策略路由和NAT实现负载均衡实例(华为防火墙)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

一、组网需求:

1.正常情况下10.0.0.2从出口1

2.12.12.0NAT转化成100.0.0.0的地址,20.0.0.2从出口1

3.13.13.0NAT转化成200.0.0.0的地址,实现负载均衡。

2.FW双出口的某一条链路down,所有用户NAT成同一地址段出去,实现链路冗余。

二、实验组网

四、关键配置

USG5360 (V100R003C01SPC007):

ip address-set 100and200 type object

address 0 10.0.0.0 mask 24

address 1 20.0.0.0 mask 24

#

ip address-set 10.0.0.2 type object

address 0 10.0.0.0 mask 24

#

ip address-set 20.0.0.2 type object

address 0 20.0.0.0 mask 24

#

acl number 3001

rule 0 permit ip source 10.0.0.0 0.255.255.255

acl number 3002

rule 0 permit ip source 20.0.0.0 0.255.255.255

#

nat address-group 100 NAT1 100.0.0.1 100.0.0.100

nat address-group 200 NAT2 200.0.0.1 200.0.0.100

#

traffic classifier 12

if-match acl 3001

traffic classifier 13

if-match acl 3002

#

traffic behavior 12

remark ip-nexthop 12.12.12.2 output-interface GigabitEthernet0/0/0 traffic behavior 13

remark ip-nexthop 13.13.13.2 output-interface GigabitEthernet0/0/1 #

qos policy re

classifier 12 behavior 12

classifier 13 behavior 13

#

interface GigabitEthernet0/0/0

ip address 12.12.12.1 255.255.255.252

#

interface GigabitEthernet0/0/1

ip address 13.13.13.1 255.255.255.252 #

interface GigabitEthernet0/0/2

ip address 20.0.0.1 255.255.255.0

#

interface GigabitEthernet0/0/3

ip address 10.0.0.1 255.255.255.0

#

firewall zone local

set priority 100

#

firewall zone trust

set priority 85

qos apply policy re outbound

add interface GigabitEthernet0/0/2 add interface GigabitEthernet0/0/3 #

firewall zone untrust

set priority 5

#

firewall zone name t100

set priority 10

add interface GigabitEthernet0/0/0

#

firewall zone name t200

set priority 11

add interface GigabitEthernet0/0/1

#

nat-policy interzone trust untrust outbound #

nat-policy interzone trust t100 outbound policy 0

action source-nat

policy source address-set 100and200 address-group NAT1

#

nat-policy interzone trust t200 outbound policy 0

action source-nat

policy source address-set 100and200 address-group NAT2

#

ip route-static 0.0.0.0 0.0.0.0 13.13.13.2

ip route-static 0.0.0.0 0.0.0.0 12.12.12.2

#

五、实现原理

按照实验要求,如果我们用传统的NAT,将10.0.0.2 nat 成

100.0.0.0/24网段,将20.0.0.2 nat 成200.0.0.0/24网段,这种方法是实现不了当FW双线上连线路任意断掉一条业务不断的实验要求。那么我们应如何解决这个问题呢?首先我们要了解防火墙的处理流程,如下图:

NAT实际上在防火墙中也属于域间策略的一种,即从上图中我们可以知道NAT是在路由选路后进行的,而NAT的配置很简单,只是将匹配的地址(acl)进行一个地址转换的操作(如果不选no-pat方式还包括端口),所以我们不可能从NAT上进行某种操作来实现冗余。这时我们就可以考虑使用策略路由,建议大家在这个时候根据流程图画一张该实验的分析图。如下图:

相关文档
最新文档