时间戳

首页 > 技术文章 > 华为防火墙USG5500-企业双ISP出口

华为防火墙USG5500-企业双ISP出口

chenxiuguo 2018-04-15 22:14 原文

需求:
(1)技术部IP地址自动获取,网段为192.168.10.0/24,该部门访问Internet的报文正常情况下流入链路ISP1。
总经办IP地址自动获取,网段为192.168.20.0/24,该部门访问Internet的报文正常情况下流入链路ISP2。

(2)技术部和总经办所在链路互为备份,当某部门的链路(以下称主链路)出现故障时,流量切换到另一部门所在的链路(以下称备链路)上。

(3)开SYN Flood、UDP Flood和ICMP Flood攻击防范功能

 

 

interface GigabitEthernet0/0/3
ip address 192.168.10.1 255.255.255.0
ip policy-based-route 10
dhcp select interface
dhcp server gateway-list 192.168.10.1
dhcp server dns-list 114.114.114.114 10.50.18.10
dhcp server domain-name huawei.com

interface GigabitEthernet0/0/4
ip address 192.168.20.1 255.255.255.0
ip policy-based-route 20
dhcp select interface
dhcp server gateway-list 192.168.20.1
dhcp server dns-list 114.114.114.114 10.50.19.20
dhcp server domain-name huawei.com

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/3
add interface GigabitEthernet0/0/4

firewall zone name isp1
set priority 15
add interface GigabitEthernet0/0/1

firewall zone name isp2
set priority 20
add interface GigabitEthernet0/0/2

firewall packet-filter default permit interzone trust isp1 direction outbound
nat-policy interzone trust isp1 outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/1
firewall packet-filter default permit interzone trust isp2 direction outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/2

acl number 2001
rule 5 permit source 192.168.10.0 0.0.0.255
rule 10 deny

acl number 2002
rule 5 permit source 192.168.20.0 0.0.0.255
rule 10 deny

policy-based-route 10 permit node 5
if-match acl 2001
apply ip-address next-hop 200.1.12.2
# 配置策略10,使源地址为192.168.10.0/24的报文被发到下一跳200.1.12.2

policy-based-route 20 permit node 5
if-match acl 2002
apply ip-address next-hop 100.1.12.2
# 配置策略20,使源地址为192.168.20.0/24的报文被发到下一跳100.1.12.2

interface GigabitEthernet0/0/3
ip policy-based-route 10
# 在接口GigabitEthernet 0/0/3上应用定义的策略10,处理此接口接收的报文。

interface GigabitEthernet0/0/4
ip policy-based-route 20
# 在接口GigabitEthernet 0/0/4上应用定义的策略20,处理此接口接收的报文。


ip-link check enable
# 创建IP-Link 1,用于侦测USG到目的地址为200.1.12.2之间的链路可达性。
ip-link 1 destination 200.1.12.2 mode icmp
# 创建IP-Link 2,用于侦测USG到目的地址为100.1.12.2之间的链路可达性。
ip-link 2 destination 100.1.12.2 mode icmp

ip route-static 0.0.0.0 0.0.0.0 200.1.12.2 track ip-link 1
# 配置缺省路由,指定下一跳200.1.12.2,并与IP-Link 1关联
ip route-static 0.0.0.0 0.0.0.0 100.1.12.2 track ip-link 2
# 配置缺省路由,指定下一跳100.1.12.2,并与IP-Link 2关联

# 开SYN Flood、UDP Flood和ICMP Flood攻击防范功能,并限制每条会话允许通过的ICMP报文最大速率为5包/秒。
[USG] firewall defend syn-flood enable
[USG] firewall defend udp-flood enable
[USG] firewall defend icmp-flood enable
[USG] firewall defend icmp-flood base-session max-rate 5

 

推荐阅读