用戶網絡環境:
網絡部署一臺USG5320防火牆,電信和聯通兩條光纖接入。
用戶需求:
1、子網A從電信出去;子網B從聯通出去;
2、電信和聯通光纖互爲備份;
配置如下:
1) 配置USG5300的接口IP地址並將接口加入對應安全區域。
# 配置USG5300接口IP地址。
<USG5300> system-view
[USG5300] interface GigabitEthernet 0/0/0
[USG5300-GigabitEthernet0/0/0] ip address 172.16.1.1 24
[USG5300-GigabitEthernet0/0/0] ip address 192.168.1.1 24 sub
[USG5300-GigabitEthernet0/0/0] quit
[USG5300] interface GigabitEthernet 0/0/1
[USG5300-GigabitEthernet0/0/1] ip address 10.10.1.2 24
[USG5300-GigabitEthernet0/0/1] quit
[USG5300] interface GigabitEthernet 0/0/2
[USG5300-GigabitEthernet0/0/2] ip address 10.10.2.2 24
[USG5300-GigabitEthernet0/0/2] quit
# 配置接口加入相應安全區域。
[USG5300] firewall zone trust
[USG5300-zone-trust] add interface GigabitEthernet 0/0/0
[USG5300-zone-trust] quit
[USG5300] firewall zone untrust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2
[USG5300-zone-untrust] quit
2) 配置域間包過濾規則。
[USG5300] acl number 3000
[USG5300-acl-adv-3000] rule permit ip source 172.16.1.0 0.0.0.255
[USG5300-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255
[USG5300-acl-adv-3000] quit
[USG5300] firewall interzone trust untrust
[USG5300-interzone-trust-untrust] packet-filter 3000 outbound
[USG5300-interzone-trust-untrust] return
3) 配置流分類。
# 定義類class1,在class1類中定義一組流分類規則匹配ACL3001。
[USG5300] acl number 3001
[USG5300-acl-adv-3001] rule permit ip source 172.16.1.0 0.0.0.255
[USG5300-acl-adv-3001] quit
[USG5300] traffic classifier class1
[USG5300-classifier-class1] if-match acl 3001
[USG5300-classifier-class1] quit
# 定義類class2,在class2類中定義一組流分類規則匹配ACL3002。
[USG5300] acl number 3002
[USG5300-acl-adv-3002] rule permit ip source 192.168.1.0 0.0.0.255
[USG5300-acl-adv-3002] quit
[USG5300] traffic classifier class2
[USG5300-classifier-class2] if-match acl 3002
[USG5300-classifier-class2] quit
配置流行爲。
# 定義流行爲behavior1,在流行爲behavior1中指定下一跳爲10.10.1.1,出接口爲GigabitEthernet 0/0/1。
[USG5300] traffic behavior behavior1
[USG5300-behavior-behavior1] remark ip-nexthop 10.10.1.1 output-interface GigabitEthernet 0/0/1
[USG5300-behavior-behavior1] quit
# 定義流行爲behavior2,在流行爲behavior2中指定下一跳爲10.10.2.1,出接口爲GigabitEthernet 0/0/2。
[USG5300] traffic behavior behavior2
[USG5300-behavior-behavior2] remark ip-nexthop 10.10.2.1 output-interface GigabitEthernet 0/0/2
[USG5300-behavior-behavior2] quit
4) 定義並應用策略。
# 定義策略policy1,爲類class1指定對應的行爲是behavior1,爲類class2指定對應的行爲是behavior2。
[USG5300] qos policy policy1
[USG5300-qospolicy-policy1] classifier class1 behavior behavior1
[USG5300-qospolicy-policy1] classifier class2 behavior behavior2
[USG5300-qospolicy-policy1] quit
# 在Trust區域的出方向應用策略policy1。
[USG5300] firewall zone trust
[USG5300-zone-trust] qos apply policy policy1 outbound
[USG5300-zone-trust] quit
5) 配置鏈路可達性檢查。
[USG5300] ip-link check enable
[USG5300] ip-link 1 destination 10.10.1.1
[USG5300] ip-link 2 destination 10.10.2.1
配置靜態路由。
[USG5300] ip route-static 0.0.0.0 0.0.0.0 10.10.1.1
[USG5300] ip route-static 0.0.0.0 0.0.0.0 10.10.2.1
思考:
1、TCP/IP路由技術卷一中有提到,策略路由下一跳失效後跳轉至常規路由轉發,判斷路由下一跳失效通過鏈路可達性檢查來實現;
2、cisco檢查CDP表來判斷下一跳是否失效,網上查資料說華爲通過HDP實現,但不確定,需要確認;
3、如果USG5320做了NAT是否還能達到冗餘???