返回
策略路由和nat实现负载均衡实例(华为防火墙)

策略路由和nat实现负载均衡实例(华为防火墙)

ID:14162808

大小:112.97 KB

页数:7页

时间:2018-07-26

策略路由和nat实现负载均衡实例(华为防火墙)_第1页
策略路由和nat实现负载均衡实例(华为防火墙)_第2页
策略路由和nat实现负载均衡实例(华为防火墙)_第3页
策略路由和nat实现负载均衡实例(华为防火墙)_第4页
策略路由和nat实现负载均衡实例(华为防火墙)_第5页
资源描述:

《策略路由和nat实现负载均衡实例(华为防火墙)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、一、组网需求:1.正常情况下10.0.0.2从出口12.12.12.0NAT转化成100.0.0.0的地址,20.0.0.2从出口13.13.13.0NAT转化成200.0.0.0的地址,实现负载均衡。2.FW双出口的某一条链路down,所有用户NAT成同一地址段出去,实现链路冗余。二、实验组网四、关键配置USG5360(V100R003C01SPC007): ipaddress-set100and200typeobjectaddress010.0.0.0mask24address120.0.0.0mask24#ipaddress-set10.

2、0.0.2typeobjectaddress010.0.0.0mask24#ipaddress-set20.0.0.2typeobjectaddress020.0.0.0mask24#aclnumber3001rule0permitipsource10.0.0.00.255.255.255aclnumber3002rule0permitipsource20.0.0.00.255.255.255#nataddress-group100NAT1100.0.0.1100.0.0.100nataddress-group200NAT2200.0.0.12

3、00.0.0.100#trafficclassifier12if-matchacl3001trafficclassifier13if-matchacl3002#trafficbehavior12remarkip-nexthop12.12.12.2output-interfaceGigabitEthernet0/0/0trafficbehavior13remarkip-nexthop13.13.13.2output-interfaceGigabitEthernet0/0/1#qospolicyreclassifier12behavior12cla

4、ssifier13behavior13#interfaceGigabitEthernet0/0/0ipaddress12.12.12.1255.255.255.252#interfaceGigabitEthernet0/0/1ipaddress13.13.13.1255.255.255.252#interfaceGigabitEthernet0/0/2ipaddress20.0.0.1255.255.255.0#interfaceGigabitEthernet0/0/3ipaddress10.0.0.1255.255.255.0#  firew

5、allzonelocal setpriority100#firewallzonetrustsetpriority85qosapplypolicyreoutboundaddinterfaceGigabitEthernet0/0/2addinterfaceGigabitEthernet0/0/3#firewallzoneuntrustsetpriority5#firewallzonenamet100setpriority10addinterfaceGigabitEthernet0/0/0#firewallzonenamet200setpriorit

6、y11addinterfaceGigabitEthernet0/0/1#nat-policyinterzonetrustuntrustoutbound#nat-policyinterzonetrustt100outboundpolicy0actionsource-natpolicysourceaddress-set100and200address-groupNAT1#nat-policyinterzonetrustt200outboundpolicy0actionsource-natpolicysourceaddress-set100and20

7、0address-groupNAT2  # iproute-static0.0.0.00.0.0.013.13.13.2iproute-static0.0.0.00.0.0.012.12.12.2# 五、实现原理按照实验要求,如果我们用传统的NAT,将10.0.0.2nat成100.0.0.0/24网段,将20.0.0.2nat成200.0.0.0/24网段,这种方法是实现不了当FW双线上连线路任意断掉一条业务不断的实验要求。那么我们应如何解决这个问题呢?首先我们要了解防火墙的处理流程,如下图:NAT实际上在防火墙中也属于域间策略的一种,即从上

8、图中我们可以知道NAT是在路由选路后进行的,而NAT的配置很简单,只是将匹配的地址(acl)进行一个地址转换的操作(如果不选no-pat方式还包括端口

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。