- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
华为双链路出口调试步骤
出口网关双链路接入不同运营商举例二
USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击。
组网需求
某学校网络通过USG连接到Internet,校内组网情况如下:
校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。
学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了3个IP地址。ISP1分配的IP地址是~,ISP2分配的IP地址是~,掩码均为24位。
该学校网络需要实现以下需求:
校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。
当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。
图1 出口网关双链路接入不同运营商举例二组网图
项目 数据 说明 (1) 接口号:GigabitEthernet 0/0/0
IP地址:/16
安全区域:Trust 接口(1)是连接内网汇聚交换机的接口。
校内用户分配到网段为/16的私网地址和DNS服务器地址/24,部署在Trust区域。 (2) 接口号:GigabitEthernet 0/0/2
IP地址:/24
安全区域:ISP1
安全优先级:15 接口(2)是连接ISP1的接口,去往ISP1所属网段的数据通过接口(2)转发。 (3) 接口号:GigabitEthernet 5/0/0
IP地址:/24
安全区域:ISP2
安全优先级:20 接口(3)是连接ISP2的接口。去往ISP2所属网段的数据通过接口(3)转发。 (4) 接口号:GigabitEthernet 0/0/0
IP地址:0/24 接口(4)是ISP1端与USG相连的接口。 (5) 接口号:GigabitEthernet 0/0/0
IP地址:0/24 接口(5)是ISP2端与USG相连的接口。 ISP1分配给学校的IP地址 ~,掩码24位。 其中用作USG的出接口地址,和用作Trust—ISP1域间的NAT地址池1的地址。 ISP2分配给学校的IP地址 ~,掩码24位。 其中用作USG的出接口地址,和用作Trust—ISP2域间的NAT地址池2的地址。 注意:
实际场景中,可能需指定多条静态路由,为特定目的IP地址配置明细路由。因此需要咨询运营商获取ISP所属网段信息。本例中仅给出了四条静态路由的配置。
[USG] ip route-static 24 GigabitEthernet 0/0/2 0
[USG] ip route-static 24 GigabitEthernet 0/0/2 0
[USG] ip route-static 24 GigabitEthernet 5/0/0 0
[USG] ip route-static 24 GigabitEthernet 5/0/0 0
# 配置两条缺省路由,当报文无法匹配静态路由时,通过缺省路由发送给下一跳。
[USG] ip route-static GigabitEthernet 0/0/2 0
[USG] ip route-static GigabitEthernet 5/0/0 0
配置攻击防范功能,保护校园网络。
注意:
请根据网络实际情况开启攻击防范功能和调整报文速率阈值,本例中配置的攻击防范功能仅供参考。
# 开SYN Flood、UDP Flood和ICMP Flood攻击防范功能,并限制每条会话允许通过的ICMP报文最大速率为5包/秒。
[USG] firewall defend syn-flood enable
[USG] firewall defend udp-flood enable
[USG] firewall defend icmp-flood enable
[USG] firewall defend icmp-flood base-session max-rate 5
结果验证
执行命令display nat all,可以看到配置的NAT地址池和内部服务器信息。
[USG] display nat all
NAT address-group information:
number : 1 name : ---
startaddr : endaddr :
您可能关注的文档
- 英语国际标准音标和练习.doc
- 阅读2课后总结题.doc
- 初中名词代词习题.docx
- 新概念一61-80.doc
- 六年级英语提高题.doc
- 2012年涪四中2013级第二次月考英语试题--李普健.doc
- RFI Journal Francais Facile 2011.01.03 听力文本.doc
- 郑州航院口语考试对话.doc
- 《论语》研读.docx
- 西青区2010年初中毕业生学业水平考试英语模拟试卷(一)初稿.doc
- GB/T 29324-2024架空导线用碳纤维增强复合材料芯.pdf
- 《GB/T 29324-2024架空导线用碳纤维增强复合材料芯》.pdf
- GB/T 43905.1-2024焊接及相关工艺中烟尘和气体取样的实验室方法 第1部分:电弧焊中烟尘排放速率的测定和分析用烟尘的收集.pdf
- 《GB/T 43905.1-2024焊接及相关工艺中烟尘和气体取样的实验室方法 第1部分:电弧焊中烟尘排放速率的测定和分析用烟尘的收集》.pdf
- 中国国家标准 GB/T 43905.1-2024焊接及相关工艺中烟尘和气体取样的实验室方法 第1部分:电弧焊中烟尘排放速率的测定和分析用烟尘的收集.pdf
- 中国国家标准 GB/T 18910.21-2024液晶显示器件 第2-1部分:无源矩阵单色液晶显示模块 空白详细规范.pdf
- GB/T 18910.21-2024液晶显示器件 第2-1部分:无源矩阵单色液晶显示模块 空白详细规范.pdf
- 《GB/T 18910.21-2024液晶显示器件 第2-1部分:无源矩阵单色液晶显示模块 空白详细规范》.pdf
- GB/T 43860.1220-2024触摸和交互显示 第12-20部分:触摸显示测试方法 多点触摸性能.pdf
- 中国国家标准 GB/T 43860.1220-2024触摸和交互显示 第12-20部分:触摸显示测试方法 多点触摸性能.pdf
文档评论(0)