綜合案例:配置基於源地址的策略路由(基於華為設備)
項目目的:
通過配置策略路由實現不同源地址數據通過不同的鏈路轉發
組網需求:
某企業主要分為市場部和研發部兩個部門,組網如圖5-3所示,FW位於企業網出口,
該企業部署了兩條接入Internet的鏈路ISP-A、ISP-B。ISP-A上網速度快、網絡速度穩定
但費用較高,ISP-B上網費用低廉,但是網速相對慢一些。
需求如下:
l 市場部對網速要求比較高,通過鏈路ISP-A訪問Internet。
l 研發部對網速要求不高,通過鏈路ISP-B來訪問Internet。
實驗拓撲:
實驗步驟:
1:運營商路由器的配置
(1)路由器1
<Huawei>undo terminal monitor
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.10.1.2 24
[R1-GigabitEthernet0/0/0]quit
[R1]
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]
(2)路由器2
<Huawei>undo terminal mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.20.1.2 24
[R2-GigabitEthernet0/0/0]quit
[R2]
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 200.1.1.1 24
[R2-GigabitEthernet0/0/1]quit
[R2]
2:配置接口IP地址和安全區域,完成網絡基本參數配置。
<USG6000V1>undo terminal monitor
<USG6000V1>sys
[USG6000V1]sysname FW
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/3] ip address 10.1.2.1 255.255.255.0 sub
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/4
[FW-GigabitEthernet1/0/4] ip address 10.20.1.1 255.255.255.0
[FW-GigabitEthernet1/0/4] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-zone-untrust] add interface GigabitEthernet 1/0/4
[FW-zone-untrust] quit
3:設置防火墻的路由
[FW]ip route-static 100.1.1.0 24 10.10.1.2
[FW]ip route-static 200.1.1.0 24 10.20.1.2
2:配置Trust區域和Untrust區域之間的安全策略,允許企業內部用戶訪問外網資源。假設內部用戶網段為10.1.1.0/24和10.1.2.0/24。
[FW] security-policy
[FW-policy-security] rule name sec_1
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.1.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.2.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit
3:配置IP-Link功能,檢測鏈路狀態。
[FW] ip-link check enable
[FW] ip-link name pbr_1
[FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 1/0/2
[FW-iplink-pbr_1] quit
[FW] ip-link name pbr_2
[FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 1/0/4
[FW-iplink-pbr_2] quit
4:創建策略路由“pbr_1”和“pbr_2”,從Trust區域接收的屬於市場部的報文發送到下一
跳10.20.1.2,從Trust區域接收的屬於研發部的報文發送到下一跳10.10.1.2。
[FW] policy-based-route
[FW-policy-pbr] rule name pbr_1
[FW-policy-pbr-rule-pbr_1] description pbr_1
[FW-policy-pbr-rule-pbr_1] source-zone trust
[FW-policy-pbr-rule-pbr_1] source-address 10.1.1.0 24
[FW-policy-pbr-rule-pbr_1] track ip-link pbr_1
[FW-policy-pbr-rule-pbr_1] action pbr next-hop 10.10.1.2
[FW-policy-pbr-rule-pbr_1] quit
[FW-policy-pbr] rule name pbr_2
[FW-policy-pbr-rule-pbr_2] description pbr_2
[FW-policy-pbr-rule-pbr_2] source-zone trust
[FW-policy-pbr-rule-pbr_2] source-address 10.1.2.0 24
[FW-policy-pbr-rule-pbr_2] track ip-link pbr_2
[FW-policy-pbr-rule-pbr_2] action pbr next-hop 10.20.1.2
[FW-policy-pbr-rule-pbr_2] quit
[FW-policy-pbr] quit
5:NAT的設置
[FW]nat-policy
[FW-policy-nat]rule name nat_1
[FW-policy-nat-rule-nat_1]source-zone trust
[FW-policy-nat-rule-nat_1]destination-zone untrust
[FW-policy-nat-rule-nat_1]action nat easy-ip
[FW-policy-nat-rule-nat_1]quit
[FW-policy-nat]quit
[FW]
6:最後測試內網到外網的連通性
綜合案例:配置基於源地址的策略路由(基於華為設備)