华为pbr双出口外线,指定内网单个vlan绑定单个出口外线上网

已于 2023-05-15 14:30:30 修改
阅读量1.5k 收藏 3
点赞数
分类专栏: 网络工程 笔记 文章标签: 华为 网络
于 2023-05-10 14:25:24 首次发布
本文链接:https://blog.csdn.net/ydaxia110/article/details/130600030
版权

在这里插入图片描述

公司两条外线,vlan 10用nat走上面转发出去上网,vlan 20 走下面那条外线出去nat上网

通过测试发现,如果局域网只有两个vlan,可以只设备一个pbr,只指定一个vlan从一个口出去,另一个不设置,那个没设置的会自动走另一个口出去,也可以实现这种效果,因为有两条默认路由的原因。

通过测试pbr下一跳地址非得指定公司出口路由地址,不能指定运营商地址,思科的是指定运营商地址

AR2:
interface GigabitEthernet0/0/0
ip address 6.6.6.1 255.255.255.0

interface GigabitEthernet0/0/1
ip address 154.1.2.3 255.255.255.0

interface GigabitEthernet0/0/2
ip address 202.1.2.3 255.255.255.0

return

AR1:
[Huawei]dis current-configuration
[V200R003C00]

acl number 3000
rule 2 permit ip source 10.1.1.0 0.0.0.255
acl number 3001
rule 2 permit ip source 10.1.2.0 0.0.0.255
acl number 3004
rule 5 permit ip source 10.1.0.0 0.0.255.255 destination 192.168.4.0 0.0.0.255

traffic classifier 3 operator or
if-match acl 3004
traffic classifier 2 operator or
if-match acl 3001
traffic classifier 1 operator or
if-match acl 3000

traffic behavior 3
permit
traffic behavior 2
redirect ip-nexthop 154.1.2.1
traffic behavior 1
redirect ip-nexthop 202.1.2.1

必须要先打classifier 3 ,因为这个策略执行是按顺序走的从上到下,首先放行到服务器的
traffic policy redirect
classifier 3 behavior 3
classifier 2 behavior 2
classifier 1 behavior 1

interface Ethernet4/0/0
ip address 192.168.4.1 255.255.255.0

interface Ethernet4/0/1

interface GigabitEthernet0/0/0
ip address 154.1.2.1 255.255.255.0
nat outbound 3000

interface GigabitEthernet0/0/1
ip address 11.1.1.1 255.255.255.0
traffic-policy redirect inbound

interface GigabitEthernet0/0/2
ip address 202.1.2.1 255.255.255.0
nat outbound 3001

interface NULL0

ip route-static 0.0.0.0 0.0.0.0 154.1.2.3
ip route-static 0.0.0.0 0.0.0.0 202.1.2.3
ip route-static 10.1.0.0 255.255.0.0 11.1.1.2

return

核心交换机:
dis current-configuration

sysname Huawei

vlan batch 10 20 100

cluster enable
ntdp enable
ndp enable

drop illegal-mac alarm

dhcp enable

interface Vlanif1

interface Vlanif10
ip address 10.1.1.1 255.255.255.0
dhcp select interface

interface Vlanif20
ip address 10.1.2.1 255.255.255.0
dhcp select interface

interface Vlanif100
ip address 11.1.1.2 255.255.255.0

interface MEth0/0/1

interface GigabitEthernet0/0/1
port link-type access
port default vlan 100

interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
stp edged-port enable

interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
stp edged-port enable

ip route-static 0.0.0.0 0.0.0.0 11.1.1.1

扩展部分:如果两条外线一条备用,只用一条,且局域网有服务器,又和分校区连接
在这里插入图片描述

pppoe配置:
[Internet]ip pool pppoe 创建地址池

[Internet-ip-pool-pppoe]network 123.1.1.0 mask 24 配置IP地址段

[Internet-ip-pool-pppoe]dns-list 114.114.114.114 配置DNS

[Internet-ip-pool-pppoe]excluded-ip-address 123.1.1.254 排除分配的IP地址

[Internet-ip-pool-pppoe]excluded-ip-address 123.1.1.253 排除分配的IP地址

[Internet]interface Virtual-Template 1 创建虚拟模板

[Internet-Virtual-Template1]ppp authentication-mode pap 认证模式为pap模式

[Internet-Virtual-Template1]remote address pool pppoe 关联地址池

[Internet-Virtual-Template1]ip address 123.1.1.254 24 创建网关IP地址

Int g0/0/0
[Internet-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1 进入接口绑定虚拟模板

aaa
[Internet-aaa]local-user test password cipher Start123! 创建拨号的用户名和密码

[Internet-aaa]local-user test service-type ppp 类型为ppp类型

创建一个回环测试

[Internet]interface LoopBack 0 进入回环口

[Internet-LoopBack0]ip address 61.128.1.1 24 配置IP地址

以上是服务器的配置

下面客户端配置

[Huawei]interface Dialer 1 进入接口1

[Huawei-Dialer1]link-protocol ppp 协议为ppp

ppp pap local-user test password simple Start123! 输入用户名密码

ip address ppp-negotiate 自动分配IP地址

dialer user test 用户名为test

dialer bundle 1 绑定1

[Huawei]interface GigabitEthernet 0/0/0 进入接口

[Huawei-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 1 绑定1

如果两条一条作为备用线路:
1、两条外线。默认用拨号,专线备用:
在出口路由器上,2条外线口上都要同样的操作:启nat和对外开放web端口nat
acl number 3005
rule 5 permit ip source 192.168.0.0 0.0.255.255

interface Dialer1
nat outbind 3005
nat server protocol tcp global current-interface 80 inside 192.168.200.10 80

interface g0/0/2
nat outbind 3005
nat server protocol tcp global current-interface 80 inside 192.168.200.10 80

同样在出口路由器上写两条默认路由分别指南两个公网IP,但一个要调开销70作为备用
ip route-static 0.0.0.0 0.0.0.0 Dialer1
ip route-static 0.0.0.0 0 23.1.1.1 preference 70

2、vlan 30的用户只能访问分校区,不能上公网:
些要求要在出口路由器上做:
acl 3001
rule 5 permit ip destination 192.168.0.0 0.0.255.255
rule 10 deny ip source 192.168.30.0 0.0.0.255
然后在路由的内网口上调用:
int g0/0/1
traffic-filter inbound acl 3001

3、只允许vlan 10研发部的人才能访问研发服务器。其它人过来的deny掉
acl number 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.200.20 0
rule 10 deny ip destination 192.168.200.20 0
然后在核心出接口上启用过滤规则,调用这个acl
int g0/0/4
traffic-filter outbound acl 3000

项目工程师余工
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为防火墙分流实验,特定VLAN指定出接口
北府太郎的博客
08-11 2494
华为防火墙分流实验,特定VLAN指定出接口
华为防火墙如何配置出口,特定IP段流量走指定出接口地址上网
玩人工智能的辣条哥的博客
03-07 7379
华为USG6311E电信宽带拨号接口0/0/8联通宽带固定IP12.25.35.xx接口0/0/9内网接口0/0/3。
华为网络配置(策略路由)
热门推荐
1风天云月的博客
12-12 1万+
目录 前言 一、策略路由概述 1、策略路由介绍 2、策略路由优点 3、本地策略路由 4、本地策略路由实现原理 5、接口策略路由 6、接口策略路由实现原理 7、智能策略路由 8、智能策略路由产生背景 9、特性依赖和限制 二、策略路由配置 1、案例 2、配置过程 (1)AR1 (2)AR2 (3)AR3 (4)AR4 3、测试 (1)接口策略路由 (2)本地策略路由 结语 前言 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可...
华为交换机策略路由典型配置
最新发布
Richardlygo的博客
04-02 2029
传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由PBR(Policy-Based Routing)就是一种依据用户制定的策略进行数据转发的机制。在S系列交换机上,策略路由通过重定向实现,通过配置策略路由可以将到达接口的符合流分类规则的三层报文重定向到指定的下一跳地址。
华为 流策略—PBR
潇峰的博客
04-27 2808
需求: 两条ISP线路 可以访问server 配置: 在防火墙在SNAT 将源地址替换成防火墙出接口地址 网关在交换机上切默认路由丢给防火墙 在交换机上配置PBR ,将ISP2访问server的流量在会给路由器并设置内网的流量不走PBR acl number 3005 rule 15 permit ip source 192.168.1.1 0 destination 172.21.0.0 0.0.255.255 acl number 3010 rule 15 permit ip...
华为PBR配置
2301_76769137的博客
12-13 348
项目需求:某企业网络拥有三个出口,分别使用AR1、AR2、AR3链接运营商网络。虽然路由表的下一跳不是G0/0/0口,但是流量会按照PBR的配置结果去转发。在pc1上ping 4.4.4.4 并在AR5的g0/0/0口抓包。可以发现报文都是从AR5的g0/0/0口发送到4.4.4.4。在AR5上查看OSPF邻居表可以发现已经成功的建立了邻居。在AR5上将g0/0/0口开销改大。可以发现AR5上有3条缺省路由。步骤1:IP地址的规划与配置。交换机LSW1的配置。步骤2:NAT的配置。步骤3:部署策略路由。
交换机上配置 PBR
qq_41235506的博客
11-07 3830
1.拓扑图 链接:https://pan.baidu.com/s/1GXCf_s3rwuJl_cnajvGRhQ 提取码:8888 eNSP 链接:https://pan.baidu.com/s/1wP0vHim4yqVV0bc0wmzhFw 提取码:8888 PC1属于VLAN10;PC2属于VLAN20;网络中的交换机为三层交换机,其Vlanif10及Vlanif20作为VLAN10及VLAN20用户的网关,交换机使用VLAN100与R1对接,交换机使用VLAN200与R2对接,R1及R2右侧到达同一
华为三层交换机OSPF的配置教程
03-29
华为三层交换机的OSPF协议的配置教程,配置实例详细说明,手把手教会你,内容完整易懂,重点突出,重点详细
华为HCIP-RS培训视频教程【共39集】.rar
10-05
目录:网盘文件,永久链接 第1天-01-IP地址规划 第1天-02-OSPF基础 ...第6天-06-基于策略的选路PBR 第7天-01-多个AS的路由过滤与优化 第7天-02-多个AS的路由过滤与优化 第7天-03-实验-路由过滤与优化-结课
华为HCNP-RS三科全套图文学习笔记【共3章64节】.rar
08-02
28、PBR 40 29、IGMP 42 30、PIM-DM 44 31、PIM-SM 44 二、华为HCDP IESN学习笔记 46 1、 VLAN 1 46 2、 VLAN 2 (Hybrid) 48 3、 VLAN 3 (Mux VLAN) 49 4、 VLAN 4(Super VLAN) 50 5、 VLAN 5(VLAN Mapping)...
华为HCIE-RS V3.0 CCIE新版混合培训视频教程【共102集.rar
10-15
【88】思科实现PBR和路由完成铺垫 【89-90】思科和华为实现虚拟私有 【91】结合NAT实施 【92】实施多点GRE 【93】实施基本的NHRP 【94】基本的路由和优化 【95】阶段3实施和路由调整 【96】总部分支结构(1) ...
z中小企业出口网络详细攻略
03-02
中小企业出口网络详细的说明,帮助建立出口网络的文档
策略路由(PBR)配置
03-28
1. 掌握策略路由的配置 2. 理解策略路由的原理
华为图形计算服务示例代码
01-02
华为图形计算服示例代码。CGKit是一个基于Vulkan的渲染框架,用于提升Vulkan设备的性能,尤其是安卓平台。本工程会展示如何加载贴图、模型以及用Vulkan实现PBR效果
华为ensp PBR策略路由相关协议
分享的都是纯自学心得
02-21 1793
华为ensp BPR策略路由相关协议
华为PBR简单应用
12-04 1762
把两个vlan的数据调整为走联通出,不走电信 1、先把两个valn数据用acl匹配出来 acl 2000 rule 1 permit source 192.168.10.0 0.0.0.0255 rule 1 permit source 192.168.20.0 0.0.0.0255 2、定义数据流,和acl匹配 traffic classifier liantong operator or if-match acl 2000 3、定义流行为 traffic behavior liantong (名称可.
求助,如何让VLAN10、20走出口1,VLAN30、40走出口2,运行的OSPF
weixin_34224941的博客
04-06 1015
转载于:https://blog.51cto.com/14279489/2374710
华为防火墙出口,如何配置指定IP访问特定目的地址的流量自动转发至指定出口
玩人工智能的辣条哥的博客
03-10 2288
环景: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 电信宽带:拨号 接口:0/0/8 联通宽带:固定IP 12.25.35.xx 接口:0/0/9 内网接口0/0/3 问题描述: 华为防火墙出口,如何配置内网特定一个IP :192.168.200.16主机,访问公网云服务器ip:45.56.X.X的流量走指定联通出口,访问云服务器ip以外任何地址的流量走原来电信出口,原来有一
策略路由(PBR
qq_43803267的博客
08-01 1517
策略路由---通过流量策略来执行选路的一种转发手段。 传统的路由表转发只能通过数据的目标地址做决策提供路由 策略路由可以根据源地址,目的地址,源端口,目的端口,协议,TOS等流量特征来做决策提供路由,灵活性高。 缺点:手动实施 路由表与策略路由的关系:策略路由是先于路由表执行的,策略路由没有捕获的流量依然会去执行路由表 两个配置 1.接口下配置 只能捕获该接口的入接口流...
华为路由器出口配置
08-31
华为路由器出口配置可以通过配置静态路由来实现。在路由器上可以配置两条默认路由,分别指向两个公网IP地址。这样可以实现在外网任一线路断开时的自动切换。其中一条默认路由的下一跳地址可以设为1.1.1.2,另一条默认路由的下一跳地址可以设为2.2.2.2。此外,还可以配置内网的静态路由以确保内网的回程路由可用。 配置示例如下: ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 ip route-static 0.0.0.0 0.0.0.0 2.2.2.2 ip route-static 内网目的网络 子网掩码 内网下一跳地址 通过这样的配置,当其中一条线路发生故障时,路由器会自动切换到另一条线路,确保网络的连通性。同时,可以根据需要设置路由的优先级,以实现备用线路的切换。 需要注意的是,具体配置可能会因设备型号和固件版本而有所不同,请根据实际情况进行配置。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [华为防火墙企业出口专线,配置策略路由实现多个ISP出接口的智能选路和向NAT](https://blog.csdn.net/m0_60444349/article/details/121177087)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [华为pbr出口外线指定内网单个vlan绑定单个出口外线上网](https://blog.csdn.net/ydaxia110/article/details/130600030)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

项目工程师余工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值