15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由 NQA或者IP-link,策略路由)】 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

15、华为 华三中小型企业网络架构搭建 【防火墙篇之路由部署(根据需求不同,部署默认路由、浮动路由 NQA或者IP-link,策略路由)】

华为 H3C实战系列 公众号:网络之路博客(其他平台网络之路Blog) 6763次浏览 已收录 0个评论 扫描二维码

实战系列说明

实战

实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

拓扑

实战

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

路由部署【根据需求不同,部署默认路由浮动路由 NQA或者IP-link策略路由

分析:在实际工作中有多种需求
1、客户想实现电信的流量访问电信,联通的流量访问联通【这个需要高版本防火墙才支持】
2、客户想实现2个ISP被充分利用了,并且当一个ISP出向故障的时候,自动切换到另外的ISP上面。
3、客户想默认情况下走电信,但电信出现故障的时候,才走联通【或者联通走VPN流量,电信走ISP流量。】

具体实现

1、客户想实现电信的流量访问电信,联通的流量访问联通【这个需要高版本防火墙才支持】
说明:实现该需求,其实需要大量的路由网段,需要知道电信与联通的最新网段,然后敲入一个明细的路由到路由表中,这样来实现访问电信的走电信,访问联通的走联通,像一些小厂商的路由器默认就集成了路由表,所以可以提供这样的功能,USG目前的版本还没有集成,在下一代防火墙NGfW中,听说是集成了路由表的,而且可以实现负载均衡的情况,所以在实现该需求的时候要么知道电信 联通的明细路由,或者使用高版本【这个需要华为推出来后才可以使用】,目前是无法实现的。

2、客户想实现2个ISP被充分利用了,并且当一个ISP出向故障的时候,自动切换到另外的ISP上面。
说明:这个目前在工作中使用的方法是最多的,它主要是利用内网的网段来负载分担,比如一般的流量走电信,一半的流量走联通,然后通过NQA或者IP-lINk技术的配合来检测ISP是否正常,然后通过策略路由来分类。

2.1、策略路由实施

[USG-GW]acl number 2000
[USG-GW-acl-basic-2000]description Core-A Vrrp master to access internet
[USG-GW-acl-basic-2000]rule permit source 192.168.19.0 0.0.0.255
[USG-GW-acl-basic-2000]rule permit source 192.168.21.0 0.0.0.255

[USG-GW]acl number 2001
[USG-GW-acl-basic-2001]description Core-B vrrp master to access internet
[USG-GW-acl-basic-2001]rule permit source 192.168.20.0 0.0.0.255
说明:定义了2个ACl,该ACl的分类是根据VrrP的Master来区分的,比如Core-A上面的Master网段则定义在200里面,而Core-B的Master网段走定义在2001里面,这样的话用来匹配不同内网的流量,最终调用在策略路由中,实现效果。

[USG-GW]policy-based-route to-isp permit node 5
[USG-GW-policy-based-route-to-isp-5]if-match acl 2000
[USG-GW-policy-based-route-to-isp-5]apply ip-address next-hop 202.100.1.1

[USG-GW]policy-based-route to-isp permit node 10
[USG-GW-policy-based-route-to-isp-10]if-match acl 2001
[USG-GW-policy-based-route-to-isp-10]apply ip-address next-hop 61.128.1.1
说明:定义了2个策略路由,第一个为访问电信的,当匹配了ACl 2000的时候,则走下一跳202.100.1.1,第二个则为访问联通的,当匹配了ACl 2001的时候,则走下一跳61.128.1.1。另外这里必须写在一个策略里面,因为一个接口只能调用一个策略路由,所以这里最终调用在VLAN接口下。
[USG-GW]interface vlan 1
[USG-GW-Vlanif1]ip policy-based-route to-isp
说明:这里没有方向性的,策略路由能调用在源接口。

2.2 IP-Link技术实施

说明:其中大家觉得可以用NQA的,但是在防火墙上面NQA不支持关联路由,只能用IP-Link,而且IP-link技术有一个莫大的优势,就是可以跟 策略路由联动。
[USG-GW]ip-link check enable
[USG-GW]ip-link 1 destination 202.100.1.1 interface g0/0/1 mode icmp
[USG-GW]ip-link 2 destination 61.128.1.1 interface g0/0/2 mode icmp
说明:开启了IP-Link技术,并且定义了2个,当目的地202.100.1.1可以用ICMP测试的情况下,IP-Link1是UP的,否则为Down,当然Ip-Link效果也一样。最终关联到路由里面就行了。

image001.png

可以看到现在都是UP的。

扩展应用【如果想测试Dns或者是拨号接口该怎么办】

[USG-GW]ip-link 3 destination ccieh3c.taobao.com interface g0/0/1 这种可以实现当访问该域名从G0/0/1不通的情况下,则认为该链路失效了。这种为dNS测试办法
注意需要打开dNS解析功能,与定义dNS服务器地址。dns resolve dns server x.x.x.x

[USG-GW]ip-link 3 destination ccieh3c.com mode icmp next-hop dialer ,这种就是说当是PPPOe环境的时候,可以指定下一跳为拨号接口。当然也可以 ip-link 3 destination ccieh3c.taobao.com interface dialer 0这样。Destinatio可以为IP或者域名。

2.3 默认路由定义

[USG-GW]ip route-static 0.0.0.0 0 202.100.1.1 track ip-link 1
[USG-GW]ip route-static 0.0.0.0 0 61.128.1.1 track ip-link 2
说明:定义了2条默认路由,分别指向联通电信的下一跳,注意这里是关联了IP-LINk技术的。

2.4 策略与NAT定义

策略与NAT之前已经定义完毕了,所以这里不需要重复定义。

2.5 结果验证测试【以访客厅与Boos为例。】

9.3.1 访问Internet测试【双线路访问,并且测试一边失效后的结果。】
2.5.1访客厅用户测试

image002.png

已经获取到了IP地址
NAT转换条目查看

image003.png

可以看到有dNS的流量,都是走的202.100.1.2,当解析到了公网地址后,然后通过转换为202.100.1.2 访问百度。

image004.png

可以看到百度也打开了。

策略检查匹配项

image005.png

可以看到这里是有对应匹配的。

NAT匹配项

image006.png

为什么策略2可以生效呢,因为现在已经是在Action中。

image007.png

可以看到ACL也有对应的匹配。

测试当dx出现故障后,能否继续访问外网。

[USG-GW]int g0/0/1
[USG-GW-GigabitEthernet0/0/1]shutdown
这里只能认为的关闭下端口,造成故障的问题。

image008.png

说明下:PING 114.114.114.144是可以通信的,而8.8.8.8则不行,国内已经封闭了。

image009.png

有对应的策略匹配。

策略路由与IP-Link技术匹配的时候效果
当有IP-Link技术与策略路由同时出现的时候,系统会默认的根据IP-Link检测的下一跳地址,来判断策略路由是否生效,202.100.1.1失效了,则该策略路由对应的也失效,所以这里走的不是策略路由,而是走的默认路由

image010.png

2.5.2高层部门下测试

image011.png

已经获取到了对应的VLAN下的地址。

image012.png
image004.png
image013.png

可以看到会话信息,都是通过 61.128.1.2转发的。

image014.png

可以看到,现在第一个是有匹配了的,因为这个是给Boss网段用的。

image015.png

策略路由调用的ACL也是有效果的。

测试断开链路,继续访问

image012.png
image004.png
image016.png

可以看到后面的都是关于202.100.1.2的了,并不是61.128.1.2,而且访问正常。

image017.png

可以看到,电信的策略有匹配项目了。

2.6 总结

关于双ISP的实施,注意几点就可以了,关于ip-link技术与策略路由的配合,另外就是需要放行的策略,与NAT的配置。注意查看匹配项来检查是否正常转换。

3、客户想默认情况下走电信,但电信出现故障的时候,才走联通【或者联通走VPN流量,电信走ISP流量。】

关于该定义的话,这里就不演示结果了,只给出思路与配置。
1、定义ip-link技术
2、直接指向一条默认路由到DX。【注意关联ip-link】
3、定义一条浮动默认路由指向联通【不需要调用ip-link,但是优先级要把DX的要大】
4、如果要实现VPN的流量走联通的话,指向把需要访问对方私网网段的地址直接指向联通的出接口即可。那么在加密处理的时候自然会把包引向联通的接口,然后发送给对方。

说明:这样实现的额效果就是默认情况下走电信,当ip-link技术检查到电信的链路坏了,然后默认路由消失,直接用联通的默认路由,而VPN因为有静态路由的存在,所以会引向联通的接口从而进行加密处理。
博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com。


学习必备软件(模拟器等)
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~[/v_act]

(广告)博主自主原创最新实战课程

点击查看详情

(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题

远程技术调试与技术支持,点击查看详情

您使用的不是本站推荐览器浏览!(无法获取下载地址)请点击这里下载安装windows版!
原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (6)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
关于作者:
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址