分享是一种生活态度,求知,求真,分享工作,分享生活!

华为防火墙可靠性–IP-Link 实验

华为 iqianyue 1868次浏览 0个评论 扫描二维码

实验目的

配置静态路由与IP-Link联动。某公司通过交换机连接两个路由器,以双链路接入Internet,为了保证在链路故障时可以动态调整静态路由,在USG和两台路由器之间配置静态路由绑定IP-Link,将Router 1作为主要使用的路由器,在出现故障时,动态启用到Router 2的路由,从而不影响内网用户正常访问Internet。

组网设备

PC机两台、USG系列防火墙一台、交换机两台,路由器两台。

实验拓扑图

IP-link

 

实验步骤(命令行 )

  1. 配置各接口的IP地址。并将接口加入安全区域,配置域间包过滤,以保证网络基本通信正常。

<USG> system-view

[USG] interface GigabitEthernet 0/0/0

[USG-GigabitEthernet0/0/0] ip address 192.168.0.1 255.255.255.0

[USG-GigabitEthernet0/0/0] quit

[USG] interface GigabitEthernet 0/0/1

[USG-GigabitEthernet0/0/1] ip address 10.10.1.1 255.255.255.0

[USG-GigabitEthernet0/0/1] quit

[USG]firewall zone untrust

[USG-zone-untrust]add interface GigabitEthernet 0/0/1

[USG]firewall packet-filter default permit interzone untrust trust

  1. 配置NAT策略。使内网PC可以与外网PC通信。

[USG]nat-policy interzone trust untrust outbound

[USG-nat-policy-interzone-trust-untrust-outbound]policy 0

[USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat

[USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip GigabitEthernet 0/0/1

  1. 配置IP-Link,分别检测USG到Router 1和Router 2的链路。

[USG] ip-link check enable

[USG] ip-link 1 destination 10.10.1.2 mode icmp

[USG] ip-link 2 destination 10.10.1.3 mode icmp

  1. 配置到Internet静态路由,分别绑定各自链路的IP-Link,为通过Router 1的路由设置较高的优先级。

[USG] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2 track ip-link 1

[USG] ip route-static 0.0.0.0 0.0.0.0 10.10.1.3 preference 70 track ip-link 2

  1. 配置交换机。

# Switch 1为透传模式,可不做任何配置。

# Switch 2上将三个接口加入同一vlan,并配置vlanif接口。PC2的网关地址为该vlanif接口地址。

[SW2] interface Vlanif 1

[SW2-Vlanif1] ip address 192.168.100.105 24

# 在switch 2上配置动态路由协议OSPF。通告192.168.100.0/24网段。

[SW2] ospf 100

[SW2-ospf-100] area 0

[SW2-ospf-100-area-0.0.0.0] network 192.168.100.0 0.0.0.255

  1. 配置路由器。# 在Router 1和Router 2上分别配置OSPF,通告10.10.1.0/24网段和192.168.100.0/24网段路由。以Router 1配置为例。Router 2配置类似,具体步骤省略。
  2. # 配置各路由器接口IP地址。具体步骤省略。

[Router 1] ospf 100

[Router 1-ospf-100]area 0

[Router 1-ospf-100-area-0.0.0.0]network 10.10.1.0 0.0.0.255

[Router A-ospf-100-area-0.0.0.0]network 192.168.100.0 0.0.0.255


iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (2)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址