技术资料|Technical trainings

USG6000通过多ISP接入Internet（基于ISP目的地址的多出口）

Admin2017-02-16 16:29:37

组网需求

如图1所示，某企业在网络边界处部署了NGFW作为安全网关，并分别从运营商ISP1和ISP2处购买了宽带上网服务，实现内部网络接入Internet的需求。

具体需求如下：

• 研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet，要求去往特定目的地址的流量必须经由相应的运营商来转发。

• 当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免业务中断。

图1 双上行接入不同运营商组网图 

本举例中假设某企业从运营商ISP1和ISP2获取了如下信息，这些信息仅供举例使用，实际配置时请从当地运营商获取。

配置思路

1. 配置接口的地址，并将接口加入相应的安全区域。在配置接口GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的地址时，分别指定默认网关为1.1.1.254和2.2.2.254。

2. 配置多条静态路由，使去往特定目的地址的流量经由相应的运营商来转发。

3. 配置安全策略，允许内部网络中的PC访问Internet。

4. 配置NAT策略，提供源地址转换功能。

5. 在运营商ISP1和ISP2网络的设备上配置回程路由，该配置由运营商完成，本举例中不作介绍。

6. 规划内部网络中PC的地址，并将内部网络中PC的网关设置为10.3.0.1、DNS服务器地址设置为9.9.9.9和11.11.11.11，该配置由网络管理员完成，本举例中不作介绍。

操作步骤

1. 配置接口GigabitEthernet 1/0/1。

1. 选择“网络 > 安全区域”。

2. 单击“新建”，按如下参数配置。

   
   

   安全区域名称	isp1
   优先级	10

   
   

3. 单击“确定”。

4. 选择“网络 > 接口”。

5. 单击GE1/0/1对应的，按如下参数配置。

   
   

   安全区域	isp1
   模式	路由
   IPv4
   连接类型	静态IP
   IP地址	1.1.1.1/255.255.255.0
   默认网关	1.1.1.254

   
   

6. 单击“确定”。

2. 配置接口GigabitEthernet 1/0/7。

1. 选择“网络 > 安全区域”。

2. 单击“新建”，按如下参数配置。

   
   

   安全区域名称	isp2
   优先级	20

   
   

3. 单击“确定”。

4. 选择“网络 > 接口”。

5. 单击GE1/0/7对应的，按如下参数配置。

   
   

   安全区域	isp2
   模式	路由
   IPv4
   连接类型	静态IP
   IP地址	2.2.2.2/255.255.255.0
   默认网关	2.2.2.254

   
   

6. 单击“确定”。

3. 配置接口GigabitEthernet 1/0/3。

1. 选择“网络 > 接口”。

2. 单击GE1/0/3对应的，按如下参数配置。

   
   

   安全区域	trust
   模式	路由
   IPv4
   连接类型	静态IP
   IP地址	10.3.0.1/255.255.255.0

   
   

3. 单击“确定”。

4. 配置静态路由。

   
   

    说明：

   此处只给出了四条静态路由的配置，具体使用时可能需指定多条静态路由，为特定目的地址配置明细路由，因此需要咨询运营商获取ISP所属网段信息。

   
   

1. 选择“网络 > 路由 > 静态路由”。

2. 在“静态路由列表”中单击“新建”，按如下参数配置。

   
   

   目的地址/掩码	200.1.2.0/24
   下一跳	1.1.1.254
   出接口	GE1/0/1

   
   

3. 单击“确定”。

4. 在“静态路由列表”中单击“新建”，按如下参数配置。

   
   

   目的地址/掩码	200.2.2.0/24
   下一跳	1.1.1.254
   出接口	GE1/0/1

   
   

5. 单击“确定”。

6. 在“静态路由列表”中单击“新建”，按如下参数配置。

   
   

   目的地址/掩码	202.1.2.0/24
   下一跳	2.2.2.254
   出接口	GE1/0/7

   
   

7. 单击“确定”。

8. 在“静态路由列表”中单击“新建”，按如下参数配置。

   
   

   目的地址/掩码	202.2.2.0/24
   下一跳	2.2.2.254
   出接口	GE1/0/7

   
   

9. 单击“确定”。

5. 配置安全策略，允许内部网络中的PC访问Internet。

1. 选择“策略 > 安全策略”。

2. 单击“新建”，按如下参数配置。

   
   

   此处只给出了完成本举例所需的安全策略的基本参数，具体使用时，请根据实际情况设置安全策略中的其他参数。

   

   
   

3. 单击“确定”。

4. 单击“新建”，按如下参数配置。

   
   

   此处只给出了完成本举例所需的安全策略的基本参数，具体使用时，请根据实际情况设置安全策略中的其他参数。

   

   
   

5. 单击“确定”。

6. 配置NAT策略，当内部网络中的PC访问Internet时进行地址转换。

1. 选择“策略 > NAT策略 > 源NAT”。

2. 在“NAT地址池列表”中单击“新建”，按如下参数配置。

   
   

   名称	address_1
   IP地址范围	1.1.1.10-1.1.1.12

   
   

3. 单击“确定”。

4. 在“NAT地址池列表”中单击“新建”，按如下参数配置。

   
   

   名称	address_2
   IP地址范围	2.2.2.10-2.2.2.12

   
   

5. 单击“确定”。

6. 在“源NAT策略列表”中单击“新建”，按如下参数配置。

   

7. 单击“确定”。

8. 在“源NAT策略列表”中单击“新建”，按如下参数配置。

   

9. 单击“确定”。

结果验证

1. 检查接口GigabitEthernet 1/0/1的状态。

1. 选择“网络 > 接口”。

2. 查看接口GigabitEthernet 1/0/1的公网地址配置是否正确，物理状态和IPv4状态是否为Up。

2. 检查接口GigabitEthernet 1/0/7的状态。

1. 选择“网络 > 接口”。

2. 查看接口GigabitEthernet 1/0/7的公网地址配置是否正确，物理状态和IPv4状态是否为Up。

3. 检查接口GigabitEthernet 1/0/3的状态。

1. 选择“网络 > 接口”。

2. 查看接口GigabitEthernet 1/0/3的私网地址配置是否正确，物理状态和IPv4状态是否为Up。

4. 检查内部网络中的PC通过域名访问Internet时，去往特定目的地址的流量是否经由相应的运营商来转发。若是，则表示配置成功。否则，请检查配置。

配置脚本

#                                                                               
 sysname NGFW                                      
#                                                                               
interface GigabitEthernet1/0/1                                                  
 ip address 1.1.1.1 255.255.255.0                                               
#                                                                               
interface GigabitEthernet1/0/3                                                  
 ip address 10.3.0.1 255.255.255.0                                              
#                                                                               
interface GigabitEthernet1/0/7                                                  
 ip address 10.1.1.1 255.255.255.0                                              
#                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/3                                             
#                                                                               
firewall zone name isp1                                                           
 set priority 10                                                                 
 add interface GigabitEthernet1/0/1                                             
#                                                                               
firewall zone name isp2                                                           
 set priority 20                                                                 
 add interface GigabitEthernet1/0/7                                             
#                                                                               
 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.254                 
 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/7 2.2.2.254                 
 ip route-static 200.1.2.0 255.255.255.0 GigabitEthernet1/0/1 1.1.1.254         
 ip route-static 200.2.2.0 255.255.255.0 GigabitEthernet1/0/1 1.1.1.254         
 ip route-static 202.1.2.0 255.255.255.0 GigabitEthernet1/0/7 2.2.2.254         
 ip route-static 202.2.2.0 255.255.255.0 GigabitEthernet1/0/7 2.2.2.254         
#                                                                                
 nat address-group address_1                                                    
 section 0 1.1.1.10 1.1.1.12                                                      
 nat address-group address_2                                                    
 section 0 2.2.2.10 2.2.2.12                                                        
#                                                                               
security-policy                                                                 
  rule name policy_sec_1                                                        
    source-zone trust                                                           
    destination-zone isp1                                                    
    source-address 10.3.0.0 24                                                  
    action permit                                                               
  rule name policy_sec_2                                                        
    source-zone trust                                                           
    destination-zone isp2                                                   
    source-address 10.3.0.0 24                                                  
    action permit                                                               
#                                                                                
nat-policy                                                                      
  rule name policy_nat_1                                                        
    source-zone trust                                                           
    destination-zone isp1                                                    
    source-address 10.3.0.0 24                                                  
    action nat address-group address_1                                          
  rule name policy_nat_2                                                        
    source-zone trust                                                           
    destination-zone isp2                                                   
    source-address 10.3.0.0 24                                                  
    action nat address-group address_2                                          
#                                                                                
return

• 上一篇： 网络风暴处理一例
• 下一篇： 华为新墙通过多ISP接入Internet（双机热备多出口）