出口网关双链路接入不同运营商举例二
USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击。
组网需求
某学校网络通过USG连接到Internet,校内组网情况如下:
?校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。
?学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了3个IP地址。ISP1分配的IP地址是200.1.1.1~200.1.1.3,ISP2分配的IP地址是202.1.1.1~202.1.1.3,掩码均为24位。
该学校网络需要实现以下需求:
?校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。
?当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
?保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。
图1 出口网关双链路接入不同运营商举例二组网图
配置思路
?为了实现校园网用户使用有限公网IP地址接入Internet,需要配置NAPT 方式的NAT,借助端口将多个私网IP地址转换为有限的公网IP地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转
换为公网地址。即创建两个安全区域ISP1和ISP2(安全优先级低于DMZ
区域),并分别在Trust—ISP1域间、Trust—ISP2域间配置NAT outbound。
?为了实现去往不同运营商的流量由对应接口转发,需要收集ISP1和ISP2所属网段的信息,并配置到这些网段的静态路由。使去往ISP1的流量通
过连接ISP1的接口转发,去往ISP2的流量通过连接ISP2的接口转发。
为了提高链路可靠性,避免业务中断,需要配置两条缺省路由。当报文无
法匹配静态路由时,通过缺省路由发送给下一跳。
?在USG上启用攻击防范功能,保护校园网内部网络。
操作步骤
1.配置USG各接口的IP地址并将接口加入安全区域。
# 配置USG各接口的IP地址。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 16
[USG-GigabitEthernet0/0/0] quit
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 200.1.1.1 24
[USG-GigabitEthernet0/0/2] quit
[USG] interface GigabitEthernet 5/0/0
[USG-GigabitEthernet5/0/0] ip address 202.1.1.1 24
[USG-GigabitEthernet5/0/0] quit
# 将GigabitEthernet 0/0/0接口加入Trust安全区域
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
# 创建安全区域ISP1,并将GigabitEthernet 0/0/2接口加入ISP1。
[USG] firewall zone name isp1
[USG-zone-isp1] set priority 15
[USG-zone-isp1] add interface GigabitEthernet 0/0/2
[USG-zone-isp1] quit
# 创建安全区域ISP2,并将GigabitEthernet 5/0/0接口加入ISP2。
[USG] firewall zone name isp2
[USG-zone-isp2] set priority 20
[USG-zone-isp2] add interface GigabitEthernet 5/0/0
[USG-zone-isp2] quit
2.配置域间包过滤及ASPF功能,对校内外数据流进行访问控制。
# 配置Trust—ISP1的域间包过滤,允许校内用户访问ISP1。
[USG] policy interzone trust isp1 outbound
[USG-policy-interzone-trust-isp1-outbound] policy 1
[USG-policy-interzone-trust-isp1-outbound-1] policy source
10.1.0.0 0.0.255.255
[USG-policy-interzone-trust-isp1-outbound-1] action permit [USG-policy-interzone-trust-isp1-outbound-1] quit
[USG-policy-interzone-trust-isp1-outbound] quit
# 配置Trust—ISP2的域间包过滤,允许校内用户访问ISP2。
[USG] policy interzone trust isp2 outbound
[USG-policy-interzone-trust-isp2-outbound] policy 1
[USG-policy-interzone-trust-isp2-outbound-1] policy source
10.1.0.0 0.0.255.255
[USG-policy-interzone-trust-isp2-outbound-1] action permit [USG-policy-interzone-trust-isp2-outbound-1] quit
[USG-policy-interzone-trust-isp2-outbound] quit
# 在域间开启ASPF功能,防止多通道协议无法建立连接。
[USG] firewall interzone trust isp1
[USG-interzone-trust-isp1] detect ftp
[USG-interzone-trust-isp1] detect qq
[USG-interzone-trust-isp1] detect msn
[USG-interzone-trust-isp1] quit
[USG] firewall interzone trust isp2
[USG-interzone-trust-isp2] detect ftp
[USG-interzone-trust-isp2] detect qq
[USG-interzone-trust-isp2] detect msn
[USG-interzone-trust-isp2] quit
3.配置NAT outbound,使内网用户通过转换后的公网IP地址访问Internet。
# 配置应用于Trust—ISP1域间的NAT地址池1。地址池1包括ISP1提供的两个IP地址200.1.1.2和200.1.1.3。
[USG] nat address-group 1 200.1.1.2 200.1.1.3
# 配置应用于Trust—ISP2域间的NAT地址池2。地址池2包括ISP2提供的两个IP地址202.1.1.2和202.1.1.3。
[USG] nat address-group 2 202.1.1.2 202.1.1.3
# 在Trust—ISP1域间配置NAT outbound,将校内用户的私网IP地址转换为ISP1提供的公网IP地址。
[USG] nat-policy interzone trust isp1 outbound
[USG-nat-policy-interzone-trust-isp1-outbound] policy 1
[USG-nat-policy-interzone-trust-isp1-outbound-1] policy source
10.1.0.0 0.0.255.255
[USG-nat-policy-interzone-trust-isp1-outbound-1] action
source-nat
[USG-nat-policy-interzone-trust-isp1-outbound-1] address-group 1 [USG-nat-policy-interzone-trust-isp1-outbound-1] quit
[USG-nat-policy-interzone-trust-isp1-outbound] quit
# 在Trust—ISP2域间配置NAT outbound,将校内用户的私网IP地址转换为ISP2提供的公网IP地址。
[USG] nat-policy interzone trust isp2 outbound
[USG-nat-policy-interzone-trust-isp2-outbound] policy 1
[USG-nat-policy-interzone-trust-isp2-outbound-1] policy source
10.1.0.0 0.0.255.255
[USG-nat-policy-interzone-trust-isp2-outbound-1] action
source-nat
[USG-nat-policy-interzone-trust-isp2-outbound-1] address-group 2 [USG-nat-policy-interzone-trust-isp2-outbound-1] quit
[USG-nat-policy-interzone-trust-isp2-outbound] quit
4.配置多条静态路由和两条缺省路由,实现网络的双出口特性和链路的可靠
性。
# 为特定目的IP地址的报文指定出接口,目的地址为IPS1的指定出接口为GigabitEthernet 0/0/2、目的地址为ISP2的指定出接口为
GigabitEthernet 5/0/0。
注意:
实际场景中,可能需指定多条静态路由,为特定目的IP地址配置明细路由。因此需要咨询运营商获取ISP所属网段信息。本例中仅给出了四条静态路由的配置。
[USG] ip route-static 200.1.2.3 24 GigabitEthernet 0/0/2
200.1.1.10
[USG] ip route-static 200.2.2.1 24 GigabitEthernet 0/0/2
200.1.1.10
[USG] ip route-static 202.1.2.3 24 GigabitEthernet 5/0/0
202.1.1.10
[USG] ip route-static 202.2.3.4 24 GigabitEthernet 5/0/0
202.1.1.10
# 配置两条缺省路由,当报文无法匹配静态路由时,通过缺省路由发送给下一跳。
[USG] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/2 200.1.1.10
[USG] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 5/0/0 202.1.1.10
5.配置攻击防范功能,保护校园网络。
注意:
请根据网络实际情况开启攻击防范功能和调整报文速率阈值,本例中配置的攻击防范功能仅供参考。
# 开SYN Flood、UDP Flood和ICMP Flood攻击防范功能,并限制每条会话允许通过的ICMP报文最大速率为5包/秒。
[USG] firewall defend syn-flood enable
[USG] firewall defend udp-flood enable
[USG] firewall defend icmp-flood enable
[USG] firewall defend icmp-flood base-session max-rate 5
结果验证
1.执行命令display nat all,可以看到配置的NAT地址池和内部服务器信
息。
2.[USG] display nat all
3.
4.NAT address-group information:
5. number : 1 name : ---
6. startaddr : 200.1.1.2 endaddr :
200.1.1.3
7. reference : 0 vrrp : ---
8. vpninstance : public
9.
10. number : 2 name : ---
11. startaddr : 202.1.1.2 endaddr :
202.1.1.3
12. reference : 1 vrrp : ---
13. vpninstance : public
14.
15. Total 2 address-groups
16.
17.Server in private network information:
Total 0 NAT servers
18.通过在网络中操作,检查业务是否能够正常实现。
# 在校园网内的一台主机上,访问ISP1所属网段的一台服务器(IP地址
为200.1.2.3),通过执行命令display firewall session table,可
以看到私网IP地址转换成了ISP1的公网IP地址。
[USG] display firewall session table
Current Total Sessions : 1 http VPN: public -> public
10.1.2.2:1674[200.1.1.2:12889]-->200.1.2.3:80
配置脚本
USG配置脚本:
#
nat address-group 1 200.1.1.2 200.1.1.3 nat address-group 2 202.1.1.2 202.1.1.3 # firewall defend icmp-flood enable firewall defend udp-flood enable firewall defend syn-flood enable firewall defend icmp-flood base-session max-rate 5 # interface GigabitEthernet0/0/0 ip address 10.1.1.1 255.255.0.0 # interface GigabitEthernet0/0/2 ip address 200.1.1.1 255.255.255.0 # interface GigabitEthernet5/0/0 ip address 202.1.1.1 255.255.255.0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 # firewall zone untrust set priority 5 # firewall zone dmz set priority 50 # firewall zone name isp1 set priority 15 add interface GigabitEthernet0/0/2 # firewall zone name isp2 set priority 20 add interface GigabitEthernet5/0/0 # firewall interzone trust isp1 detect ftp detect qq detect msn # firewall interzone trust isp2
detect ftp
detect qq
detect msn
# firewall interzone dmz isp1
detect ftp
# firewall interzone dmz isp2
detect ftp
#
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 200.1.1.10 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet5/0/0 202.1.1.10 ip route-static 200.1.2.0 255.255.255.0 GigabitEthernet0/0/2
200.1.1.10
ip route-static 200.2.2.1 255.255.255.0 GigabitEthernet0/0/2
200.1.1.10
ip route-static 202.1.2.0 255.255.255.0 GigabitEthernet5/0/0
202.1.1.10
ip route-static 202.2.3.4 255.255.255.0 GigabitEthernet5/0/0
202.1.1.10
# policy interzone trust isp1 outbound
policy 1
action permit
policy source 10.1.0.0 0.0.255.255
# policy interzone trust isp2 outbound
policy 1
action permit
policy source 10.1.0.0 0.0.255.255
#
nat-policy interzone trust isp1 outbound
policy 1
action source-nat
policy source 10.1.0.0 0.0.255.255
address-group 1
#
nat-policy interzone trust isp2 outbound
policy 1
action source-nat
policy source 10.1.0.0 0.0.255.255
address-group 2
# return