ensp防火墙出口路由双链路运营商,负载分担及设备冗余

已于 2022-09-01 11:57:32 修改
阅读量5k 收藏 75
点赞数 3
文章标签: 服务器 网络 华为 网络协议 网络安全
于 2022-09-01 11:12:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63775189/article/details/126635981
版权
本文档详细介绍了如何使用USG防火墙配置校园或企业网络,实现通过两个运营商的双出口访问Internet,同时确保链路故障时的流量切换。配置包括基本接口设置、安全域划分、策略路由、ASPF功能、NAT转换和链路监测,以确保网络高可用性和流量的合理分布。
摘要由CSDN通过智能技术生成

 USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击。

    学习内容:

        用户网关在出口防火墙接口处,汇聚交换机作为中转站不做配置,直接连接下面的接入交换机,简单的三层配置。

     实验目标:

        1、校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。

       2、当通往两个运营商链路都正常工作的情况下,宿舍区用户通过运营商ISP1访问Internet,教学楼用户通过运营商ISP2访问Internet。

       3、当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。

    配置思路:

1、校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG

2、内网可以访问服务器,不连接外网。

2、学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了4个IP地址。ISP1分配的IP地址是200.1.1.1~200.1.1.4,ISP2分配的IP地址是220.1.1.1~220.1.1.4,掩码均为24位。

    拓扑图:

 配置如下:

FW配置:
一、基本配置:
Username:
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 
Please enter new password: 
Please confirm new password: 
<USG6000V1>language-mode Chinese 
Change language mode, confirm? [Y/N] y
提示:改变语言模式成功。
<USG6000V1>sy
进入系统视图,键入Ctrl+Z退回到用户视图。
[USG6000V1]sys FW
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip add 10.1.1.1 16
[FW-GigabitEthernet1/0/0]int g1/0/1
[FW-GigabitEthernet1/0/1]ip add 172.1.1.1 24
[FW-GigabitEthernet1/0/1]int g 1/0/2
[FW-GigabitEthernet1/0/2]ip add 200.1.1.1 24
[FW-GigabitEthernet1/0/2]int g1/0/3
[FW-GigabitEthernet1/0/3]ip add 220.1.1.1 24

二、安全域配置:
[FW]fir zone trust
[FW-zone-trust]add int g1/0/0
[FW-zone-trust]fir zone dmz 
[FW-zone-dmz]add int g1/0/1
[FW-zone-dmz]fir zone name ISP1
[FW-zone-ISP1]add int g1/0/2
[FW-zone-ISP1]set priority 15
[FW-zone-ISP1]fir zone name ISP2
[FW-zone-ISP2]add int g1/0/3
[FW-zone-ISP2]set priority 20

三、区域间放行策略配置:
[FW]security-policy
[FW-policy-security]rule name trust_IPS1
[FW-policy-security-rule-trust_IPS1]source-zone trust
[FW-policy-security-rule-trust_IPS1]source-address 10.1.0.0 mask 255.255.0.0
[FW-policy-security-rule-trust_IPS1]destination-zone ISP1
[FW-policy-security-rule-trust_IPS1]action permit
[FW-policy-security-rule-trust_IPS1]rule name trust_ISP2
[FW-policy-security-rule-trust_ISP2]source-zone trust
[FW-policy-security-rule-trust_ISP2]source-address 10.1.0.0 mask 255.255.0.0
[FW-policy-security-rule-trust_ISP2]destination-zone ISP2
[FW-policy-security-rule-trust_ISP2]action permit
[FW-policy-security]rule name trust_dmz 
[FW-policy-security-rule-trust_dmz]source-zone trust
[FW-policy-security-rule-trust_dmz]source-address 10.1.0.0 mask 255.255.0.0
[FW-policy-security-rule-trust_dmz]destination-zone dmz
[FW-policy-security-rule-trust_dmz]destination-address 172.16.1.0 mask 255.255.2
55.0
[FW-policy-security-rule-trust_dmz]action permint

四、在域间开启ASPF功能,防止多通道协议无法建立连接:
[FW]firewall interzone trust ISP1
[FW-interzone-trust-ISP1]detect ftp
[FW-interzone-trust-ISP1]detect qq
[FW-interzone-trust-ISP1]detect msn
[FW]firewall interzone trust ISP2
[FW-interzone-trust-ISP2]detect ftp
[FW-interzone-trust-ISP2]detect qq
[FW-interzone-trust-ISP2]detect msn

五、建立nat地址池及nat转换策略
[FW]nat address-group 1
[FW-address-group-1]section 0 200.1.1.2 200.1.1.3
[FW-address-group-1]nat address-group 2
[FW-address-group-2]section 0 220.1.1.2 220.1.1.3

[FW]nat-policy
[FW-policy-nat]rule name ISP1
[FW-policy-nat-rule-ISP1]source-zone trust
[FW-policy-nat-rule-ISP1]destination-zone ISP1
[FW-policy-nat-rule-ISP1]action source-nat address-group 1
[FW-policy-nat-rule-ISP1]
[FW-policy-nat-rule-ISP1]rule name ISP2
[FW-policy-nat-rule-ISP2]source-zone trust 
[FW-policy-nat-rule-ISP2]destination-zone ISP2
[FW-policy-nat-rule-ISP2]action source-nat address-group 2

六、配置IP-Link、多条静态路由和两条缺省路由,实现网络的双出口特性和链路的可靠性。
配置链路可达性检查后,当发现该链路不可达时,则选择另一条链路可达的路由。
# 配置IP-Link,并使用ICMP报文进行链路检测
[FW]ip-link check enable 
[FW]ip-link name ISP1
[FW-iplink-ISP1]destination 200.1.1.4 mode icmp
[FW-iplink-ISP1]ip-link name ISP2
[FW-iplink-ISP2]destination 220.1.1.4 mode icmp

七、配置缺省路由:
[FW]ip route-s 0.0.0.0 0 g1/0/2 200.1.1.4 track ip-link  ISP1
[FW]ip route-s 0.0.0.0 0 g1/0/3 220.1.1.4 track ip-link ISP2

八、配置策略路由:
[FW]policy-based-route
[FW-policy-pbr]rule name ISP1
[FW-policy-pbr-rule-ISP1]ingress-interface g1/0/0
[FW-policy-pbr-rule-ISP1]source-address 10.1.1.1 mask 255.255.255.128
[FW-policy-pbr-rule-ISP1]action pbr egress-interface g1/0/2 next-hop 200.1.1.4

[FW-policy-pbr-rule-ISP1]rule name ISP2
[FW-policy-pbr-rule-ISP2]ingress-interface g1/0/0
[FW-policy-pbr-rule-ISP2]source-address 10.1.1.128 mask 255.255.255.128
[FW-policy-pbr-rule-ISP2]action pbr egress-interface g1/0/3 next-hop 220.1.1.4

总结:目前该拓扑只做了负载分担和冗余配置,未做其服务器外网访问配置及更细节的配置,用户网关配置在防火墙,一般情况下应配置在核心交换机上。ACL及vlan均未划分。有很多拓展的空间。路由策略大致相同,等学习到更多的路由协议再做更改,现在也是在一边学习,一边修改,一边实践中。

xiao吴1990
关注
  • 3
    点赞
  • 75
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为usg6000配置手册_华为防火墙原来是这样应对多个运营商接入互联网的,涨知识了...
weixin_39749243的博客
11-30 3128
华为USG6000防火墙在多个运营商接入Internet,是如何部署的呢?带着这个疑问,今天通过一个案例简单了解部署方法。某高校在网络边缘部署了FW作为安全网关,要求学生网络的PC只能通过教育网访问Internet,教师网络的PC只能通过运营商访问Internet。根据以上的需求,通过ENSP模拟以上的环境,拓扑图如下:配置思路新建两个不同优先级的安全区域,分别把两个运营商加入到不同的安全区域...
ensp实现路由备份,负载均衡
hwhale的博客
12-21 4006
本篇文章分享一下用华为ensp软件实现简单的路由备份,负载均衡。首先实验拓扑图如下: 本拓扑并不复杂,左边AR1与一台交换机,两台pc在同一个192.168.1.0/24网段,右边R2路由器连了两个网段,分别是11.0.0.0/24与13.0.0.0/24网段。间两个路由器之间也是两个网段,主要用于路由备份,负载均衡:即192.0.0.0/24网段到11.0.0.0/24 13.0.0.0/24网段可以走两个路由之间的10.0.0.0/24网段,也能走12.0.0.0/24网段,具体看需求。 路由
电信、网通线策略路由
weixin_34138056的博客
10-02 265
本文原始出处:[url]http://bbs.szwblm.com/dispbbs.asp?boardID=15&ID=2669&page=1[/url] 感谢深圳网吧联盟的兄弟们! 电信/网通线光纤,策略路由/线分流/线备份,图文教程 其实此类教程已经讲得太多了。线一直是ROS的一个特色,相信也有很多朋友都会做,会使用。也有很多新来的朋友想...
华为eNSP实验:Eth-Trunk LACP模式
liu19307650129的博客
06-18 530
在LACP模式下,Eth-Trunk能够自动协商聚合组成员状态,确保两边设备对组成员的状态达成一致。通过调整系统优先级和接口优先级,可以控制哪个设备成为主动端,哪个端口被选为活动端口。设置最大活动链路数可以限制聚合组内最多有多少条链路是活动的,从而优化网络资源使用。开启抢占功能允许在未来某个时间点,如果当前活动链路出现故障,其他备用链路可以替代成为活动链路,进一步增强了网络的可靠性。
【疑】checkpoint防火墙链路负载均衡无法配置权重问题
weixin_34004750的博客
05-07 367
现状:   按照上一篇checkpoint疑难描述,已完成机+链路冗余配置 故障现象:   外网出口为200M电信+200M联通,CP上负载权重设置如下      但是在实际使用发现电信出口流量远大于联通。 调试过程:   无论怎么修改权重都不管用,看zabbix显示就跟没调试一样。即使将电信的权重调大都不行。   其他地方也没有发现能调试的地儿。   咨询了CP的工程师...
Fortigate 防火墙策略路由配置实现链路互访
weixin_34174322的博客
02-18 1833
 场景描述: 1. 电信联通链路,电信为主(缺省路由),联通为辅 2. 内部一部分服务器需要外部访问, NAT到电信线路 3. 要求调度内网一部分用户走联通线路,却能够通过NAT后的电信公网IP访问内部服务器(假设    172.16.0.0/24) 4. 假设现在要调度的网段为172.16.100.0/22这时候就需要写一条策略路由:路由-&gt;静态-&gt;策略路由-&gt;Create_...
防火墙机热备配置篇(负载分担模式)
weixin_45254043的博客
01-17 2535
防火墙机热备配置案例
ensp两个路由的配置(想对全世界说晚安 恰好你就是全世界)
Y0UZI的博客
03-16 2374
192.168.3.4就是路由AR1的下一跳图192.168.2.0就是路由AR1的目标网段目标网段是你数据最终要去的网段下一跳地址是与路由器端口连接下一个路由器端口的IP地址学习是一件持久的事情 所以希望每一个人都能对其保持热情,不要嫌纠错的过程麻烦,知道自己的错误并且改好代码那才是正确的,而其最重要的是就错的过程!!加油未来的带佬们。
实验:Jan16公司基于VRRP的负载均衡出口链路配置.docx
10-26
2. **上行接口监视**:通过监测关键接口的状态,自动调整VRRP优先级,从而实现链路冗余和故障转移。 #### 实验原理详解 为了实现出口的流量负载均衡,可以通过为不同的计算机指定不同的网关,使得内部流量能够...
基于eNSP小型企业网的搭建
07-06
7.出口采用光纤接入,汇聚层交换机进行链路聚合,提高网络带宽,实现运营商万兆接入,千兆到部门,百兆到桌面的体验。 8.公司内部实现无线全覆盖,保障内部终端设备可以无线接入并上网。 9.汇聚层交换机配置ACL控制...
链路聚合实现冗余功能综合实验
LPFAM的博客
05-31 1530
链路聚合实现冗余功能实验(2) 文章目录1.实验环境2.配置LSW1 LACP3. 配置LSW24.配置R15.配置R26.主机配置注意网关地址一定要填7.互通性测试 1.实验环境 2.配置LSW1 LACP 3 配置LSW2 4.配置R1 5配置R2 6.主机配置注意网关地址一定要填 7.互通性测试 1.实验环境 在华为模拟器ensp上设置两个普通路由器,两个交换机,四台PC 先打开ensp ,新建2个路由器和2个pc用户,分别用网线连接,如下图 2.配置LSW1 LACP [SW1]lacp prio
ASA 冗余ISP出口设置----官方文版!(后缀丢失,下载后需自己添加.pdf后缀名)
10-12
cisco ASA / PiX 防火墙ISP出口官方文资料!
ensp静态路由的配置
最新发布
07-10
本实验主要目的是熟悉和掌握在eNSP(enterprise Network Simulation Platform,企业网络仿真平台)软件进行静态路由配置的方法及注意事项。通过模拟一个实际的网络环境,学习如何合理规划IP地址、配置静态路由以及...
H3C防火墙接入两个运营商的专线防火墙下接三层交换机,三层交换机的不同VLAN分别通过不同运行商的专线上网,请问三层交换机如何配置路由...
weixin_35755823的博客
02-13 2280
H3C防火墙接入两个运营商的专线,需要对三层交换机的不同VLAN进行路由配置。下面是一个大致的步骤: 在防火墙上配置两个专线的接口,并确保两个接口都是外网接口。 在三层交换机上配置不同VLAN对应的接口,并将这些接口与防火墙相连。 在防火墙上配置路由规则,将不同VLAN的流量通过对应的专线转发到外网。 在三层交换机上配置默认路由,指向防火墙的外网接口。 测试三层交换机的不同VLAN是否能...
网络安全基础 之 防火墙 机热备、防火墙类型、组网方式、工作模式、逻辑区域划分
运维派大星
11-03 3091
什么是防火墙防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙
两台深信服防火墙主备部署在出口,前置两台运营商线路接入交换机场景的配置方法
萌兔兔MMQ!!
03-17 4902
现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下: 用户为了防止单台接入交换机故障,所以增加一台接入交换机,并且这两台接入交换机做堆叠。 交换机1的1口接电信线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接防火墙的1口,3口连接防火墙的1口。交换机2的1口接联通线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接防火墙的5口,3口连备防火墙的5口。 主防火墙的1口和5口配置聚合口,二
出口网关链路接入不同运营商举例(负载分担
热门推荐
My Inspiration World _" Franz °
03-09 2万+
USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击。 组网需求 某学校网络通过USG连接到Internet,校内组网情况如下: 校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。 学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了4个IP地址。ISP1分配的IP地
eNSP链路冗余技术课后配置
Continuejww的博客
09-30 497
拓扑图配置IP地址FW1FW2路由FW1AR3FW2查询FW2没有学习到tunnel 那个口,是因为它还没有两个UpFW1(负载均衡)通过rip的操控,使其不是负载均衡FW1的变化ipsec vpnFW1FW2此时学到隧道接口结果验证。
防火墙服务器负载均衡
晚风挽着浮云的博客
06-03 2775
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其处理措施包括隔离与保护,同时可对计算机网络安全的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
ensp 三层交换和链路聚合
04-07
ensp华为公司推出的一款以太网交换机操作系统,它提供了丰富的功能和灵活的配置选项,适用于各种规模的网络环境。 三层交换是指在交换机集成了路由功能,可以实现不同子网之间的通信。三层交换机可以根据目的IP地址进行转发决策,从而实现不同子网之间的数据转发。 链路聚合是指将多个物理链路绑定成一个逻辑链路,提高链路带宽和冗余性。通过链路聚合,可以将多个物理链路合并为一个逻辑链路,从而实现负载均衡和故障切换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值