华为USG6000V多ISP接入Internet（基于ISP目的地址的多出口）

作者：幸福蜗牛yeshi牛 | 来源：互联网 | 2023-09-06 05:09

一、组网需求1、如图所示，某企业在网络边界处部署了NGFW作为安全网关，并分别从运营商ISP1和ISP2处购买了宽带上网服务，实现内部网

一、组网需求

1、如图所示，某企业在网络边界处部署了NGFW作为安全网关，并分别从运营商ISP1和ISP2处购买了宽带上网服务，实现内部网络接入Internet的需求。
具体需求如下：
研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet，要求去往特定目的地址的流量必须经由相应的运营商来转发。

当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免业务中断。

2、网络拓扑

3、配置思路

配置接口的地址，并将接口加入相应的安全区域。在配置接口GigabitEthernet 1/0/0和GigabitEthernet 1/0/2的地址时，分别指定默认网关为1.1.1.254和2.2.2.254。
配置多条静态路由，使去往特定目的地址的流量经由相应的运营商来转发。
配置安全策略，允许内部网络中的PC访问Internet。
配置NAT策略，提供源地址转换功能。
在运营商ISP1和ISP2网络的设备上配置回程路由，该配置由运营商完成。

规划内部网络中PC的地址，并将内部网络中PC的网关设置为10.3.0.254

二、操作步骤

1、配置防火墙接口IP地址

system-view [USG6000V1]interface GigabitEthernet 1/0/1 [USG6000V1-GigabitEthernet1/0/1]ip address 10.3.0.254 24 [USG6000V1-GigabitEthernet1/0/1]service-manage ping permit [USG6000V1-GigabitEthernet1/0/1]q [USG6000V1]interface GigabitEthernet 1/0/0 [USG6000V1-GigabitEthernet1/0/0]ip address 202.1.1.1 24 [USG6000V1-GigabitEthernet1/0/0]service-manage ping permit [USG6000V1-GigabitEthernet1/0/0]q [USG6000V1]interface GigabitEthernet 1/0/2 [USG6000V1-GigabitEthernet1/0/2]ip address 202.1.2.1 24 [USG6000V1-GigabitEthernet1/0/2]service-manage ping permit [USG6000V1-GigabitEthernet1/0/2]q

2、加入对应安全区域

[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1 [USG6000V1-zone-trust]q[USG6000V1]firewall zone name ISP1 [USG6000V1-zone-ISP1]set priority 10 [USG6000V1-zone-ISP1]add interface GigabitEthernet 1/0/0 [USG6000V1-zone-ISP1]q[USG6000V1]firewall zone name ISP2 [USG6000V1-zone-ISP2]set priority 15 [USG6000V1-zone-ISP2]add interface GigabitEthernet 1/0/2 [USG6000V1-zone-ISP2]q

3、配置静态路由

[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 202.1.1.254 [USG6000V1]ip route-static 0.0.0.0 0.0.0.0 202.1.2.254

4、配置安全策略，允许内部网络PC访问Internet

[USG6000V1]security-policy [USG6000V1-policy-security]rule name trus_ISP1 [USG6000V1-policy-security-rule-trus_ISP1]source-zone trust [USG6000V1-policy-security-rule-trus_ISP1]destination-zone ISP1 [USG6000V1-policy-security-rule-trus_ISP1]source-address 10.3.0.0 24 [USG6000V1-policy-security-rule-trus_ISP1]action permit [USG6000V1-policy-security-rule-trus_ISP1]q[USG6000V1]security-policy [USG6000V1-policy-security]rule name trust_ISP2 [USG6000V1-policy-security-rule-trust_ISP2]source-zone trust [USG6000V1-policy-security-rule-trust_ISP2]destination-zone ISP2 [USG6000V1-policy-security-rule-trust_ISP2]source-address 10.3.0.0 24 [USG6000V1-policy-security-rule-trust_ISP2]action permit [USG6000V1-policy-security-rule-trust_ISP2]q

5、配置NAT地址池

[USG6000V1]nat address-group address1 [USG6000V1-address-group-address1]section 202.1.1.10 202.1.1.12 [USG6000V1-address-group-address1]mode pat [USG6000V1-address-group-address1]q[USG6000V1]nat address-group address2 [USG6000V1-address-group-address2]section 202.1.2.10 202.1.2.12 [USG6000V1-address-group-address2]mode pat [USG6000V1-address-group-address2]q

6、配置NAT策略

[USG6000V1]nat-policy [USG6000V1-policy-nat]rule name nat_isp1 [USG6000V1-policy-nat-rule-nat_isp1]source-zone trust [USG6000V1-policy-nat-rule-nat_isp1]destination-zone ISP1 [USG6000V1-policy-nat-rule-nat_isp1]source-address 10.3.0.0 24 [USG6000V1-policy-nat-rule-nat_isp1]action nat address-group address1 [USG6000V1-policy-nat-rule-nat_isp1]q[USG6000V1]nat-policy [USG6000V1-policy-nat]rule name nat_ips2 [USG6000V1-policy-nat-rule-nat_ips2]source-zone trust [USG6000V1-policy-nat-rule-nat_ips2]destination-zone ISP2 [USG6000V1-policy-nat-rule-nat_ips2]source-address 10.3.0.0 24 [USG6000V1-policy-nat-rule-nat_ips2]action nat address-group address2 [USG6000V1-policy-nat-rule-nat_ips2]q

7、ISP配置接口IP

system-view [Huawei]sysname ISP1 [ISP1]interface GigabitEthernet 0/0/0 [ISP1-GigabitEthernet0/0/0]ip address 202.1.1.254 24 [ISP1-GigabitEthernet0/0/0]qsystem-view [Huawei]sysname ISP2 [ISP2]interface GigabitEthernet 0/0/0 [ISP2-GigabitEthernet0/0/0]ip address 202.1.2.254 24 [ISP2-GigabitEthernet0/0/0]q

8、ISP配置路由

[ISP1]ip route-static 10.3.0.0 24 202.1.1.1 [ISP2]ip route-static 10.3.0.0 24 202.1.2.1

9、内网PC测试ping，查看防火墙nat会话

[USG6000V1]display firewall session tableCurrent Total Sessions : 10icmp VPN: public --> public 10.3.0.1:33768[202.1.2.10:2049] --> 202.1.2.254:2 048icmp VPN: public --> public 10.3.0.1:36328[202.1.1.10:2058] --> 202.1.1.254:2 048icmp VPN: public --> public 10.3.0.1:36840[202.1.1.10:2060] --> 202.1.1.254:2 048icmp VPN: public --> public 10.3.0.1:35048[202.1.1.10:2053] --> 202.1.1.254:2 048

推荐阅读

ip
Java 15 发布，带来多项重要更新！

2020年9月15日，Oracle正式发布了最新的JDK 15版本。本次更新带来了许多新特性，包括隐藏类、EdDSA签名算法、模式匹配、记录类、封闭类和文本块等。 ... [详细]

蜡笔小新 2024-11-14 12:11:09
ip
MySQL Decimal 类型的最大值解析及其在数据处理中的应用艺术

在关系型数据库中，表的设计与SQL语句的编写对性能的影响至关重要，甚至可占到90%以上。本文将重点探讨MySQL中Decimal类型的最大值及其在数据处理中的应用技巧，通过实例分析和优化建议，帮助读者深入理解并掌握这一重要知识点。 ... [详细]

蜡笔小新 2024-11-11 19:36:19
runtime
您的数据库配置是否安全？DBSAT工具助您一臂之力！

本文探讨了Oracle提供的免费工具DBSAT，该工具能够有效协助用户检测和优化数据库配置的安全性。通过全面的分析和报告，DBSAT帮助用户识别潜在的安全漏洞，并提供针对性的改进建议，确保数据库系统的稳定性和安全性。 ... [详细]

蜡笔小新 2024-11-11 14:44:47
ip
PTArchiver工作原理详解与应用分析

PTArchiver工作原理及其应用分析本文详细解析了PTArchiver的工作机制，探讨了其在数据归档和管理中的应用。PTArchiver通过高效的压缩算法和灵活的存储策略，实现了对大规模数据的高效管理和长期保存。文章还介绍了其在企业级数据备份、历史数据迁移等场景中的实际应用案例，为用户提供了实用的操作建议和技术支持。 ... [详细]

蜡笔小新 2024-11-11 13:40:49
ip
WordPress Duplicator 0.4.4 版本存在跨站脚本攻击漏洞分析

在对WordPress Duplicator插件0.4.4版本的安全评估中，发现其存在跨站脚本（XSS）攻击漏洞。此漏洞可能被利用进行恶意操作，建议用户及时更新至最新版本以确保系统安全。测试方法仅限于安全研究和教学目的，使用时需自行承担风险。漏洞编号：HTB23162。 ... [详细]

蜡笔小新 2024-11-10 13:16:43
ip
SQL Server 连接故障总结与解决方案分析

在使用 SQL Server 时，连接故障是用户最常见的问题之一。通常，连接 SQL Server 的方法有两种：一种是通过 SQL Server 自带的客户端工具，例如 SQL Server Management Studio；另一种是通过第三方应用程序或开发工具进行连接。本文将详细分析导致连接故障的常见原因，并提供相应的解决策略，帮助用户有效排除连接问题。 ... [详细]

蜡笔小新 2024-11-07 08:30:13
ip
兆芯X86 CPU架构的演进与现状（国产CPU系列）

本文详细介绍了兆芯X86 CPU架构的发展历程，从公司成立背景到关键技术授权，再到具体芯片架构的演进，全面解析了兆芯在国产CPU领域的贡献与挑战。 ... [详细]

蜡笔小新 2024-11-14 15:04:34
utf-8
Android 自定义加载对话框 CustomProgressDialog

本文介绍如何在 Android 中自定义加载对话框 CustomProgressDialog，包括自定义 View 类和 XML 布局文件的详细步骤。 ... [详细]

蜡笔小新 2024-11-12 21:51:00
include
PHP 对象生命周期与内存管理

本文详细介绍了 PHP 中对象的生命周期、内存管理和魔术方法的使用，包括对象的自动销毁、析构函数的作用以及各种魔术方法的具体应用场景。 ... [详细]

蜡笔小新 2024-11-12 13:35:26
ip
在CentOS 7环境中安装配置Redis及使用Redis Desktop Manager连接时的注意事项与技巧

在 CentOS 7 环境中安装和配置 Redis 时，需要注意一些关键步骤和最佳实践。本文详细介绍了从安装 Redis 到配置其基本参数的全过程，并提供了使用 Redis Desktop Manager 连接 Redis 服务器的技巧和注意事项。此外，还探讨了如何优化性能和确保数据安全，帮助用户在生产环境中高效地管理和使用 Redis。 ... [详细]

蜡笔小新 2024-11-11 18:27:44
ip
在Linux系统中避免安装MySQL的简易指南

在Linux系统中避免安装MySQL的简易指南 ... [详细]

蜡笔小新 2024-11-11 13:22:28
ip
DVWA学习笔记系列：深入理解CSRF攻击机制

DVWA学习笔记系列：深入理解CSRF攻击机制 ... [详细]

蜡笔小新 2024-11-11 13:19:51
include
深入解析C语言中结构体的内存对齐机制及其优化方法

为了提高CPU访问效率，C语言中的结构体成员在内存中遵循特定的对齐规则。本文详细解析了这些对齐机制，并探讨了如何通过合理的布局和编译器选项来优化结构体的内存使用，从而提升程序性能。 ... [详细]

蜡笔小新 2024-11-11 11:53:59
ip
《Linux高性能服务器编程》深入解析：3.2 TCP报头结构与功能

在《Linux高性能服务器编程》一书中，第3.2节深入探讨了TCP报头的结构与功能。TCP报头是每个TCP数据段中不可或缺的部分，它不仅包含了源端口和目的端口的信息，还负责管理TCP连接的状态和控制。本节内容详尽地解析了TCP报头的各项字段及其作用，为读者提供了深入理解TCP协议的基础。 ... [详细]

蜡笔小新 2024-11-10 14:18:44
include
2012年9月12日优酷土豆校园招聘笔试题目解析与备考指南

2012年9月12日，优酷土豆校园招聘笔试题目解析与备考指南。在选择题部分，有一道题目涉及中国人的血型分布情况，具体为A型30%、B型20%、O型40%、AB型10%。若需确保在随机选取的样本中，至少有一人为B型血的概率不低于90%，则需要选取的最少人数是多少？该问题不仅考察了概率统计的基本知识，还要求考生具备一定的逻辑推理能力。 ... [详细]

蜡笔小新 2024-11-06 15:25:14

幸福蜗牛yeshi牛

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章