ensp防火墙出口路由双链路运营商,负载分担及设备冗余

已于 2022-09-01 11:57:32 修改
阅读量5.2k 收藏 79
点赞数 3
文章标签: 服务器 网络 华为 网络协议 网络安全
于 2022-09-01 11:12:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63775189/article/details/126635981
版权
本文档详细介绍了如何使用USG防火墙配置校园或企业网络,实现通过两个运营商的双出口访问Internet,同时确保链路故障时的流量切换。配置包括基本接口设置、安全域划分、策略路由、ASPF功能、NAT转换和链路监测,以确保网络高可用性和流量的合理分布。
摘要由CSDN通过智能技术生成

 USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击。

    学习内容:

        用户网关在出口防火墙接口处,汇聚交换机作为中转站不做配置,直接连接下面的接入交换机,简单的三层配置。

     实验目标:

        1、校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。

       2、当通往两个运营商链路都正常工作的情况下,宿舍区用户通过运营商ISP1访问Internet,教学楼用户通过运营商ISP2访问Internet。

       3、当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。

    配置思路:

1、校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG

2、内网可以访问服务器,不连接外网。

2、学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了4个IP地址。ISP1分配的IP地址是200.1.1.1~200.1.1.4,ISP2分配的IP地址是220.1.1.1~220.1.1.4,掩码均为24位。

    拓扑图:

 配置如下:

FW配置:
一、基本配置:
Username:
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 
Please enter new password: 
Please confirm new password: 
<USG6000V1>language-mode Chinese 
Change language mode, confirm? [Y/N] y
提示:改变语言模式成功。
<USG6000V1>sy
进入系统视图,键入Ctrl+Z退回到用户视图。
[USG6000V1]sys FW
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip add 10.1.1.1 16
[FW-GigabitEthernet1/0/0]int g1/0/1
[FW-GigabitEthernet1/0/1]ip add 172.1.1.1 24
[FW-GigabitEthernet1/0/1]int g 1/0/2
[FW-GigabitEthernet1/0/2]ip add 200.1.1.1 24
[FW-GigabitEthernet1/0/2]int g1/0/3
[FW-GigabitEthernet1/0/3]ip add 220.1.1.1 24

二、安全域配置:
[FW]fir zone trust
[FW-zone-trust]add int g1/0/0
[FW-zone-trust]fir zone dmz 
[FW-zone-dmz]add int g1/0/1
[FW-zone-dmz]fir zone name ISP1
[FW-zone-ISP1]add int g1/0/2
[FW-zone-ISP1]set priority 15
[FW-zone-ISP1]fir zone name ISP2
[FW-zone-ISP2]add int g1/0/3
[FW-zone-ISP2]set priority 20

三、区域间放行策略配置:
[FW]security-policy
[FW-policy-security]rule name trust_IPS1
[FW-policy-security-rule-trust_IPS1]source-zone trust
[FW-policy-security-rule-trust_IPS1]source-address 10.1.0.0 mask 255.255.0.0
[FW-policy-security-rule-trust_IPS1]destination-zone ISP1
[FW-policy-security-rule-trust_IPS1]action permit
[FW-policy-security-rule-trust_IPS1]rule name trust_ISP2
[FW-policy-security-rule-trust_ISP2]source-zone trust
[FW-policy-security-rule-trust_ISP2]source-address 10.1.0.0 mask 255.255.0.0
[FW-policy-security-rule-trust_ISP2]destination-zone ISP2
[FW-policy-security-rule-trust_ISP2]action permit
[FW-policy-security]rule name trust_dmz 
[FW-policy-security-rule-trust_dmz]source-zone trust
[FW-policy-security-rule-trust_dmz]source-address 10.1.0.0 mask 255.255.0.0
[FW-policy-security-rule-trust_dmz]destination-zone dmz
[FW-policy-security-rule-trust_dmz]destination-address 172.16.1.0 mask 255.255.2
55.0
[FW-policy-security-rule-trust_dmz]action permint

四、在域间开启ASPF功能,防止多通道协议无法建立连接:
[FW]firewall interzone trust ISP1
[FW-interzone-trust-ISP1]detect ftp
[FW-interzone-trust-ISP1]detect qq
[FW-interzone-trust-ISP1]detect msn
[FW]firewall interzone trust ISP2
[FW-interzone-trust-ISP2]detect ftp
[FW-interzone-trust-ISP2]detect qq
[FW-interzone-trust-ISP2]detect msn

五、建立nat地址池及nat转换策略
[FW]nat address-group 1
[FW-address-group-1]section 0 200.1.1.2 200.1.1.3
[FW-address-group-1]nat address-group 2
[FW-address-group-2]section 0 220.1.1.2 220.1.1.3

[FW]nat-policy
[FW-policy-nat]rule name ISP1
[FW-policy-nat-rule-ISP1]source-zone trust
[FW-policy-nat-rule-ISP1]destination-zone ISP1
[FW-policy-nat-rule-ISP1]action source-nat address-group 1
[FW-policy-nat-rule-ISP1]
[FW-policy-nat-rule-ISP1]rule name ISP2
[FW-policy-nat-rule-ISP2]source-zone trust 
[FW-policy-nat-rule-ISP2]destination-zone ISP2
[FW-policy-nat-rule-ISP2]action source-nat address-group 2

六、配置IP-Link、多条静态路由和两条缺省路由,实现网络的双出口特性和链路的可靠性。
配置链路可达性检查后,当发现该链路不可达时,则选择另一条链路可达的路由。
# 配置IP-Link,并使用ICMP报文进行链路检测
[FW]ip-link check enable 
[FW]ip-link name ISP1
[FW-iplink-ISP1]destination 200.1.1.4 mode icmp
[FW-iplink-ISP1]ip-link name ISP2
[FW-iplink-ISP2]destination 220.1.1.4 mode icmp

七、配置缺省路由:
[FW]ip route-s 0.0.0.0 0 g1/0/2 200.1.1.4 track ip-link  ISP1
[FW]ip route-s 0.0.0.0 0 g1/0/3 220.1.1.4 track ip-link ISP2

八、配置策略路由:
[FW]policy-based-route
[FW-policy-pbr]rule name ISP1
[FW-policy-pbr-rule-ISP1]ingress-interface g1/0/0
[FW-policy-pbr-rule-ISP1]source-address 10.1.1.1 mask 255.255.255.128
[FW-policy-pbr-rule-ISP1]action pbr egress-interface g1/0/2 next-hop 200.1.1.4

[FW-policy-pbr-rule-ISP1]rule name ISP2
[FW-policy-pbr-rule-ISP2]ingress-interface g1/0/0
[FW-policy-pbr-rule-ISP2]source-address 10.1.1.128 mask 255.255.255.128
[FW-policy-pbr-rule-ISP2]action pbr egress-interface g1/0/3 next-hop 220.1.1.4

总结:目前该拓扑只做了负载分担和冗余配置,未做其服务器外网访问配置及更细节的配置,用户网关配置在防火墙,一般情况下应配置在核心交换机上。ACL及vlan均未划分。有很多拓展的空间。路由策略大致相同,等学习到更多的路由协议再做更改,现在也是在一边学习,一边修改,一边实践中。

xiao吴1990
关注
防火墙机热备配置篇(负载分担模式)
weixin_45254043的博客
01-17 2728
防火墙机热备配置案例
ensp实现路由备份,负载均衡
hwhale的博客
12-21 4072
本篇文章分享一下用华为ensp软件实现简单的路由备份,负载均衡。首先实验拓扑图如下: 本拓扑并不复杂,左边AR1与一台交换机,两台pc在同一个192.168.1.0/24网段,右边R2路由器连了两个网段,分别是11.0.0.0/24与13.0.0.0/24网段。间两个路由器之间也是两个网段,主要用于路由备份,负载均衡:即192.0.0.0/24网段到11.0.0.0/24 13.0.0.0/24网段可以走两个路由之间的10.0.0.0/24网段,也能走12.0.0.0/24网段,具体看需求。 路由
防火墙在企业园区出口安全方案的应用(ENSP实现)
Shass的博客
01-25 2990
该方案描述了防火墙在企业园区网络的Internet出口处的典型应用。如果您想在企业网络出口部署防火墙,完全可以借鉴此案例。该方案诠释了机热备的经典组网:“防火墙上行连接交换机,下行连接三层设备”。我们可以借此理解机热备的典型应用。该方案展现了防火墙作为网关的多出口选路能力,包括:全局智能选路和策略路由智能选路等功能。该方案还体现了防火墙的应用识别和控制能力。防火墙不仅能够识别端口信息,还能够识别各种应用,并且能够根据应用进行访问控制、策略路由和流量控制。
华为防火墙智能选路篇之链路权重(带宽)负载分担
最新发布
网络之路Blog(其他平台同名)
09-16 1435
健康检查跟ip-link一样,需要先定好一个监测点,不变的思路,肯定是找大厂商稳定的测试地址为主,比如114、阿里云DNS、百度云DNS都是可以的,但是ip-link只支持icmp探测,有局限性,但是健康检查支持更多的协议,可以基于TCP、DNS(解析某个网站)、HTTP来GET网页、ICMP,在实际就有更多的选择,常见的可以用ICMP探测以及DNS解析与TCP,下面博主用DNS以及TCP来演示下。当配置完健康检查后,会看到这样的提示,状态已经up了,说明检查成功了。
【疑】checkpoint防火墙链路负载均衡无法配置权重问题
weixin_34004750的博客
05-07 380
现状:   按照上一篇checkpoint疑难描述,已完成机+链路冗余配置 故障现象:   外网出口为200M电信+200M联通,CP上负载权重设置如下      但是在实际使用发现电信出口流量远大于联通。 调试过程:   无论怎么修改权重都不管用,看zabbix显示就跟没调试一样。即使将电信的权重调大都不行。   其他地方也没有发现能调试的地儿。   咨询了CP的工程师...
电信、网通线策略路由
weixin_34138056的博客
10-02 273
本文原始出处:[url]http://bbs.szwblm.com/dispbbs.asp?boardID=15&ID=2669&page=1[/url] 感谢深圳网吧联盟的兄弟们! 电信/网通线光纤,策略路由/线分流/线备份,图文教程 其实此类教程已经讲得太多了。线一直是ROS的一个特色,相信也有很多朋友都会做,会使用。也有很多新来的朋友想...
Fortigate 防火墙策略路由配置实现链路互访
weixin_34174322的博客
02-18 1867
 场景描述: 1. 电信联通链路,电信为主(缺省路由),联通为辅 2. 内部一部分服务器需要外部访问, NAT到电信线路 3. 要求调度内网一部分用户走联通线路,却能够通过NAT后的电信公网IP访问内部服务器(假设    172.16.0.0/24) 4. 假设现在要调度的网段为172.16.100.0/22这时候就需要写一条策略路由:路由-&gt;静态-&gt;策略路由-&gt;Create_...
实验:Jan16公司基于VRRP的负载均衡出口链路配置.docx
10-26
2. **上行接口监视**:通过监测关键接口的状态,自动调整VRRP优先级,从而实现链路冗余和故障转移。 #### 实验原理详解 为了实现出口的流量负载均衡,可以通过为不同的计算机指定不同的网关,使得内部流量能够...
链路聚合实现冗余功能综合实验
LPFAM的博客
05-31 1560
链路聚合实现冗余功能实验(2) 文章目录1.实验环境2.配置LSW1 LACP3. 配置LSW24.配置R15.配置R26.主机配置注意网关地址一定要填7.互通性测试 1.实验环境 2.配置LSW1 LACP 3 配置LSW2 4.配置R1 5配置R2 6.主机配置注意网关地址一定要填 7.互通性测试 1.实验环境 在华为模拟器ensp上设置两个普通路由器,两个交换机,四台PC 先打开ensp ,新建2个路由器和2个pc用户,分别用网线连接,如下图 2.配置LSW1 LACP [SW1]lacp prio
ensp静态路由的配置
07-10
本实验主要目的是熟悉和掌握在eNSP(enterprise Network Simulation Platform,企业网络仿真平台)软件进行静态路由配置的方法及注意事项。通过模拟一个实际的网络环境,学习如何合理规划IP地址、配置静态路由以及...
华为ENSP-配置静态路由以及负载均衡
weixin_46061477的博客
03-20 5774
标题华为ENSP-配置静态路由以及负载均衡 1. 静态路由: 一种路由的方式,路由项由手动配置,而非动态决定。与动态路由不同,静态路由是固定的,不会改变,即使网络状况已经改变或是重新被组态。一般来说,静态路由是由网络管理员逐项加入路由表。 2. 拓扑图 (只需要关注R2、R3) 3. 实验要求 网络互通 采用静态路由实现PC2与PC3链路冗余负载均衡; PC2与PC3之间通信时,采用浮动静态路由实现。以其一条链路pc2-R2-R3-pc3为主链路,另一条为备份链路。 4. 配置 ①基础配置 R1:
ensp两个路由的配置(想对全世界说晚安 恰好你就是全世界)
Y0UZI的博客
03-16 2486
192.168.3.4就是路由AR1的下一跳图192.168.2.0就是路由AR1的目标网段目标网段是你数据最终要去的网段下一跳地址是与路由器端口连接下一个路由器端口的IP地址学习是一件持久的事情 所以希望每一个人都能对其保持热情,不要嫌纠错的过程麻烦,知道自己的错误并且改好代码那才是正确的,而其最重要的是就错的过程!!加油未来的带佬们。
H3C防火墙接入两个运营商的专线防火墙下接三层交换机,三层交换机的不同VLAN分别通过不同运行商的专线上网,请问三层交换机如何配置路由...
weixin_35755823的博客
02-13 2447
H3C防火墙接入两个运营商的专线,需要对三层交换机的不同VLAN进行路由配置。下面是一个大致的步骤: 在防火墙上配置两个专线的接口,并确保两个接口都是外网接口。 在三层交换机上配置不同VLAN对应的接口,并将这些接口与防火墙相连。 在防火墙上配置路由规则,将不同VLAN的流量通过对应的专线转发到外网。 在三层交换机上配置默认路由,指向防火墙的外网接口。 测试三层交换机的不同VLAN是否能...
华为usg6000配置手册_华为防火墙原来是这样应对多个运营商接入互联网的,涨知识了...
weixin_39749243的博客
11-30 3162
华为USG6000防火墙在多个运营商接入Internet,是如何部署的呢?带着这个疑问,今天通过一个案例简单了解部署方法。某高校在网络边缘部署了FW作为安全网关,要求学生网络的PC只能通过教育网访问Internet,教师网络的PC只能通过运营商访问Internet。根据以上的需求,通过ENSP模拟以上的环境,拓扑图如下:配置思路新建两个不同优先级的安全区域,分别把两个运营商加入到不同的安全区域...
网络安全基础 之 防火墙 机热备、防火墙类型、组网方式、工作模式、逻辑区域划分
运维派大星
11-03 3157
什么是防火墙防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙
出口网关链路接入不同运营商举例(负载分担
热门推荐
My Inspiration World _" Franz °
03-09 2万+
USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击。 组网需求 某学校网络通过USG连接到Internet,校内组网情况如下: 校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。 学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了4个IP地址。ISP1分配的IP地
eNSP链路冗余技术课后配置
Continuejww的博客
09-30 571
拓扑图配置IP地址FW1FW2路由FW1AR3FW2查询FW2没有学习到tunnel 那个口,是因为它还没有两个UpFW1(负载均衡)通过rip的操控,使其不是负载均衡FW1的变化ipsec vpnFW1FW2此时学到隧道接口结果验证。
防火墙服务器负载均衡
晚风挽着浮云的博客
06-03 2860
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其处理措施包括隔离与保护,同时可对计算机网络安全的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
ensp 实现线负载均衡
01-17
eNSP实现线负载均衡,可以通过配置MSTP和VRRP来实现。以下是具体的操作步骤: 1. 配置MSTP(多生成树): - 配置MSTP的实例和区域参数,以及相应的端口和VLAN信息。 2. 配置VRRP(虚拟路由冗余协议): - 在S1和S2上分别配置VRRP,用于实现网关备份。 - 配置VRRP的虚拟路由器ID、虚拟IP地址和优先级等参数。 通过以上配置,可以实现线负载均衡和网关备份。MSTP可以确保网络负载在多个路径之间均衡分布,而VRRP可以实现网关的冗余备份,确保网络的可靠性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值