策略路由和NAT实现负载均衡实例(华为防火墙)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、组网需求:
1.正常情况下10.0.0.2从出口1
2.12.12.0NAT转化成100.0.0.0的地址,20.0.0.2从出口1
3.13.13.0NAT转化成200.0.0.0的地址,实现负载均衡。
2.FW双出口的某一条链路down,所有用户NAT成同一地址段出去,实现链路冗余。
二、实验组网
四、关键配置
USG5360 (V100R003C01SPC007):
ip address-set 100and200 type object
address 0 10.0.0.0 mask 24
address 1 20.0.0.0 mask 24
#
ip address-set 10.0.0.2 type object
address 0 10.0.0.0 mask 24
#
ip address-set 20.0.0.2 type object
address 0 20.0.0.0 mask 24
#
acl number 3001
rule 0 permit ip source 10.0.0.0 0.255.255.255
acl number 3002
rule 0 permit ip source 20.0.0.0 0.255.255.255
#
nat address-group 100 NAT1 100.0.0.1 100.0.0.100
nat address-group 200 NAT2 200.0.0.1 200.0.0.100
#
traffic classifier 12
if-match acl 3001
traffic classifier 13
if-match acl 3002
#
traffic behavior 12
remark ip-nexthop 12.12.12.2 output-interface GigabitEthernet0/0/0 traffic behavior 13
remark ip-nexthop 13.13.13.2 output-interface GigabitEthernet0/0/1 #
qos policy re
classifier 12 behavior 12
classifier 13 behavior 13
#
interface GigabitEthernet0/0/0
ip address 12.12.12.1 255.255.255.252
#
interface GigabitEthernet0/0/1
ip address 13.13.13.1 255.255.255.252 #
interface GigabitEthernet0/0/2
ip address 20.0.0.1 255.255.255.0
#
interface GigabitEthernet0/0/3
ip address 10.0.0.1 255.255.255.0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
qos apply policy re outbound
add interface GigabitEthernet0/0/2 add interface GigabitEthernet0/0/3 #
firewall zone untrust
set priority 5
#
firewall zone name t100
set priority 10
add interface GigabitEthernet0/0/0
#
firewall zone name t200
set priority 11
add interface GigabitEthernet0/0/1
#
nat-policy interzone trust untrust outbound #
nat-policy interzone trust t100 outbound policy 0
action source-nat
policy source address-set 100and200 address-group NAT1
#
nat-policy interzone trust t200 outbound policy 0
action source-nat
policy source address-set 100and200 address-group NAT2
#
ip route-static 0.0.0.0 0.0.0.0 13.13.13.2
ip route-static 0.0.0.0 0.0.0.0 12.12.12.2
#
五、实现原理
按照实验要求,如果我们用传统的NAT,将10.0.0.2 nat 成
100.0.0.0/24网段,将20.0.0.2 nat 成200.0.0.0/24网段,这种方法是实现不了当FW双线上连线路任意断掉一条业务不断的实验要求。那么我们应如何解决这个问题呢?首先我们要了解防火墙的处理流程,如下图:
NAT实际上在防火墙中也属于域间策略的一种,即从上图中我们可以知道NAT是在路由选路后进行的,而NAT的配置很简单,只是将匹配的地址(acl)进行一个地址转换的操作(如果不选no-pat方式还包括端口),所以我们不可能从NAT上进行某种操作来实现冗余。这时我们就可以考虑使用策略路由,建议大家在这个时候根据流程图画一张该实验的分析图。如下图: