组网需求

如图所示,某公司有两个部门A和B。因两个部门A和B均为业务部门,业务流量大,需要不同链路分担流量。且网络稳定性要求高,要求网络不中断。

为满足部门A和部门B的需求,公司申请了两条接入Internet的链路ISP1和ISP2来分担链路流量,并互为备份,以保证链路持续不中断。

详细需求如下:

(1)部门A所在网段为10.1.0.0/16,该部门访问Internet的报文正常情况下流入链路ISP1。

(2)部门B所在网段为20.1.0.0/16,该部门访问Internet的报文正常情况下流入链路ISP2。

(3)部门A和部门B所在链路互为备份,当某部门的链路(以下称主链路)出现故障时,流量切换到另一部门所在的链路(以下称备链路)上。

工具/原料

  • 华为USG系列防火墙

方法/步骤

  1. 1

    接口IP地址。具体步骤略。

  2. 2

    配置USG的通过定义ACL,以确定要进行策略路由转发的报文。 定义ACL 3001,允许通过源地址为10.1.0.0/16的报文,拒绝目的地址为20.1.0.0/16的报文。

    <USG> system-view

    [USG] acl number 3001

    [USG-acl-adv-3001] rule deny ip destination 20.1.0.0 0.0.255.255

    [USG-acl-adv-3001] rule permit ip source 10.1.0.0 0.0.255.255

    [USG-acl-adv-3001] quit

  3. 3

    定义ACL 3002,允许通过源地址为20.1.0.0/16的报文,拒绝目的地址为10.1.0.0/16的报文。

    [USG] acl number 3002

    [USG-acl-adv-3002] rule deny ip destination 10.1.0.0 0.0.255.255

    [USG-acl-adv-3002] rule permit ip source 20.1.0.0 0.0.255.255

    [USG-acl-adv-3002] quit

  4. 4

    配置策略路由。

    # 配置策略testA,使源地址为10.1.0.0/16的报文被发到下一跳1.1.2.1。

    [USG] policy-based-route testA permit node 5

    [USG-policy-based-route-testA-5] if-match acl 3001

    [USG-policy-based-route-testA-5] apply ip-address next-hop 1.1.2.1

    [USG-policy-based-route-testA-5] quit

    # 配置策略testB,使源地址为20.1.0.0/16的报文被发到下一跳1.1.3.1。

    [USG] policy-based-route testB permit node 5

    [USG-policy-based-route-testB-5] if-match acl 3002

    [USG-policy-based-route-testB-5] apply ip-address next-hop 1.1.3.1

    [USG-policy-based-route-testB-5] quit

  5. 5

    在接口GigabitEthernet 0/0/7上应用定义的策略testA,处理此接口接收的报文。

    [USG] interface GigabitEthernet 0/0/7

    [USG-GigabitEthernet0/0/7] ip policy-based-route testA

    [USG-GigabitEthernet0/0/7] quit

    # 在接口GigabitEthernet 0/0/2上应用定义的策略testB,处理此接口接收的报文。

    [USG] interface GigabitEthernet 0/0/8

    [USG-GigabitEthernet0/0/8] ip policy-based-route testB

    [USG-GigabitEthernet0/0/8] quit

  6. 6

    配置IP-Link。 为实现策略路由与IP-Link联动,需要将IP-Link侦测的目的IP地址与报文的下一跳配置为一致。

    # 开启IP-Link链路检查功能。

    [USG] ip-link check enable

    # 创建IP-Link 1,用于侦测USG到目的地址为1.1.2.1之间的链路可达性。

    [USG] ip-link 1 destination 1.1.2.1 mode icmp

    # 创建IP-Link 2,用于侦测USG到目的地址为1.1.3.1之间的链路可达性。

    [USG] ip-link 2 destination 1.1.3.1 mode icmp

  7. 7

    配置缺省路由,并与IP-Link关联。

    # 配置缺省路由,指定下一跳1.1.2.1/24,并与IP-Link 1关联。

    [USG] ip route-static 0.0.0.0 0.0.0.0 1.1.2.1 track ip-link 1

    # 配置缺省路由,指定下一跳1.1.3.1/24,并与IP-Link 2关联。

    [USG] ip route-static 0.0.0.0 0.0.0.0 1.1.3.1 track ip-link 2

    END

注意事项

  • 对于USG BSR/HSR系列,不需要将接口加入安全区域以及配置包过滤。
  • 如果觉得小编的经验对您有帮助,请在页面给小编点个【投票】和【收藏】;小编会竭尽所能把大家想知道的经验分享开来,谢谢大家!
经验内容仅供参考,如果您需解决具体问题(尤其法律、医学等领域),建议您详细咨询相关领域专业人士。