需求:
(1)技术部IP地址自动获取,网段为192.168.10.0/24,该部门访问Internet的报文正常情况下流入链路ISP1。
总经办IP地址自动获取,网段为192.168.20.0/24,该部门访问Internet的报文正常情况下流入链路ISP2。

(2)技术部和总经办所在链路互为备份,当某部门的链路(以下称主链路)出现故障时,流量切换到另一部门所在的链路(以下称备链路)上。

(3)开SYN Flood、UDP Flood和ICMP Flood攻击防范功能

interface GigabitEthernet0/0/3
ip address 192.168.10.1 255.255.255.0
ip policy-based-route 10
dhcp select interface
dhcp server gateway-list 192.168.10.1
dhcp server dns-list 114.114.114.114 10.50.18.10
dhcp server domain-name huawei.com

interface GigabitEthernet0/0/4
ip address 192.168.20.1 255.255.255.0
ip policy-based-route 20
dhcp select interface
dhcp server gateway-list 192.168.20.1
dhcp server dns-list 114.114.114.114 10.50.19.20
dhcp server domain-name huawei.com

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/3
add interface GigabitEthernet0/0/4

firewall zone name isp1
set priority 15
add interface GigabitEthernet0/0/1

firewall zone name isp2
set priority 20
add interface GigabitEthernet0/0/2

firewall packet-filter default permit interzone trust isp1 direction outbound
nat-policy interzone trust isp1 outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/1
firewall packet-filter default permit interzone trust isp2 direction outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/2

acl number 2001
rule 5 permit source 192.168.10.0 0.0.0.255
rule 10 deny

acl number 2002
rule 5 permit source 192.168.20.0 0.0.0.255
rule 10 deny

policy-based-route 10 permit node 5
if-match acl 2001
apply ip-address next-hop 200.1.12.2
# 配置策略10,使源地址为192.168.10.0/24的报文被发到下一跳200.1.12.2

policy-based-route 20 permit node 5
if-match acl 2002
apply ip-address next-hop 100.1.12.2
# 配置策略20,使源地址为192.168.20.0/24的报文被发到下一跳100.1.12.2

interface GigabitEthernet0/0/3
ip policy-based-route 10
# 在接口GigabitEthernet 0/0/3上应用定义的策略10,处理此接口接收的报文。

interface GigabitEthernet0/0/4
ip policy-based-route 20
# 在接口GigabitEthernet 0/0/4上应用定义的策略20,处理此接口接收的报文。

ip-link check enable
# 创建IP-Link 1,用于侦测USG到目的地址为200.1.12.2之间的链路可达性。
ip-link 1 destination 200.1.12.2 mode icmp
# 创建IP-Link 2,用于侦测USG到目的地址为100.1.12.2之间的链路可达性。
ip-link 2 destination 100.1.12.2 mode icmp

ip route-static 0.0.0.0 0.0.0.0 200.1.12.2 track ip-link 1
# 配置缺省路由,指定下一跳200.1.12.2,并与IP-Link 1关联
ip route-static 0.0.0.0 0.0.0.0 100.1.12.2 track ip-link 2
# 配置缺省路由,指定下一跳100.1.12.2,并与IP-Link 2关联

# 开SYN Flood、UDP Flood和ICMP Flood攻击防范功能,并限制每条会话允许通过的ICMP报文最大速率为5包/秒。
[USG] firewall defend syn-flood enable
[USG] firewall defend udp-flood enable
[USG] firewall defend icmp-flood enable
[USG] firewall defend icmp-flood base-session max-rate 5

华为防火墙USG5500-企业双ISP出口的更多相关文章

  1. 基于防火墙的VRRP技术--华为防火墙双机热备--VGMP

    目录 主备备份双机热备配置 负载分担双机热备配置 为了解决多个VRRP备份组状态不一致的问题,华为防火墙引入VGMP(VRRP Group Management Protocol)来实现对VRRP备份 ...

  2. 华为防火墙USG6000V使用总结

    问题1.ge 1/0/0 的ip地址 20.0.0.2 ,从直连的对端20.0.0.1 无法ping. 但是从防火墙ping对端却是可以ping通? 原因: 华为新一代的防火墙,默认情况下,只有0口是 ...

  3. 杂记:防火墙、企业微信登陆、RestFrameWork

    192.168.0.250重启后查看端口正常,外部ping得通,但是访问192.168.0.250进不了Nginx欢迎界面 netstat -tlunp 关闭了防火墙就行了,原来80端口都要防火墙. ...

  4. 华为USG6000V防火墙简单配置案例

    如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1 ...

  5. 此文记录了我从研二下学期到研三上学期的找工历程,包括百度、腾讯、网易、移动、电信、华为、中兴、IBM八家企业的面试总结和心得--转

    感谢电子通讯工程的研究生学长为大家整理了这么全面的求职总结,希望进入通信公司和互联网公司做非技术类岗位的学弟学妹们千万不要错过哦~ ---------------------------原文分割线-- ...

  6. oxidized备份华为HRP防火墙配置失败问题

    Oxidized备份华为防火墙配置Last Status红色,备份失败,查看oxidized日志(默认是~/.config/oxidized/logs/oxidized.log)能看到报错日志: WA ...

  7. HCIE-SEC笔记-第四节-网络入侵和防火墙基础

    等级保护: 网络安全:防火墙.VPN.准入控制 渗透测试: 防火墙:区域隔离和访问控制 数字与研究公司:用数据说话 IDC:国际数据公司 Gartner:著名的数字与咨询公司 弗雷斯特: 数世咨询: ...

  8. 华为HCNA教程(笔记)

    第一章 VRP操作基础 1VRP基础 MiniUsb串口连接交换机的方法 2eNSP入门 3命令行基础(1) eNSP中路由开启后(记住port)---第三方软件连接该路由方法:telnet 127. ...

  9. “DNAT+云链接+CDN”加速方案,助力出海企业落地生长

    摘要:“DNAT+云链接+CDN”加速方案,真正释放技术红利,真诚助力企业出海. 随着国内互联网行业的人口红利逐渐消失,本土互联网市场竞争不断加剧,加之国家多项“走出去”政策的推动,越来越多的中国互联 ...

随机推荐

  1. Matlab绘图基础——绘制等高线图

    % 等高线矩阵的获取 C = contourc(peaks(20),3);              % 获取3个等级的等高线矩阵 % 等高线图形的绘制 contour(peaks(20),10);c ...

  2. phpcms v9 列表页直接下载功能代码实现

    {pc:content action="lists" catid="$catid" num="3" order="id DESC& ...

  3. [日常] Codeforces Round #440 Div.2 大力翻车实况

    上次打了一发ABC然后大力翻车...上午考试又停电+Unrated令人非常滑稽...下午终于到了CF比赛... 赛前大力安利了一发然后拉了老白/ $ljm$ / $wcx$ 一起打, 然后搞了个 TI ...

  4. JavaWeb学习笔记二 Http协议和Tomcat服务器

    Http协议 HTTP,超文本传输协议(HyperText Transfer Protocol),是互联网上应用最为广泛的一种网络协议.所有的WWW文件都必须遵守这个标准.设计HTTP最初的目的是为 ...

  5. fcode-页面九宫格自动锁屏jquery插件

    fcode.js 自动锁屏插件 fcode.js是什么? fcode.js是一款web页面九宫格自动锁屏js插件,依赖于jquery, 会在设置的范围里,判断用户有无操作,然后执行锁屏的功能. 就一个 ...

  6. 【R语言系列】R语言初识及安装

    一.R是什么 R语言是由新西兰奥克兰大学的Ross Ihaka和Robert Gentleman两个人共同发明. 其词法和语法分别源自Schema和S语言. R定义:一个能够自由幼小的用于统计计算和绘 ...

  7. hibernate框架学习笔记6:事务

    MySQL的事务.JDBC事务操作: 详细见这篇文章:比较详细 http://www.cnblogs.com/xuyiqing/p/8430214.html 如何在hibernate中配置隔离级别: ...

  8. beta冲刺总结-咸鱼

    前言:emmmmmmm冲刺总结应该可以吐槽了?我发誓后面几篇冲刺我是很努力用正经语言描述了!!!!! 心得:emmmmm,说真的--到beta冲刺的时候才是真正感受到了组队的存在,基本上隔三差五就约一 ...

  9. 关于C语言的第0次作业

    1.你认为大学的学习生活.同学关系.师生关系应该是怎样的?请一个个展开描述. 我认为的大学学习生活是充实的,丰富多彩的,与高中快节奏.繁忙的生活有所不同.在上了大学我们都成熟了很多,懂得了包容与忍让, ...

  10. 2017-2018-1 20155205 实现mypwd

    2017-2018-1 20155205 实现mypwd 课堂总结 根据上课对ls -l功能的实现,我总结了实现一个linux命令需要的步骤: 使用man -k xx | grep xx查看帮助文档, ...