通过配置策略路由实现不同源地址数据通过不同的链路转发。
组网需求
某企业公司拉了两条电信的光纤,分别为静态光纤和拨号光纤,前者主要用于服务器,后者则用于一般办公。
需求如下:
静态光纤:服务器专用
拨号光纤:常用办公
基于源地址的策略路由如下(下图从华为教材处截来,只作参考):
一、具体操作步骤如下:
1、配置接口IP地址和安全区域,完成网络基本参数配置。
a、将接口GE1/0/1加入Trust区域
1)、选择 “网络 > 接口”
2)、选择GE1/0/1对应的,按如下参数配置。
安全区域: trust
IP地址: 172.16.0.1/24
172.16.1.1/24
b、将接口GE1/0/2加入Untrust区域,选择 “网络 > 接口”,然后在PPPoE处输入电信提供的用户名和密码。
c、将接口GE1/0/3加入Untrust区域,配置如下:
安全区域: untrust
IP地址: 171.16.12.219
2、配置Trust区域和Untrust区域之间的安全策略。
a、选择“策略 > 安全策略”。
b、单击“新建”,按如下参数配置从Trust到Untrust的域间策略。
c、单击“应用”。
3、创建策略路由“pbr_1”,从Trust区域(即0段IP)指定出接口为接口GE1/0/2
a、选择“网络 > 路由 > 智能选路 > 策略路由”。
b、单击“新建”,按如下参数配置。
名称 pbr_1
描述 pbr_1
类型 源安全区域
源安全区域 trust
源地址/地区 172.16.0.0/24
动作 转发
出接口类型 单出口
出接口类型 GE1/0/2
c、单击“确定”。
4、创建策略路由“pbr_2”,从Trust区域(即0段IP)指定出接口GE1/0/3,下一跳IP为:171.16.12.219
a、单击“新建”,按如下参数配置。
名称 pbr_2
描述 pbr_2
类型 源安全区域
源安全区域 trust
源地址/地区 172.16.1.0/24
动作 转发
出接口类型 单出口
出接口类型 GE1/0/3
下一跳IP 171.16.12.219
启用监控IP 171.16.12.219
b、单击“确定”。
5、设置NAT转换方能上网,配置如下
a、0段IP_nat_wlan1
1)、选择“策略 > NAT策略 > 源策略 > 新建”,配置如下:
名称 0段IP_nat_wlan1
描述 0段IP_nat_wlan1
源安全区域 any
目的类型 出接口 GE1/0/2
源地址 172.16.0.1/24(即0段IP)
动作 NAT转换
转换后 出接口地址
2)、单击“确定”。
b、1段IP_nat_wlan2
名称 1段IP_nat_wlan2
描述 1段IP_nat_wlan2
源安全区域 any
目的类型 出接口 GE1/0/3
源地址 172.16.1.1/24(即1段IP)
动作 NAT转换
转换后 出接口地址
6、让两段IP实现互通。
a、选择“网络 > 路由 > 智能选路 > 策略路由 > 新建”,配置如下(此处策略需移动到最上面,即要优先处理此条策略):
名称 0段IP_1段IP_互通
描述 0段IP_1段IP_互通
类型 源安全区域
源安全区域 trust
源地址 172.16.0.1/24 和 172.16.1.1/24
目的地址 172.16.0.1/24 和 172.16.1.1/24
动作 不做策略路由
b、单击“确定”。
7、端口映射
a、选择“策略 > 安全策略 > 新建”
1)、具体配置如下。
名称 port_to_port
描述 port_to_port
源安全区域 trust
目的安全区域 trust
动作 允许
2)、单击“确定”。
b、源NAT设置
1)、选择“策略 > NAT策略 > 源NAT > 新建”,具体配置如下
名称 port_to_port
描述 port_to_port
源安全区域 trust
目的安全区域 trust
动作 NAT转换
转换后 出接口地址
2)、单击“确定”
c、端口映射,选择“策略 > NAT策略 > 服务器映射 > 新建”,具体配置如下
名称 port01
描述 windows_remote_port
安全区域 any
公网IP 171.16.12.219
私网IP 172.16.0.8
允许端口转换 TCP
公网端口 3389
私网端口 3389
然后单击“确定”即可。
PS:此文参考自华为官网教程,另外在配置好后,要单击右下角的“保存”。