示前i件物品花費j所得到的最大價值,對於每件物品可以選擇放或者不放,具體