devbox
羊村懒王
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

华为配置ISP选路实现报文按运营商转发

作者:羊村懒王 | 2024-03-15 16:37:14

华为配置ISP选路实现报文按运营商转发

CLI举例:配置ISP选路实现报文按运营商转发

介绍通过配置ISP选路实现报文按运营商转发的配置举例。

组网需求

图1所示,FW作为安全网关部署在网络出口,企业分别从ISP1和ISP2租用一条链路。

  • 企业希望访问Server 1的报文从ISP1链路转发,访问Server 2的报文从ISP2链路转发。

  • 当其中一条链路故障时,后续流量可以通过另一条链路转发,保证传输的可靠性。

图1 ISP选路组网图

配置思路

  1. 配置健康检查功能,分别为ISP1和ISP2链路配置健康检查。

  2. 配置接口的IP地址、安全区域和网关地址,并在接口上应用健康检查。

  3. 制作isp1.csv和isp2.csv两个ISP地址文件,将Server 1的IP地址3.3.3.3写入isp1.csv文件中;将Server 2的IP地址9.9.9.9写入isp2.csv文件中,并上传到FW上。

  4. 配置ISP选路功能,使访问Server 1的报文从ISP1链路转发,访问Server 2的报文从ISP2链路转发。

  5. 配置基本的安全策略,允许企业内部用户访问外网资源。

本例着重介绍ISP选路相关的配置,其余配置如NAT请根据实际组网进行配置。

操作步骤
  1. 开启健康检查功能,并为ISP1和ISP2链路分别新建一个健康检查。 

    1. <FW> system-view
    2. [FW] healthcheck enable
    3. [FW] healthcheck name isp1_health
    4. [FW-healthcheck-isp1_health] destination 3.3.10.10 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10001
    5. [FW-healthcheck-isp1_health] destination 3.3.10.11 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10002
    6. [FW-healthcheck-isp1_health] quit
    7. [FW] healthcheck name isp2_health
    8. [FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10003
    9. [FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10004
    10. [FW-healthcheck-isp2_health] quit

    此处假设3.3.10.10、3.3.10.11和9.9.20.20、9.9.20.21分别为ISP1和ISP2网络中已知的设备地址。

    如果健康检查配置完后,状态一直为down,请检查健康检查的配置。

    对于V500R001C80之前的版本,需要在FW上配置对应的安全策略,允许FW向目的设备发送健康检查探测报文。对于V500R001C80及之后的版本,健康检查的探测报文不受安全策略控制,默认放行,无需配置相应安全策略。

  2. 配置接口的IP地址和网关地址,并应用对应的健康检查。 

    1. [FW] interface GigabitEthernet 1/0/1
    2. [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
    3. [FW-GigabitEthernet1/0/1] gateway 1.1.1.254
    4. [FW-GigabitEthernet1/0/1] healthcheck isp1_health
    5. [FW-GigabitEthernet1/0/1] quit
    6. [FW] interface GigabitEthernet 1/0/3
    7. [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
    8. [FW-GigabitEthernet1/0/3] quit
    9. [FW] interface GigabitEthernet 1/0/7
    10. [FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0
    11. [FW-GigabitEthernet1/0/7] gateway 2.2.2.254
    12. [FW-GigabitEthernet1/0/7] healthcheck isp2_health
    13. [FW-GigabitEthernet1/0/7] quit

  3. 上传ISP地址文件到FW,可以使用SFTP方式进行传输,导入的ISP地址文件固定存放在根目录下名称为isp的文件夹内,具体步骤略。
  4. 为ISP1和ISP2分别创建运营商名称isp1_ifgrp和isp2_ifgrp,并关联对应的ISP地址文件。 

    1. [FW] isp name isp1_ifgrp set filename isp1.csv
    2. [FW] isp name isp2_ifgrp set filename isp2.csv

  5. 为ISP1和ISP2分别新建一个ISP接口组,并将接口加入对应的ISP接口组,缺省下发对应的ISP路由。 
    1. [FW] interface-group 1 isp isp1_ifgrp
    2. [FW-interface-isp-group-1] add interface GigabitEthernet 1/0/1
    3. [FW-interface-isp-group-1] quit
    4. [FW] interface-group 2 isp isp2_ifgrp
    5. [FW-interface-isp-group-2] add interface GigabitEthernet 1/0/7
    6. [FW-interface-isp-group-2] quit
     
     
  6. 将接口加入安全区域。 
     
    1. [FW] firewall zone trust
    2. [FW-zone-trust] add interface GigabitEthernet 1/0/3
    3. [FW-zone-trust] quit
    4. [FW] firewall zone untrust
    5. [FW-zone-untrust] add interface GigabitEthernet 1/0/1
    6. [FW-zone-untrust] add interface GigabitEthernet 1/0/7
    7. [FW-zone-untrust] quit
     
     
  7. 配置Local到Untrust区域的安全策略,允许FW向目的设备发送相应的健康检查探测报文。 
     
    对于V500R001C80之前的版本,需要在FW上配置对应的安全策略,允许FW向目的设备发送健康检查探测报文。对于V500R001C80及之后的版本,健康检查的探测报文不受安全策略控制,默认放行,无需配置相应安全策略。
     
    1. [FW] security-policy
    2. [FW-policy-security] rule name policy_sec_local_untrust
    3. [FW-policy-security-rule-policy_sec_local_untrust] source-zone local
    4. [FW-policy-security-rule-policy_sec_local_untrust] destination-zone untrust
    5. [FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.10 32
    6. [FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.11 32
    7. [FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.20 32
    8. [FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.21 32
    9. [FW-policy-security-rule-policy_sec_local_untrust] service tcp
    10. [FW-policy-security-rule-policy_sec_local_untrust] action permit
    11. [FW-policy-security-rule-policy_sec_local_untrust] quit
     
     
  8. 配置Trust到Untrust区域的安全策略,允许企业内网用户访问外网资源。假设内部用户网段为10.3.0.0/24。 
     
    1. [FW-policy-security] rule name policy_sec_trust_untrust
    2. [FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
    3. [FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
    4. [FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.3.0.0 24
    5. [FW-policy-security-rule-policy_sec_trust_untrust] action permit
    6. [FW-policy-security-rule-policy_sec_trust_untrust] quit
    7. [FW-policy-security] quit
     
     
 

 

配置脚本
 

  1. #
  2.  isp name isp1_ifgrp set filename isp1.csv
  3.  isp name isp2_ifgrp set filename isp2.csv
  4. #
  5. healthcheck enable
  6. healthcheck name isp1_health
  7.  destination 3.3.10.10 interface GigabitEthernet1/0/1 protocol tcp-simple destination-port 10001
  8.  destination 3.3.10.11 interface GigabitEthernet1/0/1 protocol tcp-simple destination-port 10002
  9. healthcheck name isp2_health
  10.  destination 9.9.20.20 interface GigabitEthernet1/0/7 protocol tcp-simple destination-port 10003
  11.  destination 9.9.20.21 interface GigabitEthernet1/0/7 protocol tcp-simple destination-port 10004
  12. #
  13. interface GigabitEthernet1/0/1
  14.  ip address 1.1.1.1 255.255.255.0
  15.  healthcheck isp1_health
  16.  gateway 1.1.1.254
  17. #
  18. interface GigabitEthernet1/0/3
  19.  ip address 10.3.0.1 255.255.255.0
  20. #
  21. interface GigabitEthernet1/0/7
  22.  ip address 2.2.2.2 255.255.255.0
  23.  healthcheck isp2_health
  24.  gateway 2.2.2.254
  25. #
  26.  firewall zone trust
  27.   set priority 85
  28.   add interface GigabitEthernet1/0/3
  29. #
  30. firewall zone untrust
  31.  set priority 5
  32.  add interface GigabitEthernet1/0/1
  33.  add interface GigabitEthernet1/0/7
  34. #
  35. security-policy
  36.  rule name policy_sec_local_untrust
  37.   source-zone local
  38.   destination-zone untrust
  39.   destination-address 3.3.10.10 mask 255.255.255.255
  40.   destination-address 3.3.10.11 mask 255.255.255.255
  41.   destination-address 9.9.20.20 mask 255.255.255.255
  42.   destination-address 9.9.20.21 mask 255.255.255.255
  43.   service tcp 
  44.   action permit      
  45.  rule name policy_sec_trust_untrust
  46.   source-zone trust
  47.   destination-zone untrust
  48.   source-address 10.3.0.0 mask 255.255.255.0
  49.   action permit
  50. #
  51. interface-group 1 isp isp1_ifgrp
  52.  add interface GigabitEthernet1/0/1
  53. #
  54. interface-group 2 isp isp2_ifgrp
  55.  add interface GigabitEthernet1/0/7
  56. #
  57. return
 


                

        
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/羊村懒王/article/detail/242929
推荐阅读
相关标签
Copyright ©  2003-2013 www.wpsshop.cn  版权所有,并保留所有权利。

  
闽ICP备14008679号