11、中小企業網絡架構-擴展配置防火牆雙出口

原創 友人a笔记 2020-05-11 11:34

網絡拓撲:

vlan2所在網段訪問Internet的報文正常情況下流入鏈路ISP1;
vlan3所在網段訪問Internet的報文正常情況下流入鏈路ISP2;
vlan2和vlan3所在鏈路互爲備份,當某vlan的鏈路(主鏈路)出現故障時,流量切換到另一vlan所在的鏈路(備鏈路)上。

配置思路:

策略路由和IP-Link聯動配置思路如下:

爲實現不同鏈路分擔不同流量,需要配置基於源地址的策略路由,使來自vlan2的訪問Internet報文流向鏈路ISP1,來自vlan3的訪問Internet報文流向鏈路ISP2。

爲實現vlan2和vlan3所在鏈路互爲備份,保證鏈路不中斷,需要配置如下:
配置策略路由和IP-Link聯動,由IP-Link來監視vlan2和vlan3各自主鏈路的可達性。當主鏈路出現故障時,策略路由失效,設備將查找備份路由,以保持業務的持續流通。
配置vlan2到鏈路ISP2的靜態路由和vlan3到鏈路ISP1的靜態路由,作爲vlan2和vlan3的備份路由。同時,將靜態路由與IP-Link聯動,由IP-Link來監視vlan2和vlan3各自備鏈路的可達性。

操作步驟:

一、配置ISP1

1、配置vlan IP

[ISP1]vlan batch  101 103

[ISP1]interface  Vlanif  101
[ISP1-Vlanif101]ip address 100.1.1.5 255.255.255.248
[ISP1-Vlanif101]quit

[ISP1]interface  Vlanif  103
[ISP1-Vlanif103]ip address 100.1.3.5 255.255.255.248
[ISP1-Vlanif103]quit

2、配置端口

[ISP1]interface  GigabitEthernet  0/0/1	
[ISP1-GigabitEthernet0/0/1]port link-type access
[ISP1-GigabitEthernet0/0/1]port default vlan 101
[ISP1-GigabitEthernet0/0/1]quit

[ISP1]interface  GigabitEthernet  0/0/2	
[ISP1-GigabitEthernet0/0/2]port link-type access	
[ISP1-GigabitEthernet0/0/2]port default vlan 103
[ISP1-GigabitEthernet0/0/2]quit

3、配置靜態路由

[ISP1]ip route-static 0.0.0.0 0.0.0.0 100.1.1.1

4、配置OSPF

[ISP1]ospf router-id 1.1.1.1
[ISP1-ospf-1]area 1
[ISP1-ospf-1-area-0.0.0.1]network 100.1.1.0 0.0.0.7
[ISP1-ospf-1-area-0.0.0.1]network 100.1.3.0 0.0.0.7	
[ISP1-ospf-1-area-0.0.0.1]return

二、配置ISP2

1、配置vlan IP

[ISP2]vlan batch 102 104

[ISP2]interface  Vlanif  102
[ISP2-Vlanif102]ip address 100.1.2.5 255.255.255.248
[ISP2-Vlanif102]quit

[ISP2]interface  Vlanif  104
[ISP2-Vlanif104]ip address 100.1.4.5 255.255.255.248
[ISP2-Vlanif104]quit

2、配置端口

[ISP2]interface  GigabitEthernet  0/0/1	
[ISP2-GigabitEthernet0/0/1]port link-type access	
[ISP2-GigabitEthernet0/0/1]port default  vlan  102
[ISP2-GigabitEthernet0/0/1]quit

[ISP2]interface  GigabitEthernet  0/0/2	
[ISP2-GigabitEthernet0/0/2]port link-type  access
[ISP2-GigabitEthernet0/0/2]port default  vlan  104
[ISP2-GigabitEthernet0/0/2]quit

3、配置靜態路由

[ISP2]ip route-static 0.0.0.0 0.0.0.0 100.1.2.1

4、配置OSPF

[ISP2]ospf router-id 2.2.2.2
[ISP2-ospf-1]area 1
[ISP2-ospf-1-area-0.0.0.1]network 100.1.2.0 0.0.0.7
[ISP2-ospf-1-area-0.0.0.1]network 100.1.4.0 0.0.0.7
[ISP2-ospf-1-area-0.0.0.1]return

三、配置Internet

1、配置vlan IP

[Internet]vlan batch 103 104

[Internet]interface  Vlanif  103
[Internet-Vlanif103]ip address  100.1.3.1 255.255.255.248
[Internet-Vlanif103]quit

[Internet]interface  Vlanif  104
[Internet-Vlanif104]ip address  100.1.4.1 255.255.255.248
[Internet-Vlanif104]quit

[Internet]interface  LoopBack 0
[Internet-LoopBack0]ip address 3.3.3.3 32
[Internet-LoopBack0]quit

2、配置端口

[Internet]interface  GigabitEthernet  0/0/1
[Internet-GigabitEthernet0/0/1]port link-type access
[Internet-GigabitEthernet0/0/1]port default  vlan  103
[Internet-GigabitEthernet0/0/1]quit

[Internet]interface  GigabitEthernet  0/0/
[Internet-GigabitEthernet0/0/2]port link-type access
[Internet-GigabitEthernet0/0/2]port default  vlan  104
[Internet-GigabitEthernet0/0/2]quit

3、配置OSPF

[Internet]ospf router-id 3.3.3.3 
[Internet-ospf-1]area 1
[Internet-ospf-1-area-0.0.0.1]network 100.1.3.0 0.0.0.7
[Internet-ospf-1-area-0.0.0.1]network 100.1.4.0 0.0.0.7
[Internet-ospf-1-area-0.0.0.1]network 3.3.3.3 0.0.0.0
[Internet-ospf-1-area-0.0.0.1]return

四、配置防火牆

1、配置上聯接口

[FW1]interface  GigabitEthernet  0/0/3
[FW1-GigabitEthernet0/0/3]ip address  100.1.2.1 255.255.255.248
[FW1-GigabitEthernet0/0/3]description connect to ISP2
[FW1-GigabitEthernet0/0/3]quit

2、配置端口區域

[FW1]firewall zone name isp1
[FW1-zone-isp1]set priority 10
[FW1-zone-isp1]add interface GigabitEthernet 0/0/0
[FW1-zone-isp1]quit

[FW1]firewall zone  name isp2
[FW1-zone-isp2]set priority 15
[FW1-zone-isp2]add interface GigabitEthernet 0/0/3
[FW1-zone-isp2]quit

[FW1]firewall packet-filter default permit all

3、配置ACL,確定要進行策略路由轉發的報文

[FW1]acl number 3001
[FW1-acl-adv-3001]rule  permit ip source 192.168.2.0 0.0.0.255
[FW1-acl-adv-3001]quit

[FW1]acl number 3002
[FW1-acl-adv-3002]rule  permit ip source 192.168.3.0 0.0.0.255
[FW1-acl-adv-3002]quit

4、配置策略路由

#策略to-isp,源地址192.168.2.0/24的報文被髮到下一跳100.1.1.5
[FW1]policy-based-route to-isp permit node 5
[FW1-policy-based-route-to-isp-5]if-match acl 3001
[FW1-policy-based-route-to-isp-5]apply ip-address next-hop 100.1.1.5
[FW1-policy-based-route-to-isp-5]quit

#策略to-isp,源地址192.168.3.0/24的報文被髮到下一跳100.1.2.5
[FW1]policy-based-route to-isp permit node 10
[FW1-policy-based-route-to-isp-10]if-match acl 3002
[FW1-policy-based-route-to-isp-10]apply ip-address next-hop 100.1.2.5
[FW1-policy-based-route-to-isp-10]quit

#分別在接口應用策略路由
[FW1]interface  GigabitEthernet  0/0/0
[FW1-GigabitEthernet0/0/0]ip policy-based-route to-isp
[FW1-GigabitEthernet0/0/0]quit

[FW1]interface  GigabitEthernet  0/0/3
[FW1-GigabitEthernet0/0/3]ip policy-based-route to-isp
[FW1-GigabitEthernet0/0/3]quit

5、配置IP-Link

說明:其中大家覺得可以用NQA的,但是在防火牆上面NQA不支持關聯路由,只能用IP-Link,而且IP-link技術有一個莫大的優勢,就是可以跟 策略路由聯動

[FW1]ip-link check  enable

#偵測FW1到目的地址爲100.1.1.5之間的鏈路可達性
[FW1]ip-link 1 destination 100.1.1.5 interface GigabitEthernet 0/0/0 mode icmp 

#偵測FW1到目的地址爲100.1.2.5之間的鏈路可達性
[FW1]ip-link 2 destination 100.1.2.5 interface GigabitEthernet 0/0/3 mode icmp

 

6、配置缺省路由,並關聯IP-Link

[FW1]ip route-static 0.0.0.0 0.0.0.0 100.1.1.5 track ip-link 1
[FW1]ip route-static 0.0.0.0 0.0.0.0 100.1.2.5 track ip-link 2

7、NAT定義

[FW1]nat-policy interzone trust isp1 outbound
[FW1-nat-policy-interzone-trust-isp1-outbound]policy 1
[FW1-nat-policy-interzone-trust-isp1-outbound-1]action source-nat 
[FW1-nat-policy-interzone-trust-isp1-outbound-1]policy source 192.168.0.0 mask 16
[FW1-nat-policy-interzone-trust-isp1-outbound-1]easy-ip GigabitEthernet0/0/0
[FW1-nat-policy-interzone-trust-isp1-outbound-1]return

[FW1]nat-policy interzone trust isp2 outbound
[FW1-nat-policy-interzone-trust-isp2-outbound]policy 1
[FW1-nat-policy-interzone-trust-isp2-outbound-1]action source-nat
[FW1-nat-policy-interzone-trust-isp2-outbound-1]policy source 192.168.0.0 mask 16
[FW1-nat-policy-interzone-trust-isp2-outbound-1]easy-ip GigabitEthernet0/0/3
[FW1-nat-policy-interzone-trust-isp2-outbound-1]return

8、下聯接口應用策略

[FW1]interface  GigabitEthernet  0/0/1
[FW1-GigabitEthernet0/0/1]ip address 192.168.7.254 255.255.255.0
[FW1-GigabitEthernet0/0/1]ip policy-based-route to-isp
[FW1-GigabitEthernet0/0/1]description connecct to SW1
[FW1-GigabitEthernet0/0/1]quit

[FW1]interface  GigabitEthernet  0/0/2
[FW1-GigabitEthernet0/0/2]ip address 192.168.6.254 255.255.255.0
[FW1-GigabitEthernet0/0/2]ip policy-based-route to-isp
[FW1-GigabitEthernet0/0/2]description connect to SW2
[FW1-GigabitEthernet0/0/2]quit

五、故障演示

1、正常狀態下

vlan2所在網段訪問Internet的報文正常情況下流入鏈路ISP1;

vlan3所在網段訪問Internet的報文正常情況下流入鏈路ISP2;

2、手動模擬FW1上聯ISP1的G0/0/1接口故障

查看鏈路,流量都走ISP2

3、手動模擬FW1上聯ISP2的G0/0/1接口故障

查看鏈路,流量都走ISP1

至此,完成。

[FW1]display  current-configuration
#
stp region-configuration
 region-name 703bd915f09b
 active region-configuration
#
acl number 3001
 rule 5 permit ip source 192.168.2.0 0.0.0.255
#
acl number 3002
 rule 5 permit ip source 192.168.3.0 0.0.0.255
#
interface Vlanif1
 alias Vlanif1
#
interface Virtual-Template1
 alias Virtual-Template1
#
interface GigabitEthernet0/0/0
 description connect to ISP1
 alias GE0/MGMT
 ip address 100.1.1.1 255.255.255.248
#
interface GigabitEthernet0/0/1
 description connecct to SW1
 ip address 192.168.7.254 255.255.255.0
 ip policy-based-route to-isp
#
interface GigabitEthernet0/0/2
 description connect to SW2
 ip address 192.168.6.254 255.255.255.0
 ip policy-based-route to-isp
#
interface GigabitEthernet0/0/3
 description connect to ISP2
 ip address 100.1.2.1 255.255.255.248
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface NULL0
 alias NULL0
#
interface LoopBack0
 alias LoopBack0
 ip address 1.1.1.1 255.255.255.255
#
firewall zone local
 set priority 100
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/1
 add interface GigabitEthernet0/0/2
#
firewall zone untrust
 description ithis
 set priority 5
#
firewall zone dmz
 set priority 50
#
firewall zone name isp1
 set priority 10
 add interface GigabitEthernet0/0/0
#
firewall zone name isp2
 set priority 15
 add interface GigabitEthernet0/0/3
#
aaa
 local-user admin password cipher %$%$y@N.>~B^$O\xLy0F^K%=rZQH%$%$
 local-user admin service-type web terminal telnet
 local-user admin level 15
 authentication-scheme default
 #
 authorization-scheme default
 #
 accounting-scheme default
 #
 domain default
 #
#
nqa-jitter tag-version 1

#
 ip route-static 0.0.0.0 0.0.0.0 100.1.1.5 track ip-link 1
 ip route-static 0.0.0.0 0.0.0.0 100.1.2.5 track ip-link 2
 ip route-static 192.168.0.0 255.255.0.0 192.168.7.253
 ip route-static 192.168.0.0 255.255.0.0 192.168.6.253
#
 banner enable
#
user-interface con 0
 authentication-mode none
user-interface vty 0 4
 authentication-mode none
 protocol inbound all
#
 policy-based-route to-isp permit node 5
  if-match acl 3001
  apply ip-address next-hop 100.1.1.5
 policy-based-route to-isp permit node 10
  if-match acl 3002
  apply ip-address next-hop 100.1.2.5
#
 slb
#
right-manager server-group
#
 sysname FW1
#
 l2tp domain suffix-separator @
#
 firewall packet-filter default permit interzone local trust direction inbound
 firewall packet-filter default permit interzone local trust direction outbound
 firewall packet-filter default permit interzone local untrust direction inbound
 firewall packet-filter default permit interzone local untrust direction outboun
d
 firewall packet-filter default permit interzone local dmz direction inbound
 firewall packet-filter default permit interzone local dmz direction outbound
 firewall packet-filter default permit interzone local isp1 direction inbound
 firewall packet-filter default permit interzone local isp1 direction outbound
 firewall packet-filter default permit interzone local isp2 direction inbound
 firewall packet-filter default permit interzone local isp2 direction outbound
 firewall packet-filter default permit interzone trust untrust direction inbound
 firewall packet-filter default permit interzone trust untrust direction outboun
d
 firewall packet-filter default permit interzone trust dmz direction inbound
 firewall packet-filter default permit interzone trust dmz direction outbound
 firewall packet-filter default permit interzone trust isp1 direction inbound
 firewall packet-filter default permit interzone trust isp1 direction outbound
 firewall packet-filter default permit interzone trust isp2 direction inbound
 firewall packet-filter default permit interzone trust isp2 direction outbound
 firewall packet-filter default permit interzone dmz untrust direction inbound
 firewall packet-filter default permit interzone dmz untrust direction outbound
 firewall packet-filter default permit interzone isp1 untrust direction inbound
 firewall packet-filter default permit interzone isp1 untrust direction outbound
 firewall packet-filter default permit interzone isp2 untrust direction inbound
 firewall packet-filter default permit interzone isp2 untrust direction outbound
 firewall packet-filter default permit interzone dmz isp1 direction inbound
 firewall packet-filter default permit interzone dmz isp1 direction outbound
 firewall packet-filter default permit interzone dmz isp2 direction inbound
 firewall packet-filter default permit interzone dmz isp2 direction outbound
 firewall packet-filter default permit interzone isp2 isp1 direction inbound
 firewall packet-filter default permit interzone isp2 isp1 direction outbound
#
 ip ttl-expires enable
 ip df-unreachables enable
#
 undo dhcp enable
#
 firewall ipv6 session link-state check
 firewall ipv6 statistic system enable
#
 dns resolve
#
 vlan batch 1 101 103
#
 firewall statistic system enable
#
 pki ocsp response cache refresh interval 0
 pki ocsp response cache number 0
#
 undo dns proxy
#
 license-server domain lic.huawei.com
#
 web-manager enable
#
policy interzone trust untrust inbound
 policy 1
  action permit
#
policy interzone trust isp1 inbound
 policy 1
  action permit
#
policy interzone trust isp2 inbound
 policy 1
  action permit
#
nat-policy interzone trust isp1 outbound
 policy 1
 description tihsi
  action source-nat
  policy source 192.168.0.0 mask 16
  easy-ip GigabitEthernet0/0/0
#
nat-policy interzone trust isp2 outbound
 policy 1
  action source-nat
  policy source 192.168.0.0 mask 16
  easy-ip GigabitEthernet0/0/3
#
return

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Jsp中自定義標籤使用方法

自定義標籤在功能上邏輯上與javaBean 類似,都封裝Java 代碼。自定義標籤是可重用的組件代碼,並且允許開發人員爲複雜的操作提供邏輯名稱;其實換句話說,taglib可以看成是對JSP標記的一種擴展,正如xml是對html的一

老鹰-鲁冰 2020-07-07 13:23:56

vsftp無法使用root登錄

防火牆關閉(service iptables stop)vsftp開啓 (service vsftpd start) 開啓了root上傳權限 但是連接的時候報錯:(vsftpd下面ftpuser 和 user_list  把root註釋

bypeng 2020-07-08 08:57:18

幾項有趣的服務

今天又發現了幾項有趣的服務。 噹噹噹,第一項便是和GMail有關的,GMail Icon Generator。 這是NeoHacks提供的一項GMail圖標生成服務,點這裏進去,在文本輸入框輸入你的Gmail賬號(不要輸入@Gmail.c

smile2me27 2020-07-08 07:33:08

RedHat Linux 9.0安裝圖解

第1步:第一步:選擇安裝方式。 1、圖形安裝(直接回車) 2、文本安裝(輸入 linux text)    相關評論 作者: Linux培訓部長 發佈日期: 2006-2-21 第2步:選擇“OK”爲檢查光盤 選擇“

qhd_whm 2020-07-08 07:03:30

java練接oracle 10g數據庫

我本以爲用java連接oracle和連接sql server(以前我用的是sql server)一樣,今天我就是編寫了一個連接oracle的程序。可是在運行是一直出錯,這是爲什麼呢?剛開始報不能建立連接。我檢查oracle監聽是否啓動,可

被世界遗忘的角落 2020-07-08 01:51:56

VMware安裝Linux 與本機共享ADSL上網

操作系統:win7 旗艦版 64 bit 虛擬機:Vmware workstation 8 Linux 操作系統:Redhat Linux 5.5 服務器版 選用的共享上網方式:本機 win7 使用ADSL 上網方式,虛擬機使用NAT 方

PANGDD 2020-07-08 01:38:21

讓收費網站去死吧,用google 突破 下載

讓收費網站去死吧,用google 突破 下載首先打開google,在關鍵詞輸入框中輸入"index of/"inurl:lib(雙引號爲英文狀態下),

jkxsanger 2020-07-08 01:36:18

iptables入門教程--設置靜態防火牆

1、iptables介紹 iptables是複雜的,它集成到linux內核中。用戶通過iptables,可以對進出你的計算機的數據包進行過濾。通過iptables命令設置你的規則,來把守你的計算機網絡──哪些數據允許通過,哪些不能通過,哪

xmq_666 2020-07-07 23:55:25

對設計網絡防火牆需考慮的注意事項

設計輸入防火牆檢查傳入 IP 數據包並且阻止那些它檢測爲入侵性質的數據包。可以通過在默認情況下將某些數據包標識爲非法的來完成某些阻擋。或者,也可以將防火牆配置爲阻止某些數據包。TCP/IP 協議是許多年前設計的,沒有考慮到任何有關竊取或入

cnlx 2020-07-07 17:47:18

使用ntpdate中遇到的一種特殊情況

在使用ntpdate命令的時候,遇到了這麼一種情況,提示 Operation not permitted   在這裏,我找了原因是因爲這臺機器,由於以前發現程序異常,在局域網內瘋狂發包,所以運維人員加了一條防火牆限制 -A OUTPUT

zhsh87 2020-07-07 11:17:03

人工智能技術在網絡安全中的作用

下一代網絡安全威脅需要機敏和智能的程序,它們可以快速適應新的和無法預料的攻擊。網絡安全專家認可了AI和機器學習應對挑戰的能力,他們其中大多數人認爲這對未來網絡安全是至關重要的。 人工智能技術在網絡安全中的作用   爲什麼網絡安全如此重

1 2020-07-07 04:41:53

linux運維開發(一)----------防火牆

解決問題: Linux是系統部署常用的系統,但是經常由於我們忘記防火牆的存在導致訪問失敗,爲了解決這個問題,我們需要對防火牆進行關閉操作,對於常見的系統我們提供了以下幾種解決方式: centos 7: 暴力解決 ------ 整

xiaofengbuhuimai 2020-07-07 03:51:26

PHP利用FTP上傳文件連接超時之開啓被動模式解決方法

PHP利用FTP上傳文件連接超時之開啓被動模式解決方法參考文章: (1)PHP利用FTP上傳文件連接超時之開啓被動模式解決方法 (2)https://www.cnblogs.com/edevelop/p/6972018.html 備忘一下

dearbaba_8520 2020-07-06 21:28:09

一個安全策略包

一個WINDOWS的安全策略包,能讓WINDOWS防火牆的安全性大大的增強,不會用的可以來找我 下載地址

WaydeTang 2020-07-06 21:15:21

最新軟件下載

KooMail 2.5 簡體中文版 (9月9日)U-Mail 8.18 For MDaemon Se...(9月9日)卡巴斯基反病毒 5.0.383 正式註冊版 (9月9日)Symantec AntiVirus 10 企業版客...(9月

cndgm 2020-07-06 19:29:14