华为双链路出口调试步骤.doc

出口网关双链路接入不同运营商举例二 USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，并保护内网不受网络攻击。 组网需求 某学校网络通过USG连接到Internet，校内组网情况如下： 校内用户主要分布在教学楼和宿舍区，通过汇聚交换机连接到USG。 学校分别通过两个不同运营商（ISP1和ISP2）连接到Internet，两个运营商分别为该校分配了3个IP地址。ISP1分配的IP地址是～，ISP2分配的IP地址是～，掩码均为24位。 该学校网络需要实现以下需求： 校内用户能够通过两个运营商访问Internet，且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。 当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免网络长时间中断。 保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。 图1 出口网关双链路接入不同运营商举例二组网图 项目 数据 说明 （1） 接口号：GigabitEthernet 0/0/0 IP地址：/16 安全区域：Trust 接口（1）是连接内网汇聚交换机的接口。 校内用户分配到网段为/16的私网地址和DNS服务器地址/24，部署在Trust区域。 （2） 接口号：GigabitEthernet 0/0/2 IP地址：/24 安全区域：ISP1 安全优先级：15 接口（2）是连接ISP1的接口，去往ISP1所属网段的数据通过接口（2）转发。 （3） 接口号：GigabitEthernet 5/0/0 IP地址：/24 安全区域：ISP2 安全优先级：20 接口（3）是连接ISP2的接口。去往ISP2所属网段的数据通过接口（3）转发。 （4） 接口号：GigabitEthernet 0/0/0 IP地址：0/24 接口（4）是ISP1端与USG相连的接口。 （5） 接口号：GigabitEthernet 0/0/0 IP地址：0/24 接口（5）是ISP2端与USG相连的接口。 ISP1分配给学校的IP地址 ～，掩码24位。 其中用作USG的出接口地址，和用作Trust—ISP1域间的NAT地址池1的地址。 ISP2分配给学校的IP地址 ～，掩码24位。 其中用作USG的出接口地址，和用作Trust—ISP2域间的NAT地址池2的地址。 注意： 实际场景中，可能需指定多条静态路由，为特定目的IP地址配置明细路由。因此需要咨询运营商获取ISP所属网段信息。本例中仅给出了四条静态路由的配置。 [USG] ip route-static 24 GigabitEthernet 0/0/2 0 [USG] ip route-static 24 GigabitEthernet 0/0/2 0 [USG] ip route-static 24 GigabitEthernet 5/0/0 0 [USG] ip route-static 24 GigabitEthernet 5/0/0 0 # 配置两条缺省路由，当报文无法匹配静态路由时，通过缺省路由发送给下一跳。 [USG] ip route-static GigabitEthernet 0/0/2 0 [USG] ip route-static GigabitEthernet 5/0/0 0 配置攻击防范功能，保护校园网络。 注意： 请根据网络实际情况开启攻击防范功能和调整报文速率阈值，本例中配置的攻击防范功能仅供参考。 # 开SYN Flood、UDP Flood和ICMP Flood攻击防范功能，并限制每条会话允许通过的ICMP报文最大速率为5包/秒。 [USG] firewall defend syn-flood enable [USG] firewall defend udp-flood enable [USG] firewall defend icmp-flood enable [USG] firewall defend icmp-flood base-session max-rate 5 结果验证 执行命令display nat all，可以看到配置的NAT地址池和内部服务器信息。 [USG] display nat all NAT address-group information: number : 1 name : --- startaddr : endaddr :