華為USG6320做雙線-基於源地址的策略路由

通過配置策略路由實現不同源地址數據通過不同的鏈路轉發。

組網需求

某企業公司拉了兩條電信的光纖，分別為靜態光纖和撥號光纖，前者主要用於服務器，后者則用於一般辦公。

需求如下：

　　　　靜態光纖：服務器專用

　　　　撥號光纖：常用辦公

基於源地址的策略路由如下（下圖從華為教材處截來，只作參考）：

一、具體操作步驟如下：

　　1、配置接口IP地址和安全區域，完成網絡基本參數配置。

　　　　a、將接口GE1/0/1加入Trust區域

　　　　　　1）、選擇 “網絡 > 接口”

　　　　　　2）、選擇GE1/0/1對應的，按如下參數配置。

　　　　　　　　安全區域：　　trust

　　　　　　　　IP地址：　　   172.16.0.1/24

　　　　　　　　　　　　　　   172.16.1.1/24

 

　　　　b、將接口GE1/0/2加入Untrust區域，選擇 “網絡 > 接口”，然后在PPPoE處輸入電信提供的用戶名和密碼。

　　　　c、將接口GE1/0/3加入Untrust區域，配置如下：

　　　　　　　　安全區域：　　untrust

　　　　　　　　IP地址：　　    171.16.12.219

　　2、配置Trust區域和Untrust區域之間的安全策略。

　　　　a、選擇“策略 > 安全策略”。

　　　　b、單擊“新建”，按如下參數配置從Trust到Untrust的域間策略。

　　　　　　

　　　　c、單擊“應用”。

　　3、創建策略路由“pbr_1”，從Trust區域（即0段IP）指定出接口為接口GE1/0/2

　　　　a、選擇“網絡 > 路由 > 智能選路 > 策略路由”。

　　　　b、單擊“新建”，按如下參數配置。

　　　　　　名稱　　　　　　pbr_1

　　　　　　描述　　　　　　pbr_1

　　　　　　類型　　　　　　源安全區域

　　　　　　源安全區域　　　trust

　　　　　　源地址/地區　　  172.16.0.0/24

　　　　　　動作　　　　　　轉發

　　　　　　出接口類型　　   單出口

　　　　　　出接口類型　　 GE1/0/2

　　　　c、單擊“確定”。

　　4、創建策略路由“pbr_2”，從Trust區域（即0段IP）指定出接口GE1/0/3，下一跳IP為：171.16.12.219

　　　　a、單擊“新建”，按如下參數配置。

　　　　　　名稱　　　　　　pbr_2

　　　　　　描述　　　　　　pbr_2

　　　　　　類型　　　　　　源安全區域

　　　　　　源安全區域　　　trust

　　　　　　源地址/地區　　  172.16.1.0/24

　　　　　　動作　　　　　　轉發

　　　　　　出接口類型　　   單出口

　　　　　　出接口類型　　  GE1/0/3

　　　　　　下一跳IP　　　   171.16.12.219

　　　　　　啟用監控IP　　   171.16.12.219

　　　　b、單擊“確定”。

　　5、設置NAT轉換方能上網，配置如下

　　　　a、0段IP_nat_wlan1

　　　　　　1）、選擇“策略 > NAT策略 > 源策略 > 新建”，配置如下：

　　　　　　　　名稱　　　　　　0段IP_nat_wlan1

　　　　　　　　描述　　　　　　0段IP_nat_wlan1

　　　　　　　　源安全區域　　　any

　　　　　　　　目的類型　　　　出接口 GE1/0/2

　　　　　　　　源地址　　　　　172.16.0.1/24(即0段IP)

　　　　　　　　動作　　　　　　NAT轉換

　　　　　　　　轉換后　　　　　出接口地址

　　　　　　2）、單擊“確定”。

　　　　b、1段IP_nat_wlan2

　　　　　　　　名稱　　　　　　1段IP_nat_wlan2

　　　　　　　　描述　　　　　　1段IP_nat_wlan2

　　　　　　　　源安全區域　　　any

　　　　　　　　目的類型　　　　出接口 GE1/0/3

　　　　　　　　源地址　　　　　172.16.1.1/24(即1段IP)

　　　　　　　　動作　　　　　　NAT轉換

　　　　　　　　轉換后　　　　　出接口地址

 

　　6、讓兩段IP實現互通。

　　　　a、選擇“網絡 > 路由 > 智能選路 > 策略路由 > 新建”，配置如下（此處策略需移動到最上面，即要優先處理此條策略）：

　　　　　　名稱　　　　　　0段IP_1段IP_互通

　　　　　　描述　　　　　　0段IP_1段IP_互通

　　　　　　類型　　　　　　源安全區域

　　　　　　源安全區域　　　trust

　　　　　　源地址　　　　　172.16.0.1/24 和 172.16.1.1/24

　　　　　　目的地址　　　　172.16.0.1/24 和 172.16.1.1/24

　　　　　　動作　　　　　　不做策略路由

　　　　b、單擊“確定”。

　　7、端口映射

　　　　a、選擇“策略 > 安全策略 > 新建”

　　　　　　1)、具體配置如下。

　　　　　　　　名稱　　　　　　port_to_port

　　　　　　　　描述　　　　　　port_to_port

　　　　　　　　源安全區域　　   trust

　　　　　　　　目的安全區域　　trust

　　　　　　　　動作　　　　　　允許

　　　　　　　2)、單擊“確定”。

　　　　b、源NAT設置

　　　　　　1）、選擇“策略 > NAT策略 > 源NAT > 新建”，具體配置如下

　　　　　　　　名稱　　　　　　port_to_port

　　　　　　　　描述　　　　　　port_to_port

　　　　　　　　源安全區域　　　trust

　　　　　　　　目的安全區域　　trust

　　　　　　　　動作　　　　　　NAT轉換

　　　　　　　　轉換后　　　　　出接口地址

　　　　　　2）、單擊“確定”

　　　　c、端口映射，選擇“策略 > NAT策略 > 服務器映射 > 新建”，具體配置如下

　　　　　　名稱　　　　　　port01

　　　　　　描述　　　　　　windows_remote_port

　　　　　　安全區域 　　　　any

　　　　　　公網IP　　　　　171.16.12.219

　　　　　　私網IP　　　　　172.16.0.8

　　　　　　允許端口轉換　　TCP

　　　　　　公網端口　　　　3389

　　　　　　私網端口　　　　3389

　　　　然后單擊“確定”即可。

 

二、無線網絡的設置

需求：由於公司有部分手提電腦，且手機也要網絡，所以需給兩個IP段分別添加一個無線路由器。

公司原來路由器：

D-Link： 1台

艾泰：    1台

 

　　1、D-Link的設置如下：

　　　　a、Lan IP : 172.16.2.1

　　　　b、DHCP：172.16.2.2－172.16.2.100

　　　　c、Wan IP : 172.16.1.2　　　　　　//此處需設跟路由器同斷IP才能上網

　　　　　　網關：  172.16.1.1

　　　　       DNS：  114.114.114.114

　　2、艾泰的設置如下：

　　　　a、Lan IP :　172.16.0.2

　　　　b、DHCP：   172.16.0.3－172.16.0.100　　　　//此處不能與一級路由有沖突，我在一級路由器設置的DHCP為：172.16.0.101－172.16.0.200

　　　　c、Wan IP：動態獲取　　　　　　　　　　　　//此處獲取到的IP不會與二級路由DHCP沖突

 

 

PS：此文參考自華為官網教程，另外在配置好后，要單擊右下角的“保存”。