華三防火墻策略路由配置案例-華三策略路由配置實例
1 配置需求或說明
1.1 適用的產(chǎn)品系列
本案例適用于軟件平臺為Comware V7系列防火墻:F100-X-G2、F1000-X-G2、F100-WiNet、F1000-AK、F10X0等
注:本案例是在F1000-C-G2的Version 7.1.064, Release 9323P1801版本上進(jìn)行配置和驗證的。
1.2 配置需求及實現(xiàn)的效果
防火墻作為網(wǎng)絡(luò)出口設(shè)備,外網(wǎng)有移動和聯(lián)通兩條線路。內(nèi)網(wǎng)有192.168.1.0和192.168.2.0兩個網(wǎng)段,需要實現(xiàn)192.168.1.0網(wǎng)段走移動線路,192.168.2.0網(wǎng)段走聯(lián)通線路。當(dāng)兩條線路中的一條線路故障時數(shù)據(jù)可以通過正常鏈路轉(zhuǎn)發(fā)。
2 組網(wǎng)圖
3 配置步驟
3.1 上網(wǎng)配置
防火墻上網(wǎng)配置請參考“2.2.2 防火墻外網(wǎng)使用固定IP地址上網(wǎng)配置方法”進(jìn)行配置,本文只針對策略路由配置進(jìn)行介紹。
3.2 新建訪問控制列表匹配移動和聯(lián)通數(shù)據(jù)
3.2.1 創(chuàng)建ACL匹配需要由移動鏈路轉(zhuǎn)發(fā)的數(shù)據(jù)
# 創(chuàng)建ACL 3000匹配192.168.1.0網(wǎng)段數(shù)據(jù)
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]quit
3.2.2 創(chuàng)建ACL匹配需要由聯(lián)通鏈路轉(zhuǎn)發(fā)的數(shù)據(jù)
# 創(chuàng)建ACL 3001匹配192.168.2.0網(wǎng)段數(shù)據(jù)
[H3C]acl advanced 3001
[H3C-acl-ipv4-adv-3001]rule 0 permit ip source 192.168.2.0 0.0.0.255
[H3C-acl-ipv4-adv-3001]quit
3.3 創(chuàng)建策略路由
3.3.1 創(chuàng)建移動策略路由節(jié)點
# 創(chuàng)建策略路由neiwang節(jié)點5匹配192.168.1.0網(wǎng)段的數(shù)據(jù)由移動線路轉(zhuǎn)發(fā)。
[H3C]policy-based-route neiwang node 5
[H3C-pbr-neiwang-5]if-match acl 3000
[H3C-pbr-neiwang-5]apply next-hop 1.1.1.2
[H3C-pbr-neiwang-5]quit
注:next-hop后的地址為移動線路的網(wǎng)關(guān)
3.3.2 創(chuàng)建移動策略路由節(jié)點
# 創(chuàng)建策略路由neiwang節(jié)點10匹配192.168.2.0網(wǎng)段的數(shù)據(jù)由聯(lián)通線路轉(zhuǎn)發(fā)。
[H3C]policy-based-route neiwang node 10
[H3C-pbr-neiwang-10]if-match acl 3001
[H3C-pbr-neiwang-10]apply next-hop 2.2.2.2
[H3C-pbr-neiwang-10]quit
注:next-hop后的地址為聯(lián)通線路的網(wǎng)關(guān)
3.4 應(yīng)用策略
# 在防火墻連接內(nèi)網(wǎng)的接口GigabitEthernet 1/0/4口調(diào)用策略路由
[H3C]interface GigabitEthernet 1/0/4
[H3C-GigabitEthernet1/0/4]ip policy-based-route neiwang
[H3C-GigabitEthernet1/0/4]quit
注:策略路由必須調(diào)用在內(nèi)網(wǎng)接口才能生效。
3.5 保存配置
[H3C]save force
