策略路由和NAT实现负载均衡实例(华为防火墙)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
acl number3001
rule0permit ip source10.0.0.0 0.255.255.255
acl number3002
rule0permit ip source20.0.0.0 0.255.255.255
#
nat address-group100NAT1100.0.0.1 100.0.0.100
注:方便起见,图中文字的接口用IP地址来表示具体三层接口。
从上图中,我们就可以知道,根据不同的下一跳接口,可以分类出两种不
同的域间策略,这时我们就可以在不同的域间进行不同NAT,实现了实验要求
的NAT需求。那么第二个实验要求能不能实现呢?
答案是确定能实现的。我们可以仔细思考一下,利用策略路由我们可以实
nat实际上在防火墙中也属于域间策略的一种即从上图中我们可以知道nat是在路由选路后进行的而nat的配置很简单只是将匹配的地址acl进行一个地址转换的操作如果不选nopat方式还包括端口所以我们不可能从nat上进行某种操作来实现冗余
一、组网需求:
1.正常情况下10.0.0.2从出口12.12.12.0NAT转化成100.0.0.0的地址,20.0.0.2从出口13.13.13.0NAT转化成200.0.0.0的地址,实现负载均衡。
ip route-static0.0.0.0 0.0.0.0 13.13.13.2
ip route-static 0.0.0.0 0.0.0.0 12.12.12.2
五、实现原理
按照实验要求,如果我们用传统的NAT,将10.0.0.2 nat成
100.0.0.0/24网段,将20.0.0.2 nat成200.0.0.0/24网段,这种方 法是实现不了当FW双线上连线路任意断掉一条业务不断的实验要求。那么我 们应如何解决这个问题呢?首先我们要了解防火墙的处理流程,如下图:
现不同源地址同一目的地址的不同下一跳操作(有点绕),而下一跳地址是否有
效是由三层端口的链路状态决定的。那么此时,我们将FW上联线路断掉其中
一条,自然FW就只存在唯条有效的路由下,也就只有一个目的域,即两个NAT中只有一个
生效。
六、总结
ip address12.12.12.1 255.255.255.252
interface GigabitEthernet0/0/1
ip address13.13.13.1 255.255.255.252 #
interface GigabitEthernet0/0/2 ip address20.0.0.1 255.255.255.0 #
interface GigabitEthernet0/0/3 ip address10.0.0.1 255.255.255.0 #
firewall zone local
set priority100
#
firewall zone trust
set priority85
qos apply policy re outbound
NAT实际上在防火墙中也属于域间策略的一种,即从上图中我们可以知道
NAT是在路由选路后进行的,而NAT的配置很简单,只是将匹配的地址(acl)进行一个地址转换的操作(如果不选no-pat方式还包括端口),所以我们不可 能从NAT上进行某种操作来实现冗余。这时我们就可以考虑使用策略路由,建 议大家在这个时候根据流程图画一张该实验的分析图。如下图:
add interface GigabitEthernet0/0/2 add interface GigabitEthernet0/0/3#
firewall zone untrust
set priority5
#firewall zone name t100
set priority10
add interface GigabitEthernet0/0/0
2.FW双出口的某一条链路down,所有用户NAT成同一地址段出去,实现链路 冗余。
IU.LI.U.J
30.0.0.2^3D.D.0.3^
四、关键配置
USG5360 (V100R003C01SPC007)
ip address-set 100a nd200 type object
address 0 10.0.0.0 mask 24
#
firewall zone name t200
set priority11
add interface GigabitEthernet0/0/1
#
nat-policy interzone trust untrust outbound
#
nat-policy interzone trust t100 outbound
policy0
action source-nat
policy source address-set 100and200 address-group NAT1
#
nat-policy interzone trust t200 outbound
policy0
action source-nat
policy source address-set 100and200 address-group NAT2
address 1 20.0.0.0 mask 24
#
ip address-set 10.0.0.2 type object
address 0 10.0.0.0 mask 24
#
ip address-set 20.0.0.2 type object
address 0 20.0.0.0 mask 24
remark ip-nexthop13.13.13.2output-interface GigabitEthernet0/0/1#
qos policy re
classifier12behavior12
classifier13behavior13
#
interface GigabitEthernet0/0/0
nat address-group200NAT2200.0.0.1 200.0.0.100
#
traffic classifier12
if-match acl3001
traffic classifier13
if-match acl3002
#
traffic behavior12
remark ip-nexthop12.12.12.2output-interface GigabitEthernet0/0/0 traffic behavior13
相关文档
最新文档