组网图形

    

组网需求

通过配置根据链路优先级主备备份,FW可以在主接口链路故障时,使用备份接口链路转发流量,提高传输的可靠性。

  • 如图1所示,企业从ISP1租用2条链路,带宽均为50M,从ISP2租用1条链路,带宽为10M。
  • 企业希望优先使用ISP1的2条链路传输上网流量,只有当ISP1的2条链路均故障时,才使用ISP2链路。
  • 企业的税务申报业务优先使用ISP2链路,只有当ISP2链路故障时,才使用ISP1链路。

配置思路

由于企业希望优先使用ISP1链路,所以全局智能选路方式可以设置为根据链路优先级主备备份,指定2条ISP1链路的优先级均为2,ISP2链路的优先级为1。而税务申报业务需要优先使用ISP2链路,所以要针对税务申报应用配置策略路由智能选路,选路方式也是根据链路优先级主备备份,并指定ISP2链路的优先级为2,2条ISP1链路的优先级均为1。为了保证主接口链路故障时,FW可以使用备份接口链路转发流量,还需要配置健康检查功能。

  • 1.配置健康检查功能,分别为ISP1和ISP2链路配置健康检查。
  • 2.配置接口的IP地址、安全区域、网关地址和带宽,并在接口上应用健康检查。
  • 3.配置全局选路策略。配置智能选路方式为根据链路优先级主备备份,接口GE1/0/1和GE1/0/2加入一个接口组ifgrp1,并和接口GE1/0/7一起作为智能选路成员。分别为接口组ifgrp1和接口GE1/0/7设置优先级,接口GE1/0/1和GE1/0/2的优先级即等于接口组ifgrp1的优先级。
  • 4.配置策略路由智能选路。为税务申报应用新建一条策略路由,配置智能选路方式为根据链路优先级主备备份,分别为接口组ifgrp1和接口GE1/0/7设置优先级。
  • 5.配置基本的安全策略,允许企业内网用户访问外网资源。

说明:

本例着重介绍智能选路相关的配置,其余配置如NAT请根据实际组网进行配置。

操作步骤

  • 1.可选:开启健康检查功能,并为ISP1和ISP2链路分别新建一个健康检查。假设ISP1网络的目的地址网段为3.3.10.0/24,ISP2网络的目的地址网段为9.9.20.0/24。
<FW> system-view

[FW] healthcheck enable

[FW] healthcheck name isp1_health_01

[FW-healthcheck-isp1_health_01] destination 3.3.10.10 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10001

[FW-healthcheck-isp1_health_01] destination 3.3.10.11 interface GigabitEthernet 1/0/1 protocol tcp-simple destination-port 10002

[FW-healthcheck-isp1_health_01] quit

[FW] healthcheck name isp1_health_02

[FW-healthcheck-isp1_health_02] destination 3.3.10.12 interface GigabitEthernet 1/0/2 protocol tcp-simple destination-port 10001

[FW-healthcheck-isp1_health_02] destination 3.3.10.13 interface GigabitEthernet 1/0/2 protocol tcp-simple destination-port 10002

[FW-healthcheck-isp1_health_02] quit

[FW] healthcheck name isp2_health

[FW-healthcheck-isp2_health] destination 9.9.20.20 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10003

[FW-healthcheck-isp2_health] destination 9.9.20.21 interface GigabitEthernet 1/0/7 protocol tcp-simple destination-port 10004

[FW-healthcheck-isp2_health] quit
  • 2.配置接口的IP地址和网关地址,配置接口所在链路的带宽,并应用对应的健康检查。
[FW] interface GigabitEthernet 1/0/1

[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0

[FW-GigabitEthernet1/0/1] gateway 1.1.1.254

[FW-GigabitEthernet1/0/1] bandwidth ingress 50000

[FW-GigabitEthernet1/0/1] bandwidth egress 50000

[FW-GigabitEthernet1/0/1] healthcheck isp1_health_01

[FW-GigabitEthernet1/0/1] quit

[FW] interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2] ip address 1.1.2.2 255.255.255.0

[FW-GigabitEthernet1/0/2] gateway 1.1.2.254

[FW-GigabitEthernet1/0/2] bandwidth ingress 50000

[FW-GigabitEthernet1/0/2] bandwidth egress 50000

[FW-GigabitEthernet1/0/2] healthcheck isp1_health_02

[FW-GigabitEthernet1/0/2] quit

[FW] interface GigabitEthernet 1/0/3

[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0

[FW-GigabitEthernet1/0/3] quit

[FW] interface GigabitEthernet 1/0/7

[FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0

[FW-GigabitEthernet1/0/7] gateway 2.2.2.254

[FW-GigabitEthernet1/0/7] bandwidth ingress 10000

[FW-GigabitEthernet1/0/7] bandwidth egress 10000

[FW-GigabitEthernet1/0/7] healthcheck isp2_health

[FW-GigabitEthernet1/0/7] quit
  • 3.新建接口组ifgrp1,并将接口GE1/0/1和GE1/0/2加入接口组。
[FW] interface-group 1 name ifgrp1

[FW-interface-group-1] add interface GigabitEthernet 1/0/1

[FW-interface-group-1] add interface GigabitEthernet 1/0/2

[FW-interface-group-1] quit
  • 4.配置全局选路策略,流量根据链路优先级主备备份。
[FW] multi-interface

[FW-multi-inter] mode priority-of-userdefine

[FW-multi-inter] add interface-group ifgrp1 priority 2

[FW-multi-inter] add interface GigabitEthernet1/0/7

[FW-multi-inter] quit
  • 5.自定义税务申报应用,假设应用服务器的IP地址为8.8.8.8,端口为20001。
[FW] sa

[FW-sa] user-defined-application name UD_tax_system

[FW-sa-user-defined-app-UD_tax_system] rule name 1

[FW-sa-user-defined-app-UD_tax_system-rule-1] ip-address 8.8.8.8 32

[FW-sa-user-defined-app-UD_tax_system-rule-1] port 20001

[FW-sa-user-defined-app-UD_tax_system-rule-1] quit

[FW-sa-user-defined-app-UD_tax_system] quit

[FW-sa] quit
  • 6.为税务申报应用配置策略路由智能选路,流量根据链路优先级主备备份。
[FW] policy-based-route

[FW-policy-pbr] rule name tax_system

[FW-policy-pbr-rule-tax_system] source-zone trust

[FW-policy-pbr-rule-tax_system] application app UD_tax_system

[FW-policy-pbr-rule-tax_system] action pbr egress-interface multi-interface

[FW-policy-pbr-rule-tax_system-multi-inter] mode priority-of-userdefine

[FW-policy-pbr-rule-tax_system-multi-inter] add interface-group ifgrp1

[FW-policy-pbr-rule-tax_system-multi-inter] add interface GigabitEthernet1/0/7 priority 2

[FW-policy-pbr-rule-tax_system-multi-inter] quit

[FW-policy-pbr] quit
  • 7.将接口加入安全区域。
[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet 1/0/3

[FW-zone-trust] quit

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet 1/0/1

[FW-zone-untrust] add interface GigabitEthernet 1/0/2

[FW-zone-untrust] add interface GigabitEthernet 1/0/7

[FW-zone-untrust] quit
  • 8.配置Local到Untrust区域的安全策略,允许FW向目的设备发送相应的健康检查探测报文。
[FW] security-policy

[FW-policy-security] rule name policy_sec_local_untrust

[FW-policy-security-rule-policy_sec_local_untrust] source-zone local

[FW-policy-security-rule-policy_sec_local_untrust] destination-zone untrust

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.10 32

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.11 32

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.12 32

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 3.3.10.13 32

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.20 32

[FW-policy-security-rule-policy_sec_local_untrust] destination-address 9.9.20.21 32

[FW-policy-security-rule-policy_sec_local_untrust] service tcp

[FW-policy-security-rule-policy_sec_local_untrust] action permit

[FW-policy-security-rule-policy_sec_local_untrust] quit
  • 9.配置Trust到Untrust区域的安全策略,允许企业内网用户访问外网资源。假设内部用户网段为10.3.0.0/24。
[FW-policy-security] rule name policy_sec_trust_untrust

[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust

[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust

[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.3.0.0 24

[FW-policy-security-rule-policy_sec_trust_untrust] action permit

[FW-policy-security-rule-policy_sec_trust_untrust] quit

[FW-policy-security] quit

HUAWEI防火墙双出口根据链路优先级主备备份的更多相关文章

  1. HUAWEI防火墙双出口据链路带宽负载分担

    组网图形 组网需求 通过配置根据链路带宽负载分担,使流量按照带宽的比例分担到各链路上,保证带宽资源得到充分利用. 如图1所示,企业分别从ISP1和ISP2租用了一条链路,ISP1链路的带宽为100M, ...

  2. VRRP主备备份配置示例—实现网关冗余备份

    本示例的基本拓扑结构如图所示. HostA通过Switch 双线连接到RouterA 和RouterB .用户希望实现:正常情况下, 主机以RouterA 为默认网关接入Intemet; 而当Rout ...

  3. 防火墙双出口环境下私网用户通过NAPT访问Internet

    组网图形 组网需求 如图1所示,某企业在网络边界处部署了FW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求. 具体需求如下: 研发部门和市场 ...

  4. 企业网络拓扑VRRP主备功能实例(一)

    组网图形  VRRP主备备份简介 通常,同一网段内的所有主机上都存在一条相同的.以网关为下一跳的缺省路由.主机发往其他网段的报文将通过缺省路由发往网关,再由网关进行转发,从而实现主机与外部网络的通信. ...

  5. HA主备路由模式的原理 + HA和负载均衡的区别

       HA主备路由模式的原理 HA是High Availability缩写,即高可用性 ,可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断,保证网络服务的连续性和安全强度.目前,ha功能已经 ...

  6. 双链路接入(双出口)isp运营商(负载分担)

    USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击. 组网需求 某学校网络通过USG连接到Internet,校内组网情况如下: 校内用户主要分布 ...

  7. Ubuntu14.04双网卡主备配置

    近日有个需求,交换机有两台,做了堆叠,服务器双网卡,每个分别连到一台交换机上.这样就需要将服务器的网卡做成主备模式,以增加安全性,使得当其中一个交换机不通的时候网卡能够自动切换. 整体配置不难,网上也 ...

  8. haproxy+keepalived主备与双主模式配置

    Haproxy+Keepalived主备模式 主备节点设置 主备节点上各安装配置haproxy,配置内容且要相同 global log 127.0.0.1 local2 chroot /var/lib ...

  9. 使用heartbeat+monit实现主备双热备份系统

    一.使用背景 项目须要实现主备双热自己主动切换的功能,保证系统7*24小时不间断执行.现已有两台双网卡的IBM的server,为了不再添加成本採购独立外部存储设备和双机热备软件.採用了linux下开源 ...

随机推荐

  1. HDFS中的NameNode名节点——FSimage

    HDFS缓冲区 Fsimage 文件映射,Edits文件操作记录. 与ES的缓冲区不同,ES是维护数据的变更,而HDFS缓冲区是用于名结点维护文件系统元数据(目录树)的机制. 在HDFS集群中,Nam ...

  2. Vue学习笔记-Vue.js-2.X 学习(三)===>组件化高级

    (四) 组件化高级 1.插槽(slot)的基本使用 A:基本使用: <slot></slot> B:默认置:<slot><h1>中间可以放默认值< ...

  3. python进阶(12)闭包

    闭包 首先了解一下:如果在一个函数的内部定义了另一个函数,外部的我们叫他外函数,内部的我们叫他内函数. 在一个外函数中定义了一个内函数,内函数里运用了外函数的临时变量,并且外函数的返回值是内函数的引用 ...

  4. 重复代码的克星,高效工具 VSCode snippets 的使用指南

    为什么要用 snippets(代码段)? 不管你使用何种编程语言,在我们日常的编码工作中,都会存在有大量的重复代码编写,例如: 日志打印: console.log,log.info('...') 输出 ...

  5. 最新版大数据平台安装部署指南,HDP-2.6.5.0,ambari-2.6.2.0

    一.服务器环境配置 1 系统要求 名称 地址 操作系统 root密码 Master1 10.1.0.30 Centos 7.7 Root@bidsum1 Master2 10.1.0.105 Cent ...

  6. 基于Hi3559AV100的SVP(NNIE)开发整体流程

    在之后的hi3559AV100板载开发中,除了走通V4L2->VDEC->VPSS->VO(HDMI)输出,还有需要进行神经网络的开发学习,进行如face detection的开发等 ...

  7. MySQL基础知识:启动管理和账号管理

    整理.记录常用的MySQL基础知识:时间久了,很多就忘记了. 操作系统环境为MacOS Catalina, MySQL版本为: 8.0.13 MySQL Community Server - GPL. ...

  8. 【工具】 memtester内存压力测试工具

    作者:李春港 出处:https://www.cnblogs.com/lcgbk/p/14497838.html 目录 一.简介 二.Memtester安装 三.使用说明 四.测试示例 一.简介 mem ...

  9. js 判断 是否在当前页面

    1.使用visibilitychange 浏览器标签页被隐藏或显示的时候会触发visibilitychange事件. document.addEventListener("visibilit ...

  10. 正则表达式-Python实现

    1.概述: Regular Expression.缩写regex,regexp,R等: 正则表达式是文本处理极为重要的工具.用它可以对字符串按照某种规则进行检索,替换. Shell编程和高级编程语言中 ...