华为双链路出口调试步骤.doc

出口网关双链路接入不同运营商举例二USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，并保护内网不受网络攻击。组网需求某学校网络通过USG连接到Internet，校内组网情况如下： 校内用户主要分布在教学楼和宿舍区，通过汇聚交换机连接到USG。 学校分别通过两个不同运营商（ISP1和ISP2）连接到Internet，两个运营商分别为该校分配了3个IP地址。ISP1分配的IP地址是，ISP2分配的IP地址是，掩码均为24位。该学校网络需要实现以下需求： 校内用户能够通过两个运营商访问Internet，且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。 当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免网络长时间中断。 保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。 图1 出口网关双链路接入不同运营商举例二组网图项目数据说明（1）接口号：GigabitEthernet 0/0/0IP地址：/16安全区域：Trust接口（1）是连接内网汇聚交换机的接口。校内用户分配到网段为/16的私网地址和DNS服务器地址/24，部署在Trust区域。（2）接口号：GigabitEthernet 0/0/2IP地址：/24安全区域：ISP1安全优先级：15接口（2）是连接ISP1的接口，去往ISP1所属网段的数据通过接口（2）转发。（3）接口号：GigabitEthernet 5/0/0IP地址：/24安全区域：ISP2安全优先级：20接口（3）是连接ISP2的接口。去往ISP2所属网段的数据通过接口（3）转发。（4）接口号：GigabitEthernet 0/0/0IP地址：0/24接口（4）是ISP1端与USG相连的接口。（5）接口号：GigabitEthernet 0/0/0IP地址：0/24接口（5）是ISP2端与USG相连的接口。ISP1分配给学校的IP地址，掩码24位。其中用作USG的出接口地址，和用作TrustISP1域间的NAT地址池1的地址。ISP2分配给学校的IP地址，掩码24位。其中用作USG的出接口地址，和用作TrustISP2域间的NAT地址池2的地址。配置思路 为了实现校园网用户使用有限公网IP地址接入Internet，需要配置NAPT方式的NAT，借助端口将多个私网IP地址转换为有限的公网IP地址。由于校园网连接两个运营商，因此需要分别进行地址转换，将私网地址转换为公网地址。即创建两个安全区域ISP1和ISP2（安全优先级低于DMZ区域），并分别在TrustISP1域间、TrustISP2域间配置NAT outbound。 为了实现去往不同运营商的流量由对应接口转发，需要收集ISP1和ISP2所属网段的信息，并配置到这些网段的静态路由。使去往ISP1的流量通过连接ISP1的接口转发，去往ISP2的流量通过连接ISP2的接口转发。为了提高链路可靠性，避免业务中断，需要配置两条缺省路由。当报文无法匹配静态路由时，通过缺省路由发送给下一跳。 在USG上启用攻击防范功能，保护校园网内部网络。操作步骤1. 配置USG各接口的IP地址并将接口加入安全区域。 # 配置USG各接口的IP地址。 system-viewUSG interface GigabitEthernet 0/0/0USG-GigabitEthernet0/0/0 ip address 16USG-GigabitEthernet0/0/0 quitUSG interface GigabitEthernet 0/0/2USG-GigabitEthernet0/0/2 ip address 24USG-GigabitEthernet0/0/2 quitUSG interface GigabitEthernet 5/0/0USG-GigabitEthernet5/0/0 ip address 24USG-GigabitEthernet5/0/0 quit# 将GigabitEthernet 0/0/0接口加入Trust安全区域USG firewall zone trustUSG-zone-trust add interface GigabitEthernet 0/0/0USG-zone-trust quit# 创建安全区域ISP1，并将GigabitEthernet 0/0/2接口加入ISP1。USG firewall zone name isp1USG-zone-isp1 set priority 15USG-zone-isp1 add interface GigabitEthernet 0/0/2USG-zone-isp1 quit# 创建安全区域ISP2，并将GigabitEthernet 5/0/0接口加入ISP2。USG firewall zone name isp2USG-zone-isp2 set priority 20USG-zone-isp2 add interface GigabitEthernet 5/0/0USG-zone-isp2 quit2. 配置域间包过滤及ASPF功能，对校内外数据流进行访问控制。 # 配置TrustISP1的域间包过滤，允许校内用户访问ISP1。USG policy interzone trust isp1 outboundUSG-policy-interzone-trust-isp1-outbound policy 1USG-policy-interzone-trust-isp1-outbound-1 policy source 55USG-policy-interzone-trust-isp1-outbound-1 action permitUSG-policy-interzone-trust-isp1-outbound-1 quitUSG-policy-interzone-trust-isp1-outbound quit# 配置TrustISP2的域间包过滤，允许校内用户访问ISP2。USG policy interzone trust isp2 outboundUSG-policy-interzone-trust-isp2-outbound policy 1USG-policy-interzone-trust-isp2-outbound-1 policy source 55USG-policy-interzone-trust-isp2-outbound-1 action permitUSG-policy-interzone-trust-isp2-outbound-1 quitUSG-policy-interzone-trust-isp2-outbound quit# 在域间开启ASPF功能，防止多通道协议无法建立连接。USG firewall interzone trust isp1USG-interzone-trust-isp1 detect ftpUSG-interzone-trust-isp1 detect qqUSG-interzone-trust-isp1 detect msnUSG-interzone-trust-isp1 quitUSG firewall interzone trust isp2USG-interzone-trust-isp2 detect ftpUSG-interzone-trust-isp2 detect qqUSG-interzone-trust-isp2 detect msnUSG-interzone-trust-isp2 quit3. 配置NAT outbound，使内网用户通过转换后的公网IP地址访问Internet。 # 配置应用于TrustISP1域间的NAT地址池1。地址池1包括ISP1提供的两个IP地址和。USG nat address-group 1 # 配置应用于TrustISP2域间的NAT地址池2。地址池2包括ISP2提供的两个IP地址和。USG nat address-group 2 # 在TrustISP1域间配置NAT outbound，将校内用户的私网IP地址转换为ISP1提供的公网IP地址。USG nat-policy interzone trust isp1 outboundUSG-nat-policy-interzone-trust-isp1-outbound policy 1USG-nat-policy-interzone-trust-isp1-outbound-1 policy source 55USG-nat-policy-interzone-trust-isp1-outbound-1 action source-natUSG-nat-policy-interzone-trust-isp1-outbound-1 address-group 1USG-nat-policy-interzone-trust-isp1-outbound-1 quitUSG-nat-policy-interzone-trust-isp1-outbound quit# 在TrustISP2域间配置NAT outbound，将校内用户的私网IP地址转换为ISP2提供的公网IP地址。USG nat-policy interzone trust isp2 outboundUSG-nat-policy-interzone-trust-isp2-outbound policy 1USG-nat-policy-interzone-trust-isp2-outbound-1 policy source 55USG-nat-policy-interzone-trust-isp2-outbound-1 action source-natUSG-nat-policy-interzone-trust-isp2-outbound-1 address-group 2USG-nat-policy-interzone-trust-isp2-outbound-1 quitUSG-nat-policy-interzone-trust-isp2-outbound quit4. 配置多条静态路由和两条缺省路由，实现网络的双出口特性和链路的可靠性。 # 为特定目的IP地址的报文指定出接口，目的地址为IPS1的指定出接口为GigabitEthernet 0/0/2、目的地址为ISP2的指定出接口为GigabitEthernet 5/0/0。注意： 实际场景中，可能需指定多条静态路由，为特定目的IP地址配置明细路由。因此需要咨询运营商获取ISP所属网段信息。本例中仅给出了四条静态路由的配置。USG ip route-static 24 GigabitEthernet 0/0/2 0USG ip route-static 24 GigabitEthernet 0/0/2 0USG ip route-static 24 GigabitEthernet 5/0/0 0USG ip route-static 24 GigabitEthernet 5/0/0 0# 配置两条缺省路由，当报文无法匹配静态路由时，通过缺省路由发送给下一跳。USG ip route-static GigabitEthernet 0/0/2 0USG ip route-static GigabitEthernet 5/0/0 05. 配置攻击防范功能，保护校园网络。 注意： 请根据网络实际情况开启攻击防范功能和调整报文速率阈值，本例中配置的攻击防范功能仅供参考。# 开SYN Flood、UDP Flood和ICMP Flood攻击防范功能，并限制每条会话允许通过的ICMP报文最大速率为5包/秒。USG firewall defend syn-flood enableUSG firewall defend udp-flood enableUSG firewall defend icmp-flood enableUSG firewall defend icmp-flood base-session max-rate 5结果验证1. 执行命令display nat all，可以看到配置的NAT地址池和内部服务器信息。2. USG display nat all3.4. NAT address-group information: 5. number : 1 name : - 6. startaddr : endaddr : 7. reference : 0 vrrp : - 8. vpninstance : public 9. 10. number : 2 name : - 11. startaddr : endaddr : 12. reference : 1 vrrp : - 13. vpninstance : public 14. 15. Total 2 address-groups 16. 17. Server in private network information: Total 0 NAT servers 18. 通过在网络中操作，检查业务是否能够正常实现。# 在校园网内的一台主机上，访问ISP1所属网段的一台服务器（IP地址为），通过执行命令display firewall session table，可以看到私网IP地址转换成了ISP1的公网IP地址。USG display firewall session table Current Total Sessions : 1 http VPN: public - public :1674:12889-:80 配置脚本USG配置脚本：# nat address-group 1 nat address-group 2 # firewall defend icmp-flood enable firewall defend udp-flood enable firewall defend syn-flood enable firewall defend icmp-flood base-session max-rate 5 # interface GigabitEthernet0/0/0 ip address # interface GigabitEthernet0/0/2 ip address # interface GigabitEthernet5/0/0 ip address # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 # firewall zone untrust set priority 5 # firewall zone dmz set priority 50 # firewall zone name isp1 set priority 15 add interface GigabitEthernet0/0/2 # firewall zone name isp2 set priority 20 add interface GigabitEthernet5/0/0 # firewall interzone trust isp1 detect ftp detect qq detect msn # firewall interzone trust isp2 detect ftp detect qq detect msn # firewall interzone dmz isp1 detect ftp # firewall interzone dmz isp2 detect ftp # ip route-static GigabitEther