组网需求如兔脒巛钒图所示,某公司有两个部门A和B。因两个部门A和B均为业务部门,业务流量大,需要不同链路分担流量。且网络稳定性要求高,要求网络不中断。为满足部门A和部门B的需求,公司申请了两条接入I荏鱿胫协nternet的链路ISP1和ISP2来分担链路流量,并互为备份,以保证链路持续不中断。详细需求如下:(1)部门A所在网段为10.1.0.0/16,该部门访问Internet的报文正常情况下流入链路ISP1。(2)部门B所在网段为20.1.0.0/16,该部门访问Internet的报文正常情况下流入链路ISP2。(3)部门A和部门B所在链路互为备份,当某部门的链路(以下称主链路)出现故障时,流量切换到另一部门所在的链路(以下称备链路)上。
工具/原料
华为USG系列防火墙
方法/步骤
1、接口IP地址。具体步骤略。
2、配置USG的通过定义ACL,以确定要进行策略路由转发的报文。定义ACL3001,允许通过源地址为10.1.0.0/16的报文,拒绝目的地址为20.1.0.0/16的报文。<USG>system-view[USG]aclnumber3001[USG-acl-adv-3001]ruledenyipdestination20.1.0.00.0.255.255[USG-acl-adv-3001]rulepermitipsource10.1.0.00.0.255.255[USG-acl-adv-3001]quit
3、定义ACL3002,允许通过源地址为20.1.0.0/16的报文,拒绝目的地址为10.1.0.0/16的报文。[USG]aclnumber3002[USG-acl-adv-3002]ruledenyipdestination10.1.0.00.0.255.255[USG-acl-adv-3002]rulepermitipsource20.1.0.00.0.255.255[USG-acl-adv-3002]quit
4、配置策略路由。#配置策略testA,使源地址为10.1.0.0/16的报文被发到下一跳1.龀音孵茧1.2.吭稿荔徊1。[USG]policy-based-routetestApermitnode5[USG-policy-based-route-testA-5]if-matchacl3001[USG-policy-based-route-testA-5]applyip-addressnext-hop1.1.2.1[USG-policy-based-route-testA-5]quit#配置策略testB,使源地址为20.1.0.0/16的报文被发到下一跳1.1.3.1。[USG]policy-based-routetestBpermitnode5[USG-policy-based-route-testB-5]if-matchacl3002[USG-policy-based-route-testB-5]applyip-addressnext-hop1.1.3.1[USG-policy-based-route-testB-5]quit
5、在接口GigabitEthernet0/0/7上应用定义的策略testA,处理此膜膏匆煦接口接收的报文。[USG]interfaceGigab足毂忍珩itEthernet0/0/7[USG-GigabitEthernet0/0/7]ippolicy-based-routetestA[USG-GigabitEthernet0/0/7]quit#在接口GigabitEthernet0/0/2上应用定义的策略testB,处理此接口接收的报文。[USG]interfaceGigabitEthernet0/0/8[USG-GigabitEthernet0/0/8]ippolicy-based-routetestB[USG-GigabitEthernet0/0/8]quit
6、配置IP-Link。为实现策略路由与IP-Link联动,需要将IP-Link侦测的目的IP地址与报文的下一跳配置为一致。#开启IP-Link链路检查功能。[USG]ip-linkcheckenable#创建IP-Link1,用于侦测USG到目的地址为1.1.2.1之间的链路可达性。[USG]ip-link1destination1.1.2.1modeicmp#创建IP-Link2,用于侦测USG到目的地址为1.1.3.1之间的链路可达性。[USG]ip-link2destination1.1.3.1modeicmp
7、配置缺省路由,并与IP-Link关联。#配置缺省路由,指定下一跳1.1.2.1/24,并与IP-Link1关联。[USG]iproute-static0.0.0.00.0.0.01.1.2.1trackip-link1#配置缺省路由,指定下一跳1.1.3.1/24,并与IP-Link2关联。[USG]iproute-static0.0.0.00.0.0.01.1.3.1trackip-link2