华为设备配置基于源地址的策略路由

综合案例:配置基于源地址的策略路由

项目目的:

通过配置策略路由实现不同源地址数据通过不同的链路转发

组网需求:

某企业主要分为市场部和研发部两个部门,组网如图5-3所示,FW位于企业网出口,
该企业部署了两条接入Internet的链路ISP-A、ISP-B。ISP-A上网速度快、网络速度稳定
但费用较高,ISP-B上网费用低廉,但是网速相对慢一些。

需求如下:

l 市场部对网速要求比较高,通过链路ISP-A访问Internet。
l 研发部对网速要求不高,通过链路ISP-B来访问Internet。

实验步骤:

1:运营商路由器的配置
(1)路由器1
<Huawei>undo terminal monitor
<Huawei>sys
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.10.1.2 24
[R1-GigabitEthernet0/0/0]quit
[R1]
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]

(2)路由器2
<Huawei>undo terminal mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.20.1.2 24
[R2-GigabitEthernet0/0/0]quit
[R2]
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 200.1.1.1 24
[R2-GigabitEthernet0/0/1]quit
[R2]

2:配置接口IP地址和安全区域,完成网络基本参数配置。
<USG6000V1>undo terminal monitor
<USG6000V1>sys
[USG6000V1]sysname FW
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.10.1.1 255.255.255.0
[FW-GigabitEthernet1/0/2] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/3] ip address 10.1.2.1 255.255.255.0 sub
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/4
[FW-GigabitEthernet1/0/4] ip address 10.20.1.1 255.255.255.0
[FW-GigabitEthernet1/0/4] quit

[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit

[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-zone-untrust] add interface GigabitEthernet 1/0/4
[FW-zone-untrust] quit

3:设置防火墙的路由
[FW]ip route-static 100.1.1.0 24 10.10.1.2
[FW]ip route-static 200.1.1.0 24 10.20.1.2

2:配置Trust区域和Untrust区域之间的安全策略,允许企业内部用户访问外网资源。假设内部用户网段为10.1.1.0/24和10.1.2.0/24。
[FW] security-policy
[FW-policy-security] rule name sec_1
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.1.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.2.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit

3:配置IP-Link功能,检测链路状态。
[FW] ip-link check enable
[FW] ip-link name pbr_1
[FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 1/0/2
[FW-iplink-pbr_1] quit

[FW] ip-link name pbr_2
[FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 1/0/4
[FW-iplink-pbr_2] quit

4:创建策略路由“pbr_1”和“pbr_2”,从Trust区域接收的属于市场部的报文发送到下一
跳10.20.1.2,从Trust区域接收的属于研发部的报文发送到下一跳10.10.1.2。
[FW] policy-based-route
[FW-policy-pbr] rule name pbr_1
[FW-policy-pbr-rule-pbr_1] description pbr_1
[FW-policy-pbr-rule-pbr_1] source-zone trust
[FW-policy-pbr-rule-pbr_1] source-address 10.1.1.0 24
[FW-policy-pbr-rule-pbr_1] track ip-link pbr_1
[FW-policy-pbr-rule-pbr_1] action pbr next-hop 10.10.1.2
[FW-policy-pbr-rule-pbr_1] quit

[FW-policy-pbr] rule name pbr_2
[FW-policy-pbr-rule-pbr_2] description pbr_2
[FW-policy-pbr-rule-pbr_2] source-zone trust
[FW-policy-pbr-rule-pbr_2] source-address 10.1.2.0 24
[FW-policy-pbr-rule-pbr_2] track ip-link pbr_2
[FW-policy-pbr-rule-pbr_2] action pbr next-hop 10.20.1.2
[FW-policy-pbr-rule-pbr_2] quit
[FW-policy-pbr] quit

5:NAT的设置
[FW]nat-policy
[FW-policy-nat]rule name nat_1
[FW-policy-nat-rule-nat_1]source-zone trust
[FW-policy-nat-rule-nat_1]destination-zone untrust
[FW-policy-nat-rule-nat_1]action nat easy-ip
[FW-policy-nat-rule-nat_1]quit
[FW-policy-nat]quit
[FW]

6:最后测试内网到外网的连通性

原文地址:https://blog.51cto.com/72756/2371891

时间: 2024-10-18 06:49:10

华为设备配置基于源地址的策略路由的相关文章

华为USG6320做双线-基于源地址的策略路由

通过配置策略路由实现不同源地址数据通过不同的链路转发. 组网需求 某企业公司拉了两条电信的光纤,分别为静态光纤和拨号光纤,前者主要用于服务器,后者则用于一般办公. 需求如下: 静态光纤:服务器专用 拨号光纤:常用办公 基于源地址的策略路由如下(下图从华为教材处截来,只作参考): 一.具体操作步骤如下: 1.配置接口IP地址和安全区域,完成网络基本参数配置. a.将接口GE1/0/1加入Trust区域 1).选择 "网络 > 接口" 2).选择GE1/0/1对应的,按如下参数配置.

策略路由-基于源地址控制实验

实验要求:R1的S0/0口带宽设置为6000Kb/s,发现流量都走S0/0口出去,S0/1口闲置要求基于源地址进行路由控制,192.168.2.0网络的流量走上面S0/0口,192.168.3.0的流量走下面S0/1口出去.其他流量使用传统路由表路由. 1.基础配置(略,不会的可以给我留言)接口配置地址OSPF宣告直连网段 2.在R4上跟踪路由转发路径R4#traceroute 172.16.1.1 source 192.168.3.1R4#traceroute 172.16.2.1 sourc

华为设备配置文件管理

1.华为设备配置文件管理 华为设备中配置文件的管理有3个基本概念:当前配置.配置文件.下次启动的配置文件. (1).当前配置: 设备内存中的配置信息都称为设备的当前配置,它是设备当前正在运行的配置,设备下电或重启时,内存中原有的所有信息都会丢失. (2).配置文件: 包含设备配置信息的文件,存在于设备外部存储器中,文件名的格式一般为“CFG”或“ZIP”,当设备重启时,配置文件会被重新加载到设备内存之中,称为新的当前配置.缺省情况下,保存当前配置时,设备会将当前配置信息保存到文件名为“vrpcf

华为设备配置远程管理

第一种:本地管理,即用console线进行管理: -password user-interface console 0 authentication-mode password 输入密码 -aaa 进入aaa模式创建用户 aaa local-user ntd password cipher %$%$XoWX5N;@{N%.{:SolutY^3R;%$%$ local-user ntd privilege level 3 local-user ntd service-type terminal 进

网神 - SIS网闸

什么是网闸? 网闸是位于两个不同安全级别的网络之间,通过链路阻断.协议转换的手段,以信息摆渡的方式实现高效安全的数据交换 是目前防护级别最高的一种技术手段 政府涉密网络.军工.电力等行业中含有大量的敏感信息及涉密数据(可能定级为涉密网或含有敏感数据的非涉密网),这些涉密数据是绝对不能流入比它密级低的网络中的,但这些网络通常又需要能从密级低的网络中获取数据.目前大多是采用人工拷盘的方式,但是人工拷盘存在安全隐患.效率较低.随着安全隔离技术的沉淀与积累,通过2年多的探索与研发,推出光单向安全隔离数据

华为路由设备配置Telnet功能

华为设备配置telnet功能参考文献:HCNA网络技术实验指南 模拟器:eNSP 实验环境:模拟环境中的PC没有telnet功能,用R2代表pc机.从R2设备Telnet R1设备 实验目的:配置R1的telnet功能,实现远程控制. 实验编址: 实验网络结构: 配置R1上telnet功能 第一种:配置telnet验证方式为密码验证方式 a)在R1上配置telnet验证方式为密码验证方式,配置密码为huawei.此时还未有权限.[R1]user-interface vty 0 4[R1-ui-v

&nbsp; &nbsp; 华为 ACL 网络安全

华为ACL网络安全 一. 1.物理层安全 墙上的不同的网线接口 连接交换机的端口关系: 2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定 交换机端口连接计算机数量创建vlan: 3.网络层安全  基于源IP地址 目标IP地址控制: 4.传输层安全   会话攻击 LAND攻击 syn洪水攻击: 5.应用层安全  登陆密码: 6.网络层安全 标准的ACL, 基于源地址进行控制: 7.访问控制列表 扩展源地址: 基于原地址 目标地址: 端口号进行控制. 二. 使用标准的ACL配置网络安全 实

CCNP路由实验之十六 策略路由(PBR)

?? 策略路由(PBR)是一种比基于目标网络进行路由更加灵活的数据包路由转发机制.路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器.在路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进行报文转发.这种规则可以是基于标准和扩展访问控制列表,也可以基于报文的长度:而转发策略则是控制报文按照指定的策略路由表进行转发,也可以修改报文的IP优先字段,策略路由也可以在一定程度上实现流量工程,使不同服务质量的流或者不同性质的

华为和思科对比ip-vlan-stp-路由

1.配置ip地址:接口视图:ip address ip地址 子网掩码(长度或255.255.255.255)思科需要no sh启用,华为不需使用undo sh启用,默认启用:查看ip:思科sh ip int b,华为display ip int b.2.vlan:1)创建vlan:思科:特权模式:vlan database -->vlan 编号1 编号2-->exit华为:系统试图:vlan batch 编号1 编号2 ... 2)查看vlan:思科:sh vlan b华为:display v