碼上歡樂
相關內容    簡體    繁體

HUAWEI防火牆雙出口根據鏈路優先級主備備份

本文轉載自   查看原文   2021-04-23 09:15   647    NetWork FireWalld/ NetWork 實例

組網圖形

    

組網需求

通過配置根據鏈路優先級主備備份,FW可以在主接口鏈路故障時,使用備份接口鏈路轉發流量,提高傳輸的可靠性。

  • 如圖1所示,企業從ISP1租用2條鏈路,帶寬均為50M,從ISP2租用1條鏈路,帶寬為10M。
  • 企業希望優先使用ISP1的2條鏈路傳輸上網流量,只有當ISP1的2條鏈路均故障時,才使用ISP2鏈路。
  • 企業的稅務申報業務優先使用ISP2鏈路,只有當ISP2鏈路故障時,才使用ISP1鏈路。

配置思路

由於企業希望優先使用ISP1鏈路,所以全局智能選路方式可以設置為根據鏈路優先級主備備份,指定2條ISP1鏈路的優先級均為2,ISP2鏈路的優先級為1。而稅務申報業務需要優先使用ISP2鏈路,所以要針對稅務申報應用配置策略路由智能選路,選路方式也是根據鏈路優先級主備備份,並指定ISP2鏈路的優先級為2,2條ISP1鏈路的優先級均為1。為了保證主接口鏈路故障時,FW可以使用備份接口鏈路轉發流量,還需要配置健康檢查功能。

  • 1.配置健康檢查功能,分別為ISP1和ISP2鏈路配置健康檢查。
  • 2.配置接口的IP地址、安全區域、網關地址和帶寬,並在接口上應用健康檢查。
  • 3.配置全局選路策略。配置智能選路方式為根據鏈路優先級主備備份,接口GE1/0/1和GE1/0/2加入一個接口組ifgrp1,並和接口GE1/0/7一起作為智能選路成員。分別為接口組ifgrp1和接口GE1/0/7設置優先級,接口GE1/0/1和GE1/0/2的優先級即等於接口組ifgrp1的優先級。
  • 4.配置策略路由智能選路。為稅務申報應用新建一條策略路由,配置智能選路方式為根據鏈路優先級主備備份,分別為接口組ifgrp1和接口GE1/0/7設置優先級。
  • 5.配置基本的安全策略,允許企業內網用戶訪問外網資源。

說明:

本例着重介紹智能選路相關的配置,其余配置如NAT請根據實際組網進行配置。

操作步驟

  • 1.可選:開啟健康檢查功能,並為ISP1和ISP2鏈路分別新建一個健康檢查。假設ISP1網絡的目的地址網段為3.3.10.0/24,ISP2網絡的目的地址網段為9.9.20.0/24。
<FW> system-view
[FW] healthcheck enable
[FW] healthcheck name isp1_health_01
[FW-healthcheck-isp1_health_01] destination 3.3.10.10 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10001
[FW-healthcheck-isp1_health_01] destination 3.3.10.11 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10002
[FW-healthcheck-isp1_health_01] quit
[FW] healthcheck name isp1_health_02
[FW-healthcheck-isp1_health_02] destination 3.3.10.12 interface GigabitEthernet 1/0/2 protocol tcp-simple destination-port 10001
[FW-healthcheck-isp1_health_02] destination 3.3.10.13 interface GigabitEthernet 1/0/2 protocol tcp-simple destination-port 10002
[FW-healthcheck-isp1_health_02] quit
[FW] healthcheck name isp2_health
[FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10003
[FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10004
[FW-healthcheck-isp2_health] quit
  •  2.配置接口的IP地址和網關地址,配置接口所在鏈路的帶寬,並應用對應的健康檢查。
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1] gateway 1.1.1.254
[FW-GigabitEthernet1/0/1] bandwidth ingress 50000
[FW-GigabitEthernet1/0/1] bandwidth egress 50000
[FW-GigabitEthernet1/0/1] healthcheck isp1_health_01
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 1.1.2.2 255.255.255.0
[FW-GigabitEthernet1/0/2] gateway 1.1.2.254
[FW-GigabitEthernet1/0/2] bandwidth ingress 50000
[FW-GigabitEthernet1/0/2] bandwidth egress 50000
[FW-GigabitEthernet1/0/2] healthcheck isp1_health_02
[FW-GigabitEthernet1/0/2] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/7
[FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0
[FW-GigabitEthernet1/0/7] gateway 2.2.2.254
[FW-GigabitEthernet1/0/7] bandwidth ingress 10000
[FW-GigabitEthernet1/0/7] bandwidth egress 10000
[FW-GigabitEthernet1/0/7] healthcheck isp2_health
[FW-GigabitEthernet1/0/7] quit
  •  3.新建接口組ifgrp1,並將接口GE1/0/1和GE1/0/2加入接口組。
[FW] interface-group 1 name ifgrp1
[FW-interface-group-1] add interface GigabitEthernet 1/0/1
[FW-interface-group-1] add interface GigabitEthernet 1/0/2
[FW-interface-group-1] quit
  •  4.配置全局選路策略,流量根據鏈路優先級主備備份。
[FW] multi-interface
[FW-multi-inter] mode priority-of-userdefine
[FW-multi-inter] add interface-group ifgrp1 priority 2
[FW-multi-inter] add interface GigabitEthernet1/0/7
[FW-multi-inter] quit
  •  5.自定義稅務申報應用,假設應用服務器的IP地址為8.8.8.8,端口為20001。
[FW] sa
[FW-sa] user-defined-application name UD_tax_system
[FW-sa-user-defined-app-UD_tax_system] rule name 1
[FW-sa-user-defined-app-UD_tax_system-rule-1] ip-address 8.8.8.8 32
[FW-sa-user-defined-app-UD_tax_system-rule-1] port 20001
[FW-sa-user-defined-app-UD_tax_system-rule-1] quit
[FW-sa-user-defined-app-UD_tax_system] quit
[FW-sa] quit
  •  6.為稅務申報應用配置策略路由智能選路,流量根據鏈路優先級主備備份。
[FW] policy-based-route
[FW-policy-pbr] rule name tax_system
[FW-policy-pbr-rule-tax_system] source-zone trust
[FW-policy-pbr-rule-tax_system] application app UD_tax_system
[FW-policy-pbr-rule-tax_system] action pbr egress-interface multi-interface
[FW-policy-pbr-rule-tax_system-multi-inter] mode priority-of-userdefine
[FW-policy-pbr-rule-tax_system-multi-inter] add interface-group ifgrp1
[FW-policy-pbr-rule-tax_system-multi-inter] add interface GigabitEthernet1/0/7 priority 2
[FW-policy-pbr-rule-tax_system-multi-inter] quit
[FW-policy-pbr] quit
  •  7.將接口加入安全區域。
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-zone-untrust] add interface GigabitEthernet 1/0/7
[FW-zone-untrust] quit
  •  8.配置Local到Untrust區域的安全策略,允許FW向目的設備發送相應的健康檢查探測報文。
[FW] security-policy
[FW-policy-security] rule name policy_sec_local_untrust
[FW-policy-security-rule-policy_sec_local_untrust] source-zone local
[FW-policy-security-rule-policy_sec_local_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.10 32
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.11 32
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.12 32
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.13 32
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.20 32
[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.21 32
[FW-policy-security-rule-policy_sec_local_untrust] service tcp
[FW-policy-security-rule-policy_sec_local_untrust] action permit
[FW-policy-security-rule-policy_sec_local_untrust] quit
  •  9.配置Trust到Untrust區域的安全策略,允許企業內網用戶訪問外網資源。假設內部用戶網段為10.3.0.0/24。
[FW-policy-security] rule name policy_sec_trust_untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 HUAWEI防火牆雙出口據鏈路帶寬負載分擔 HUAWEI防火牆雙出口環境下私網用戶通過NAPT訪問Internet 第四篇:華為防火牆USG5500-企業雙ISP出口 網絡架構--防火牆雙機熱備(主備、負載均衡) huawei USG防火牆配置HA Keepalived 無法自動轉換主備角色,請關注 iptables 防火牆配置 解決防火牆規則問題導致keepalived無法切換主備角色 H3C防火牆/路由器通過Track實現雙線接入的鏈路備份 路由優先級、路由鏈路冗余 常見防火牆的雙機熱備功能配置
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM