换一换

冰豆网 > 资源分类 > DOCX文档下载

预览

华为双链路出口调试步骤.docx

资源ID：28750572 资源大小：35.39KB 全文页数：11页
资源格式： DOCX 下载积分：10金币

快捷下载

账号登录下载

微信登录下载

三方登录下载：

微信扫一扫登录

下载资源需要10金币

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
支付方式：
验证码：	换一换

加入VIP,免费下载

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

友情提示

1、下载资料失败解决办法

2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。

3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。

4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

5、试题试卷类文档，如果标题没有明确说明有答案则都视为没有答案，请知晓。

华为双链路出口调试步骤.docx

1、华为双链路出口调试步骤出口网关双链路接入不同运营商举例二USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，并保护内网不受网络攻击。组网需求某学校网络通过USG连接到Internet，校内组网情况如下：校内用户主要分布在教学楼和宿舍区，通过汇聚交换机连接到USG。学校分别通过两个不同运营商（ISP1和ISP2）连接到Internet，两个运营商分别为该校分配了3个IP地址。ISP1分配的IP地址是，ISP2分配的IP地址是，掩码均为24位。该学校网络需要实现以下需求：校内用户能够通过两个运营商访问Internet，且去往不同运营商的流量由USG上连接该运营

2、商的对应的接口转发。当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免网络长时间中断。保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。图1 出口网关双链路接入不同运营商举例二组网图项目数据说明（1）接口号：GigabitEthernet 0/0/0IP地址：10.1.1.1/16安全区域：Trust接口（1）是连接内网汇聚交换机的接口。校内用户分配到网段为10.1.0.0/16的私网地址和DNS服务器地址，部署在Trust区域。（2）接口号：GigabitEthernet 0/0/2IP地址：安全区域：ISP1安全优先级：15接口（2）是连接

3、ISP1的接口，去往ISP1所属网段的数据通过接口（2）转发。（3）接口号：GigabitEthernet 5/0/0IP地址：安全区域：ISP2安全优先级：20接口（3）是连接ISP2的接口。去往ISP2所属网段的数据通过接口（3）转发。（4）接口号：GigabitEthernet 0/0/0IP地址：接口（4）是ISP1端与USG相连的接口。（5）接口号：GigabitEthernet 0/0/0IP地址：接口（5）是ISP2端与USG相连的接口。ISP1分配给学校的IP地址，掩码24位。其中用作USG的出接口地址，和用作TrustISP1域间的NAT地址池1的地址。ISP2分配给学校的I

4、P地址，掩码24位。其中用作USG的出接口地址，和用作TrustISP2域间的NAT地址池2的地址。配置思路为了实现校园网用户使用有限公网IP地址接入Internet，需要配置NAPT方式的NAT，借助端口将多个私网IP地址转换为有限的公网IP地址。由于校园网连接两个运营商，因此需要分别进行地址转换，将私网地址转换为公网地址。即创建两个安全区域ISP1和ISP2（安全优先级低于DMZ区域），并分别在TrustISP1域间、TrustISP2域间配置NAT outbound。为了实现去往不同运营商的流量由对应接口转发，需要收集ISP1和ISP2所属网段的信息，并配置到这些网段的静态路由。使去

5、往ISP1的流量通过连接ISP1的接口转发，去往ISP2的流量通过连接ISP2的接口转发。为了提高链路可靠性，避免业务中断，需要配置两条缺省路由。当报文无法匹配静态路由时，通过缺省路由发送给下一跳。在USG上启用攻击防范功能，保护校园网内部网络。操作步骤1. 配置USG各接口的IP地址并将接口加入安全区域。 # 配置USG各接口的IP地址。 system-viewUSG interface GigabitEthernet 0/0/0USG-GigabitEthernet0/0/0 ip address 10.1.1.1 16USG-GigabitEthernet0/0/0 quitUSG i

6、nterface GigabitEthernet 0/0/2USG-GigabitEthernet0/0/2 ip address 24USG-GigabitEthernet0/0/2 quitUSG interface GigabitEthernet 5/0/0USG-GigabitEthernet5/0/0 ip address 24USG-GigabitEthernet5/0/0 quit# 将GigabitEthernet 0/0/0接口加入Trust安全区域USG firewall zone trustUSG-zone-trust add interface GigabitEther

7、net 0/0/0USG-zone-trust quit# 创建安全区域ISP1，并将GigabitEthernet 0/0/2接口加入ISP1。USG firewall zone name isp1USG-zone-isp1 set priority 15USG-zone-isp1 add interface GigabitEthernet 0/0/2USG-zone-isp1 quit# 创建安全区域ISP2，并将GigabitEthernet 5/0/0接口加入ISP2。USG firewall zone name isp2USG-zone-isp2 set priority 20USG

8、-zone-isp2 add interface GigabitEthernet 5/0/0USG-zone-isp2 quit2. 配置域间包过滤及ASPF功能，对校内外数据流进行访问控制。 # 配置TrustISP1的域间包过滤，允许校内用户访问ISP1。USG policy interzone trust isp1 outboundUSG-policy-interzone-trust-isp1-outbound policy 1USG-policy-interzone-trust-isp1-outbound-1 policy source 10.1.0.0 action permitUS

9、G-policy-interzone-trust-isp1-outbound-1 quitUSG-policy-interzone-trust-isp1-outbound quit# 配置TrustISP2的域间包过滤，允许校内用户访问ISP2。USG policy interzone trust isp2 outboundUSG-policy-interzone-trust-isp2-outbound policy 1USG-policy-interzone-trust-isp2-outbound-1 policy source 10.1.0.0 action permitUSG-polic

10、y-interzone-trust-isp2-outbound-1 quitUSG-policy-interzone-trust-isp2-outbound quit# 在域间开启ASPF功能，防止多通道协议无法建立连接。USG firewall interzone trust isp1USG-interzone-trust-isp1 detect ftpUSG-interzone-trust-isp1 detect qqUSG-interzone-trust-isp1 detect msnUSG-interzone-trust-isp1 quitUSG firewall interzone

11、trust isp2USG-interzone-trust-isp2 detect ftpUSG-interzone-trust-isp2 detect qqUSG-interzone-trust-isp2 detect msnUSG-interzone-trust-isp2 quit3. 配置NAT outbound，使内网用户通过转换后的公网IP地址访问Internet。 # 配置应用于TrustISP1域间的NAT地址池1。地址池1包括ISP1提供的两个IP地址和。USG nat address-group 1 配置应用于TrustISP2域间的NAT地址池2。地址池2包括ISP2提供的

12、两个IP地址和。USG nat address-group 2 在TrustISP1域间配置NAT outbound，将校内用户的私网IP地址转换为ISP1提供的公网IP地址。USG nat-policy interzone trust isp1 outboundUSG-nat-policy-interzone-trust-isp1-outbound policy 1USG-nat-policy-interzone-trust-isp1-outbound-1 policy source 10.1.0.0 action source-natUSG-nat-policy-interzone-tru

13、st-isp1-outbound-1 address-group 1USG-nat-policy-interzone-trust-isp1-outbound-1 quitUSG-nat-policy-interzone-trust-isp1-outbound quit# 在TrustISP2域间配置NAT outbound，将校内用户的私网IP地址转换为ISP2提供的公网IP地址。USG nat-policy interzone trust isp2 outboundUSG-nat-policy-interzone-trust-isp2-outbound policy 1USG-nat-pol

14、icy-interzone-trust-isp2-outbound-1 policy source 10.1.0.0 action source-natUSG-nat-policy-interzone-trust-isp2-outbound-1 address-group 2USG-nat-policy-interzone-trust-isp2-outbound-1 quitUSG-nat-policy-interzone-trust-isp2-outbound quit4. 配置多条静态路由和两条缺省路由，实现网络的特性和链路的可靠性。 # 为特定目的IP地址的报文指定出接口，目的地址为IP

15、S1的指定出接口为GigabitEthernet 0/0/2、目的地址为ISP2的指定出接口为GigabitEthernet 5/0/0。注意：实际场景中，可能需指定多条静态路由，为特定目的IP地址配置明细路由。因此需要咨询运营商获取ISP所属网段信息。本例中仅给出了四条静态路由的配置。USG ip route-static 24 GigabitEthernet 0/0/2 ip route-static 24 GigabitEthernet 0/0/2 ip route-static 24 GigabitEthernet 5/0/0 ip route-static 24 GigabitEt

16、hernet 5/0/0 配置两条缺省路由，当报文无法匹配静态路由时，通过缺省路由发送给下一跳。5. USG ip route-static 0.0.0.0 GigabitEthernet 0/0/2 ip route-static 0.0.0.0 GigabitEthernet 5/0/0 配置攻击防范功能，保护校园网络。注意：请根据网络实际情况开启攻击防范功能和调整报文速率阈值，本例中配置的攻击防范功能仅供参考。# 开SYN Flood、UDP Flood和ICMP Flood攻击防范功能，并限制每条会话允许通过的ICMP报文最大速率为5包/秒。USG firewall defend

17、syn-flood enableUSG firewall defend udp-flood enableUSG firewall defend icmp-flood enableUSG firewall defend icmp-flood base-session max-rate 5结果验证1. 执行命令display nat all，可以看到配置的NAT地址池和内部服务器信息。2. USG display nat all3. 4. NAT address-group information: 5. number : 1 name : - 6. startaddr : endaddr : 7

18、. reference : 0 vrrp : - 8. vpninstance : public 9. 10. number : 2 name : - 11. startaddr : endaddr : 12. reference : 1 vrrp : - 13. vpninstance : public 14. 15. Total 2 address-groups 16. 17. Server in private network information: Total 0 NAT servers 18. 通过在网络中操作，检查业务是否能够正常实现。# 在校园网内的一台主机上，访问ISP1所属

19、网段的一台服务器（IP地址为），通过执行命令display firewall session table，可以看到私网IP地址转换成了ISP1的公网IP地址。USG display firewall session table Current Total Sessions : 1 http VPN: public - public 10.1.2.2:1674 配置脚本USG配置脚本：# nat address-group 1 nat address-group 2 # firewall defend icmp-flood enable firewall defend udp-flood ena

20、ble firewall defend syn-flood enable firewall defend icmp-flood base-session max-rate 5 # interface GigabitEthernet0/0/0 ip address 10.1.1.1 # interface GigabitEthernet0/0/2 ip address # interface GigabitEthernet5/0/0 ip address # firewall zone local set priority 100 # firewall zone trust set priori

21、ty 85 add interface GigabitEthernet0/0/0 # firewall zone untrust set priority 5 # firewall zone dmz set priority 50 # firewall zone name isp1 set priority 15 add interface GigabitEthernet0/0/2 # firewall zone name isp2 set priority 20 add interface GigabitEthernet5/0/0 # firewall interzone trust isp

22、1 detect ftp detect qq detect msn # firewall interzone trust isp2 detect ftp detect qq detect msn # firewall interzone dmz isp1 detect ftp # firewall interzone dmz isp2 detect ftp # ip route-static 0.0.0.0 GigabitEthernet0/0/2 ip route-static 0.0.0.0 GigabitEthernet5/0/0 ip route-static GigabitEther

23、net0/0/2 ip route-static GigabitEthernet0/0/2 ip route-static GigabitEthernet5/0/0 ip route-static GigabitEthernet5/0/0 policy interzone trust isp1 outbound policy 1 action permit policy source 10.1.0.0 # policy interzone trust isp2 outbound policy 1 action permit policy source 10.1.0.0 # nat-policy interzone trust isp1 outbound policy 1 action source-nat policy source 10.1.0.0 address-group 1 # nat-policy interzone trust isp2 outbound policy 1 action source-nat policy source 10.1.0.0 address-group 2 # return

注意事项

本文（华为双链路出口调试步骤.docx）为本站会员主动上传，冰豆网仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知冰豆网（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。