15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

拓扑

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

路由部署【根据需求不同,部署默认路由浮动路由 NQA或者IP-link策略路由

分析:在实际工作中有多种需求
1、客户想实现电信的流量访问电信,联通的流量访问联通【这个需要高版本防火墙才支持】
2、客户想实现2个ISP被充分利用了,并且当一个ISP出向故障的时候,自动切换到另外的ISP上面。
3、客户想默认情况下走电信,但电信出现故障的时候,才走联通【或者联通走***流量,电信走ISP流量。】

具体实现

1、客户想实现电信的流量访问电信,联通的流量访问联通【这个需要高版本防火墙才支持】
说明:实现该需求,其实需要大量的路由网段,需要知道电信与联通的最新网段,然后敲入一个明细的路由到路由表中,这样来实现访问电信的走电信,访问联通的走联通,像一些小厂商的路由器默认就集成了路由表,所以可以提供这样的功能,USG目前的版本还没有集成,在下一代防火墙NGfW中,听说是集成了路由表的,而且可以实现负载均衡的情况,所以在实现该需求的时候要么知道电信 联通的明细路由,或者使用高版本【这个需要华为推出来后才可以使用】,目前是无法实现的。

2、客户想实现2个ISP被充分利用了,并且当一个ISP出向故障的时候,自动切换到另外的ISP上面。
说明:这个目前在工作中使用的方法是最多的,它主要是利用内网的网段来负载分担,比如一般的流量走电信,一半的流量走联通,然后通过NQA或者IP-lINk技术的配合来检测ISP是否正常,然后通过策略路由来分类。

2.1、策略路由实施

[USG-GW]acl number 2000
[USG-GW-acl-basic-2000]description Core-A Vrrp master to access internet
[USG-GW-acl-basic-2000]rule permit source 192.168.19.0 0.0.0.255
[USG-GW-acl-basic-2000]rule permit source 192.168.21.0 0.0.0.255

[USG-GW]acl number 2001
[USG-GW-acl-basic-2001]description Core-B vrrp master to access internet
[USG-GW-acl-basic-2001]rule permit source 192.168.20.0 0.0.0.255
说明:定义了2个ACl,该ACl的分类是根据VrrP的Master来区分的,比如Core-A上面的Master网段则定义在200里面,而Core-B的Master网段走定义在2001里面,这样的话用来匹配不同内网的流量,最终调用在策略路由中,实现效果。

[USG-GW]policy-based-route to-isp permit node 5
[USG-GW-policy-based-route-to-isp-5]if-match acl 2000
[USG-GW-policy-based-route-to-isp-5]apply ip-address next-hop 202.100.1.1

[USG-GW]policy-based-route to-isp permit node 10
[USG-GW-policy-based-route-to-isp-10]if-match acl 2001
[USG-GW-policy-based-route-to-isp-10]apply ip-address next-hop 61.128.1.1
说明:定义了2个策略路由,第一个为访问电信的,当匹配了ACl 2000的时候,则走下一跳202.100.1.1,第二个则为访问联通的,当匹配了ACl 2001的时候,则走下一跳61.128.1.1。另外这里必须写在一个策略里面,因为一个接口只能调用一个策略路由,所以这里最终调用在VLAN接口下。
[USG-GW]interface vlan 1
[USG-GW-Vlanif1]ip policy-based-route to-isp
说明:这里没有方向性的,策略路由能调用在源接口。

2.2 IP-Link技术实施

说明:其中大家觉得可以用NQA的,但是在防火墙上面NQA不支持关联路由,只能用IP-Link,而且IP-link技术有一个莫大的优势,就是可以跟 策略路由联动。
[USG-GW]ip-link check enable
[USG-GW]ip-link 1 destination 202.100.1.1 interface g0/0/1 mode icmp
[USG-GW]ip-link 2 destination 61.128.1.1 interface g0/0/2 mode icmp
说明:开启了IP-Link技术,并且定义了2个,当目的地202.100.1.1可以用ICMP测试的情况下,IP-Link1是UP的,否则为Down,当然Ip-Link效果也一样。最终关联到路由里面就行了。

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

可以看到现在都是UP的。

扩展应用【如果想测试Dns或者是拨号接口该怎么办】

[USG-GW]ip-link 3 destination ccieh3c.taobao.com interface g0/0/1 这种可以实现当访问该域名从G0/0/1不通的情况下,则认为该链路失效了。这种为dNS测试办法
注意需要打开dNS解析功能,与定义dNS服务器地址。dns resolve dns server x.x.x.x

[USG-GW]ip-link 3 destination ccieh3c.com mode icmp next-hop dialer ,这种就是说当是PPPOe环境的时候,可以指定下一跳为拨号接口。当然也可以 ip-link 3 destination ccieh3c.taobao.com interface dialer 0这样。Destinatio可以为IP或者域名。

2.3 默认路由定义

[USG-GW]ip route-static 0.0.0.0 0 202.100.1.1 track ip-link 1
[USG-GW]ip route-static 0.0.0.0 0 61.128.1.1 track ip-link 2
说明:定义了2条默认路由,分别指向联通电信的下一跳,注意这里是关联了IP-LINk技术的。

2.4 策略与NAT定义

策略与NAT之前已经定义完毕了,所以这里不需要重复定义。

2.5 结果验证测试【以访客厅与Boos为例。】

9.3.1 访问Internet测试【双线路访问,并且测试一边失效后的结果。】
2.5.1访客厅用户测试


15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

已经获取到了IP地址
NAT转换条目查看

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

可以看到有dNS的流量,都是走的202.100.1.2,当解析到了公网地址后,然后通过转换为202.100.1.2 访问百度。

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

可以看到百度也打开了。

策略检查匹配项

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

可以看到这里是有对应匹配的。

NAT匹配项

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

为什么策略2可以生效呢,因为现在已经是在Action中。

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

可以看到ACL也有对应的匹配。

测试当dx出现故障后,能否继续访问外网。

[USG-GW]int g0/0/1
[USG-GW-GigabitEthernet0/0/1]shutdown
这里只能认为的关闭下端口,造成故障的问题。

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

说明下:PING 114.114.114.144是可以通信的,而8.8.8.8则不行,国内已经封闭了。

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

有对应的策略匹配。

策略路由与IP-Link技术匹配的时候效果
当有IP-Link技术与策略路由同时出现的时候,系统会默认的根据IP-Link检测的下一跳地址,来判断策略路由是否生效,202.100.1.1失效了,则该策略路由对应的也失效,所以这里走的不是策略路由,而是走的默认路由

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

2.5.2高层部门下测试

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

已经获取到了对应的VLAN下的地址。

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由
15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由
15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

可以看到会话信息,都是通过 61.128.1.2转发的。

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

可以看到,现在第一个是有匹配了的,因为这个是给Boss网段用的。

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

策略路由调用的ACL也是有效果的。

测试断开链路,继续访问

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由
15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由
15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

可以看到后面的都是关于202.100.1.2的了,并不是61.128.1.2,而且访问正常。

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由

可以看到,电信的策略有匹配项目了。

2.6 总结

关于双ISP的实施,注意几点就可以了,关于ip-link技术与策略路由的配合,另外就是需要放行的策略,与NAT的配置。注意查看匹配项来检查是否正常转换。

3、客户想默认情况下走电信,但电信出现故障的时候,才走联通【或者联通走虚拟专用网流量,电信走ISP流量。】

关于该定义的话,这里就不演示结果了,只给出思路与配置。
1、定义ip-link技术
2、直接指向一条默认路由到DX。【注意关联ip-link】
3、定义一条浮动默认路由指向联通【不需要调用ip-link,但是优先级要把DX的要大】
4、如果要实现***的流量走联通的话,指向把需要访问对方私网网段的地址直接指向联通的出接口即可。那么在加密处理的时候自然会把包引向联通的接口,然后发送给对方。


说明:这样实现的额效果就是默认情况下走电信,当ip-link技术检查到电信的链路坏了,然后默认路由消失,直接用联通的默认路由,而***因为有静态路由的存在,所以会引向联通的接口从而进行加密处理。

本文首发于公众号:网络之路博客

上一篇:MySQL高级SQL语句_gw


下一篇:LTE信令流程——去附着