策略路由应用_第1张图片

用户网络环境:

网络部署一台USG5320防火墙,电信和联通两条光纤接入。
用户需求:
1、子网A从电信出去;子网B从联通出去;
2、电信和联通光纤互为备份;
配置如下:
1)   配置USG5300的接口IP地址并将接口加入对应安全区域。
# 配置USG5300接口IP地址。
system-view
[USG5300] interface GigabitEthernet 0/0/0
[USG5300-GigabitEthernet0/0/0] ip address 172.16.1.1 24
[USG5300-GigabitEthernet0/0/0] ip address 192.168.1.1 24 sub
[USG5300-GigabitEthernet0/0/0] quit
[USG5300] interface GigabitEthernet 0/0/1
[USG5300-GigabitEthernet0/0/1] ip address 10.10.1.2 24
[USG5300-GigabitEthernet0/0/1] quit
[USG5300] interface GigabitEthernet 0/0/2
[USG5300-GigabitEthernet0/0/2] ip address 10.10.2.2 24
[USG5300-GigabitEthernet0/0/2] quit
# 配置接口加入相应安全区域。
[USG5300] firewall zone trust
[USG5300-zone-trust] add interface GigabitEthernet 0/0/0
[USG5300-zone-trust] quit
[USG5300] firewall zone untrust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2
[USG5300-zone-untrust] quit
2)   配置域间包过滤规则。
[USG5300] acl number 3000
[USG5300-acl-adv-3000] rule permit ip source 172.16.1.0 0.0.0.255
[USG5300-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255
[USG5300-acl-adv-3000] quit
[USG5300] firewall interzone trust untrust
[USG5300-interzone-trust-untrust] packet-filter 3000 outbound
[USG5300-interzone-trust-untrust] return
3)   配置流分类。
# 定义类class1,在class1类中定义一组流分类规则匹配ACL3001。
[USG5300] acl number 3001
[USG5300-acl-adv-3001] rule permit ip source 172.16.1.0 0.0.0.255
[USG5300-acl-adv-3001] quit
[USG5300] traffic classifier class1
[USG5300-classifier-class1] if-match acl 3001
[USG5300-classifier-class1] quit
# 定义类class2,在class2类中定义一组流分类规则匹配ACL3002。
[USG5300] acl number 3002
[USG5300-acl-adv-3002] rule permit ip source 192.168.1.0 0.0.0.255
[USG5300-acl-adv-3002] quit
[USG5300] traffic classifier class2
[USG5300-classifier-class2] if-match acl 3002
[USG5300-classifier-class2] quit
配置流行为。
# 定义流行为behavior1,在流行为behavior1中指定下一跳为10.10.1.1,出接口为GigabitEthernet 0/0/1。
[USG5300] traffic behavior behavior1
[USG5300-behavior-behavior1] remark ip-nexthop 10.10.1.1 output-interface GigabitEthernet 0/0/1
[USG5300-behavior-behavior1] quit
# 定义流行为behavior2,在流行为behavior2中指定下一跳为10.10.2.1,出接口为GigabitEthernet 0/0/2。
[USG5300] traffic behavior behavior2
[USG5300-behavior-behavior2] remark ip-nexthop 10.10.2.1 output-interface GigabitEthernet 0/0/2
[USG5300-behavior-behavior2] quit
4)   定义并应用策略。
# 定义策略policy1,为类class1指定对应的行为是behavior1,为类class2指定对应的行为是behavior2。
[USG5300] qos policy policy1
[USG5300-qospolicy-policy1] classifier class1 behavior behavior1
[USG5300-qospolicy-policy1] classifier class2 behavior behavior2
[USG5300-qospolicy-policy1] quit
# 在Trust区域的出方向应用策略policy1。
[USG5300] firewall zone trust
[USG5300-zone-trust] qos apply policy policy1 outbound
[USG5300-zone-trust] quit
5)   配置链路可达性检查。
[USG5300] ip-link check enable
[USG5300] ip-link 1 destination 10.10.1.1
[USG5300] ip-link 2 destination 10.10.2.1
配置静态路由。
[USG5300] ip route-static 0.0.0.0 0.0.0.0 10.10.1.1
[USG5300] ip route-static 0.0.0.0 0.0.0.0 10.10.2.1
 
思考:
1、TCP/IP路由技术卷一中有提到,策略路由下一跳失效后跳转至常规路由转发,判断路由下一跳失效通过链路可达性检查来实现;
2、cisco检查CDP表来判断下一跳是否失效,网上查资料说华为通过HDP实现,但不确定,需要确认;
3、如果USG5320做了NAT是否还能达到冗余???