当不同网段用户需要通过不同的路由到达同一目的地址时,可以配置策略路由实现。
组网需求
如图所示,在企业内网出口部署一台USG,其中和内部网络相连的接口位于Trust区域,和外部网络相连的两个接口位于Untrust区域。内网中两个不同网段(网段A和网段B)的用户通过不同的路由访问Internet。
需求如下:
内部A网段从ISP-A线路出去,并且配置ISP-B为备份链路。
内部B网段从ISP-B线路出去,并且配置ISP-A为备份链路。
配置思路
1在USG配置与Router_A、Router_B的互联数据,并配置两条去往Internet的缺省路由。
2在USG上配置策略路由,使源地址为10.1.1.0/24的报文的下一跳指定为202.168.10.1,源地址为10.1.2.0/24的报文的下一跳指定为202.169.10.1。
3在USG上配置IP-Link,监控下一跳是否可达。如果不可达,则策略路由失效。策略路由失效后,流量将根据设备上生效的缺省路由到达Internet。
操作步骤
1配置USG的接口IP地址并将接口加入对应安全区域。 # 配置USG接口IP地址。
system-view
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/2] ip address 10.1.2.1 24 sub
[USG-GigabitEthernet0/0/2] quit
[USG] interface GigabitEthernet 0/0/3
[USG-GigabitEthernet0/0/3] ip address 202.168.10.2 30
[USG-GigabitEthernet0/0/3] quit
[USG] interface GigabitEthernet 0/0/4
[USG-GigabitEthernet0/0/4] ip address 202.169.10.2 30
[USG-GigabitEthernet0/0/4] quit
配置接口加入相应安全区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/2
[USG-zone-trust] quit
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/3
[USG-zone-untrust] add interface GigabitEthernet 0/0/4
[USG-zone-untrust] quit
2 在Trust和Untrust域间出方向配置防火墙策略。
[USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 0
[USG-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0 0.0.0.255
[USG-policy-interzone-trust-untrust-outbound-0] policy source 10.1.2.0 0.0.0.255
[USG-policy-interzone-trust-untrust-outbound-0] action permit
[USG-policy-interzone-trust-untrust-outbound-0] return
3 配置策略路由 # 定义ACL 3001匹配源地址为10.1.1.0/24的报文,ACL 3002匹配源地址为10.1.2.0/24的报文。
[USG] acl number 3001
[USG-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255
[USG-acl-adv-3001] quit
[USG] acl number 3002
[USG-acl-adv-3002] rule permit ip source 10.1.2.0 0.0.0.255
[USG-acl-adv-3002] quit
创建名为test的策略,定义5号节点,使源地址为10.1.1.0/24的报文被发到下一跳202.168.10.1。
[USG_A] policy-based-route test permit node 5
[USG_A-policy-based-route-test-5] if-match acl 3001
[USG_A-policy-based-route-test-5] apply ip-address next-hop 202.168.10.1
[USG_A-policy-based-route-test-5] quit
定义10号节点,使源地址为10.1.2.0/24的报文被发到下一跳202.169.10.1。
[USG_A] policy-based-route test permit node 10
[USG_A-policy-based-route-test-10] if-match acl 3002
[USG_A-policy-based-route-test-10] apply ip-address next-hop 202.169.10.1
[USG_A-policy-based-route-test-10] quit
在接口GigabitEthernet 0/0/2上应用定义的策略test,处理此接口接收的报文。
[USG_A] interface GigabitEthernet 0/0/2
[USG_A-GigabitEthernet0/0/2] ip policy-based-route test
[USG_A-GigabitEthernet0/0/2] quit
4 配置IP-Link1,监控202.168.10.1是否可达,如果不可达,则策略路由失效,策略路由失效后,ISP-A线路流量根据默认路由经ISP-B到达Internet;配置IP-Link2,监控202.169.10.1是否可达,如果不可达,则策略路由失效,策略路由失效后,ISP-B线路流量根据默认路由经ISP-A到达Internet。
[USG] ip-link check enable
[USG] ip-link 1 destination 202.168.10.1 interface GigabitEthernet 0/0/3
[USG] ip-link 2 destination 202.169.10.1 interface GigabitEthernet 0/0/4
5 配置静态路由。
与USG的接口GigabitEthernet 0/0/3相连路由器的接口IP地址为202.168.10.1/24。
[USG] ip route-static 0.0.0.0 0.0.0.0 202.168.10.1 track ip-link 1
与USG的接口GigabitEthernet 0/0/4相连路由器的接口IP地址为202.169.10.1/24。
[USG] ip route-static 0.0.0.0 0.0.0.0 202.169.10.1 track ip-link 2
为了更好地帮助大家学习并了解网络工程师,等相关内容,我特意将所有资料进行了系统整理,这里也免费分享大家。为大家整理的网工必备资料,包括:
华为认证思维导图(超细);
华为认证必备知识文档(pdf);
网工必备知识文档合集;
网工必备工具包;
网工必备实验包;
网工必备视频面试包。
……
资料有点多 我就不全列出来了,先写到这,需要资料或者是有任何问题,都可以欢留言、私信交流讨论~
