devbox
IT小白
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

ensp防火墙出口路由双链路运营商,负载分担及设备冗余_ensp双isp

作者:IT小白 | 2024-04-10 18:33:00

ensp双isp

 USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击

    学习内容:

        用户网关在出口防火墙接口处,汇聚交换机作为中转站不做配置,直接连接下面的接入交换机,简单的三层配置。

     实验目标:

        1、校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。

       2、当通往两个运营商链路都正常工作的情况下,宿舍区用户通过运营商ISP1访问Internet,教学楼用户通过运营商ISP2访问Internet。

       3、当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。

    配置思路:

1、校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG

2、内网可以访问服务器,不连接外网。

2、学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了4个IP地址。ISP1分配的IP地址是200.1.1.1~200.1.1.4,ISP2分配的IP地址是220.1.1.1~220.1.1.4,掩码均为24位。

    拓扑图:

 配置如下:

  1. FW配置:
  2. 一、基本配置:
  3. Username:
  4. Username:admin
  5. Password:
  6. The password needs to be changed. Change now? [Y/N]: y
  7. Please enter old password: 
  8. Please enter new password: 
  9. Please confirm new password: 
  10. <USG6000V1>language-mode Chinese 
  11. Change language mode, confirm? [Y/N] y
  12. 提示:改变语言模式成功。
  13. <USG6000V1>sy
  14. 进入系统视图,键入Ctrl+Z退回到用户视图。
  15. [USG6000V1]sys FW
  16. [FW]int g1/0/0
  17. [FW-GigabitEthernet1/0/0]ip add 10.1.1.1 16
  18. [FW-GigabitEthernet1/0/0]int g1/0/1
  19. [FW-GigabitEthernet1/0/1]ip add 172.1.1.1 24
  20. [FW-GigabitEthernet1/0/1]int g 1/0/2
  21. [FW-GigabitEthernet1/0/2]ip add 200.1.1.1 24
  22. [FW-GigabitEthernet1/0/2]int g1/0/3
  23. [FW-GigabitEthernet1/0/3]ip add 220.1.1.1 24
  24.  
  25. 二、安全域配置:
  26. [FW]fir zone trust
  27. [FW-zone-trust]add int g1/0/0
  28. [FW-zone-trust]fir zone dmz 
  29. [FW-zone-dmz]add int g1/0/1
  30. [FW-zone-dmz]fir zone name ISP1
  31. [FW-zone-ISP1]add int g1/0/2
  32. [FW-zone-ISP1]set priority 15
  33. [FW-zone-ISP1]fir zone name ISP2
  34. [FW-zone-ISP2]add int g1/0/3
  35. [FW-zone-ISP2]set priority 20
  36.  
  37. 三、区域间放行策略配置:
  38. [FW]security-policy
  39. [FW-policy-security]rule name trust_IPS1
  40. [FW-policy-security-rule-trust_IPS1]source-zone trust
  41. [FW-policy-security-rule-trust_IPS1]source-address 10.1.0.0 mask 255.255.0.0
  42. [FW-policy-security-rule-trust_IPS1]destination-zone ISP1
  43. [FW-policy-security-rule-trust_IPS1]action permit
  44. [FW-policy-security-rule-trust_IPS1]rule name trust_ISP2
  45. [FW-policy-security-rule-trust_ISP2]source-zone trust
  46. [FW-policy-security-rule-trust_ISP2]source-address 10.1.0.0 mask 255.255.0.0
  47. [FW-policy-security-rule-trust_ISP2]destination-zone ISP2
  48. [FW-policy-security-rule-trust_ISP2]action permit
  49. [FW-policy-security]rule name trust_dmz 
  50. [FW-policy-security-rule-trust_dmz]source-zone trust
  51. [FW-policy-security-rule-trust_dmz]source-address 10.1.0.0 mask 255.255.0.0
  52. [FW-policy-security-rule-trust_dmz]destination-zone dmz
  53. [FW-policy-security-rule-trust_dmz]destination-address 172.16.1.0 mask 255.255.2
  54. 55.0
  55. [FW-policy-security-rule-trust_dmz]action permint
  56.  
  57. 四、在域间开启ASPF功能,防止多通道协议无法建立连接:
  58. [FW]firewall interzone trust ISP1
  59. [FW-interzone-trust-ISP1]detect ftp
  60. [FW-interzone-trust-ISP1]detect qq
  61. [FW-interzone-trust-ISP1]detect msn
  62. [FW]firewall interzone trust ISP2
  63. [FW-interzone-trust-ISP2]detect ftp
  64. [FW-interzone-trust-ISP2]detect qq
  65. [FW-interzone-trust-ISP2]detect msn
  66.  
  67. 五、建立nat地址池及nat转换策略
  68. [FW]nat address-group 1
  69. [FW-address-group-1]section 0 200.1.1.2 200.1.1.3
  70. [FW-address-group-1]nat address-group 2
  71. [FW-address-group-2]section 0 220.1.1.2 220.1.1.3
  72.  
  73. [FW]nat-policy
  74. [FW-policy-nat]rule name ISP1
  75. [FW-policy-nat-rule-ISP1]source-zone trust
  76. [FW-policy-nat-rule-ISP1]destination-zone ISP1
  77. [FW-policy-nat-rule-ISP1]action source-nat address-group 1
  78. [FW-policy-nat-rule-ISP1]
  79. [FW-policy-nat-rule-ISP1]rule name ISP2
  80. [FW-policy-nat-rule-ISP2]source-zone trust 
  81. [FW-policy-nat-rule-ISP2]destination-zone ISP2
  82. [FW-policy-nat-rule-ISP2]action source-nat address-group 2
  83.  
  84. 六、配置IP-Link、多条静态路由和两条缺省路由,实现网络的双出口特性和链路的可靠性。
  85. 配置链路可达性检查后,当发现该链路不可达时,则选择另一条链路可达的路由。
  86. # 配置IP-Link,并使用ICMP报文进行链路检测
  87. [FW]ip-link check enable 
  88. [FW]ip-link name ISP1
  89. [FW-iplink-ISP1]destination 200.1.1.4 mode icmp
  90. [FW-iplink-ISP1]ip-link name ISP2
  91. [FW-iplink-ISP2]destination 220.1.1.4 mode icmp
  92.  
  93. 七、配置缺省路由:
  94. [FW]ip route-s 0.0.0.0 0 g1/0/2 200.1.1.4 track ip-link  ISP1
  95. [FW]ip route-s 0.0.0.0 0 g1/0/3 220.1.1.4 track ip-link ISP2
  96.  
  97. 八、配置策略路由:
  98. [FW]policy-based-route
  99. [FW-policy-pbr]rule name ISP1
  100. [FW-policy-pbr-rule-ISP1]ingress-interface g1/0/0
  101. [FW-policy-pbr-rule-ISP1]source-address 10.1.1.1 mask 255.255.255.128
  102. [FW-policy-pbr-rule-ISP1]action pbr egress-interface g1/0/2 next-hop 200.1.1.4
  103.  
  104. [FW-policy-pbr-rule-ISP1]rule name ISP2
  105. [FW-policy-pbr-rule-ISP2]ingress-interface g1/0/0
  106. [FW-policy-pbr-rule-ISP2]source-address 10.1.1.128 mask 255.255.255.128
  107. [FW-policy-pbr-rule-ISP2]action pbr egress-interface g1/0/3 next-hop 220.1.1.4

总结:目前该拓扑只做了负载分担和冗余配置,未做其服务器外网访问配置及更细节的配置,用户网关配置在防火墙,一般情况下应配置在核心交换机上。ACL及vlan均未划分。有很多拓展的空间。路由策略大致相同,等学习到更多的路由协议再做更改,现在也是在一边学习,一边修改,一边实践中。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/400353
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号