策略路由实现多ISP接入Internet

news2024/9/23 1:29:39

组网需求:

企业分别从ISP1和ISP2租用了一条链路

  • PC3用户上网访问Server1时走ISP1
  • PC4用户上网访问Server1时走ISP2

拓扑图 

一、ISP1 运营商 R1路由器
<Huawei>sys
[Huawei]sys R1
[R1]un in en

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip addr 2.2.2.2 24
[R1-GigabitEthernet0/0/0]quit

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip addr 10.2.2.2 24
[R1-GigabitEthernet0/0/1]quit

# 配置OSPF
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 2.2.2.0 0.0.0.255
 二、ISP2 运营商 R2路由器
<Huawei>sys
[Huawei]sys R2
[R2]un in en

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip addr 3.3.3.3 24
[R2-GigabitEthernet0/0/0]quit

[R2]
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip addr 10.3.3.3 24
[R2-GigabitEthernet0/0/1]quit

# 配置OSPF
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 3.3.3.0 0.0.0.255
三、R6路由器
<Huawei>sys
[Huawei]sys R6
[R6]un in en

[R6]int g0/0/0
[R6-GigabitEthernet0/0/0]ip addr 10.2.2.1 24
[R6-GigabitEthernet0/0/0]quit

[R6]int g0/0/1
[R6-GigabitEthernet0/0/1]ip addr 10.3.3.1 24
[R6-GigabitEthernet0/0/1]quit

[R6]int g0/0/2
[R6-GigabitEthernet0/0/2]ip addr 10.1.1.1 24
[R6-GigabitEthernet0/0/2]quit

# 配置OSPF
[R6]ospf 1
[R6-ospf-1]area 0
[R6-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[R6-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255
[R6-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
四、防火墙

1、配置接口IP并加入相应的安全区域

<USG6000V1>sys
[USG6000V1]sys FW1
[FW1]un in en
[FW1]dhcp enable

# 桥接本地环回网卡,实现登陆WEB管理页面
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]undo ip addr 192.168.0.1 24
[FW1-GigabitEthernet0/0/0]ip addr 192.168.137.10 24
[FW1-GigabitEthernet0/0/0]service-manage all permit
[FW1-GigabitEthernet0/0/0]quit

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip addr 2.2.2.1 24
[FW1-GigabitEthernet1/0/0]service-manage all permit
[FW1-GigabitEthernet1/0/0]quit

[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip addr 3.3.3.1 24
[FW1-GigabitEthernet1/0/1]service-manage all permit
[FW1-GigabitEthernet1/0/1]quit

[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]quit

[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip addr 172.16.1.1 24
[FW1-GigabitEthernet1/0/2]service-manage all permit
[FW1-GigabitEthernet1/0/2]dhcp select int
[FW1-GigabitEthernet1/0/2]quit

[FW1]int g1/0/3
[FW1-GigabitEthernet1/0/3]ip addr 172.16.2.1 24
[FW1-GigabitEthernet1/0/3]service-manage all permit
[FW1-GigabitEthernet1/0/3]dhcp select int
[FW1-GigabitEthernet1/0/3]quit

[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/2
[FW1-zone-trust]add int g1/0/3
[FW1-zone-trust]quit

2、创建地址列表

[FW1]ip address-set 172.16.1.* type object
[FW1-object-address-set-172.16.1.*]address 0 172.16.1.0 mask 24
[FW1-object-address-set-172.16.1.*]ip address-set 172.16.2.* type object
[FW1-object-address-set-172.16.2.*]address 0 172.16.2.0 mask 24
[FW1-object-address-set-172.16.2.*]quit

3、配置安全策略

[FW1]security-policy
[FW1-policy-security]rule name "untrust to local"
[FW1-policy-security-rule-untrust to local]source-zone untrust
[FW1-policy-security-rule-untrust to local]destination-zone local
[FW1-policy-security-rule-untrust to local]action permit

[FW1-policy-security-rule-untrust to local]rule name "local to untrust"
[FW1-policy-security-rule-local to untrust]source-zone local
[FW1-policy-security-rule-local to untrust]destination-zone untrust
[FW1-policy-security-rule-local to untrust]action permit

[FW1-policy-security-rule-local to untrust]rule name "trust to untrust"
[FW1-policy-security-rule-trust to untrust]source-zone trust
[FW1-policy-security-rule-trust to untrust]destination-zone untrust
[FW1-policy-security-rule-trust to untrust]source-address address-set 172.16.1.*
[FW1-policy-security-rule-trust to untrust]source-address address-set 172.16.2.*
[FW1-policy-security-rule-trust to untrust]action permit
[FW1-policy-security-rule-trust to untrust]quit

4、配置NAT策略

[FW1-policy-security]nat-policy

[FW1-policy-nat]rule name "snat 1"
[FW1-policy-nat-rule-snat 1]source-zone trust
[FW1-policy-nat-rule-snat 1]egress-interface GigabitEthernet1/0/0
[FW1-policy-nat-rule-snat 1]source-address address-set 172.16.1.*
[FW1-policy-nat-rule-snat 1]action source-nat easy-ip

[FW1-policy-nat-rule-snat 1]rule name "snat 2"
[FW1-policy-nat-rule-snat 2]source-zone trust
[FW1-policy-nat-rule-snat 2]egress-interface GigabitEthernet1/0/1
[FW1-policy-nat-rule-snat 2]source-address address-set 172.16.2.*
[FW1-policy-nat-rule-snat 2]action source-nat easy-ip
[FW1-policy-nat-rule-snat 2]quit

5、配置策略路由

[FW1]policy-based-route
[FW1-policy-pbr]rule name "no policy route 1" 3
[FW1-policy-pbr-rule-no policy route 1]ingress-interface GigabitEthernet1/0/2
[FW1-policy-pbr-rule-no policy route 1]source-address address-set 172.16.1.*
[FW1-policy-pbr-rule-no policy route 1]destination-address address-set 172.16.2.*
[FW1-policy-pbr-rule-no policy route 1]action no-pbr

[FW1-policy-pbr]rule name "no policy route 2" 4
[FW1-policy-pbr-rule-no policy route 2]ingress-interface GigabitEthernet1/0/3
[FW1-policy-pbr-rule-no policy route 2]source-address address-set 172.16.2.*
[FW1-policy-pbr-rule-no policy route 2]destination-address address-set 172.16.1.*
[FW1-policy-pbr-rule-no policy route 2]action no-pbr

[FW1-policy-pbr-rule-no policy route 2]rule name "policy route 1" 1
[FW1-policy-pbr-rule-policy route 1]ingress-interface GigabitEthernet1/0/2
[FW1-policy-pbr-rule-policy route 1]source-address address-set 172.16.1.*
[FW1-policy-pbr-rule-policy route 1]action pbr egress-interface GigabitEthernet1/0/0 next-hop 2.2.2.2

[FW1-policy-pbr-rule-policy route 1]rule name "policy route 2" 2
[FW1-policy-pbr-rule-policy route 2]ingress-interface GigabitEthernet1/0/3
[FW1-policy-pbr-rule-policy route 2]source-address address-set 172.16.2.*
[FW1-policy-pbr-rule-policy route 2]action pbr egress-interface GigabitEthernet1/0/1 next-hop 3.3.3.3
[FW1-policy-pbr-rule-policy route 2]quit

6、配置OSPF

[FW1-policy-nat]ospf 1
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 2.2.2.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]network 3.3.3.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
五、WEB 端查看

1、接口列表

2、安全策略

(1)untrust to local

(2)local to untrust

(3)trust to untrust

3、NAT策略

(1)snat 1

(2)snat 2 

4、地址表

5、策略路由

(1)policy route 1


(2)policy route 2

 

(3)no policy route 1

 

(4)no policy route 4

 

六、测试

1、PC3 访问 Server1

PC4 访问 Server1 

通过上图分析得知,PC3 所在的172.16.1.0网段 访问 10.1.1.2 时出接口为 GE1/0/0。PC4 所在的172.16.2.0网段 访问 10.1.1.2 时出接口为 GE1/0/1

2、我们拿 PC3 访问 PC4,看下内网是否正常

PC3>ping 172.16.2.81

Ping 172.16.2.81: 32 data bytes, Press Ctrl_C to break
From 172.16.2.81: bytes=32 seq=1 ttl=127 time=63 ms
From 172.16.2.81: bytes=32 seq=2 ttl=127 time=62 ms
From 172.16.2.81: bytes=32 seq=3 ttl=127 time=63 ms
From 172.16.2.81: bytes=32 seq=4 ttl=127 time=46 ms
From 172.16.2.81: bytes=32 seq=5 ttl=127 time=47 ms

--- 172.16.2.81 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 46/56/63 ms

我们发现是互通的,这里要注意一下,因为我已经在上面配置了 no pbr 不做策略路由,否则是不通的。 如果你的环境有 IPSecVPN 也需要做 no pbr

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/823788.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【电影推荐系统】数据爬取、数据加载进MongoDB数据库

【电影推荐系统】数据爬取、数据加载进MongoDB数据库

概览 本篇主要介绍数据来源、数据加载进数据库过程 1 数据获取 使用Scrapy爬取豆瓣电影数据&#xff0c;然后利用movielens数据集来造一份rating数据。 1.1 数据集获取 数据集获取&#xff1a;选取movielens 数据集&#xff1a;movielens官网数据集包括&#xff1a;movies…
阅读更多...
【计算机网络】网络基础(上)

【计算机网络】网络基础(上)

文章目录 1. 网络发展认识协议 2.网络协议初识协议分层OSI七层模型 | TCP/IP网络传输基本流程情况1&#xff1a;同一个局域网(子网)数据在两台通信机器中如何流转协议报头的理解局域网通信原理(故事版本)一般原理数据碰撞结论 1. 网络发展 计算工作是不可能一个科学家搞出来的…
阅读更多...
机器学习(一)---概述

机器学习(一)---概述

文章目录 1.人工智能、机器学习、深度学习2.机器学习的工作流程2.1 获取数据集2.2 数据基本处理2.3 特征工程2.3.1 特征提取2.3.2 特征预处理2.3.3 特征降维 2.4 机器学习2.5 模型评估 3.机器学习的算法分类3.1 监督学习3.1.1 回归问题3.1.2 分类问题 3.2 无监督学习 1.人工智能…
阅读更多...
FastAPI 教程、结合vue实现前后端分离

FastAPI 教程、结合vue实现前后端分离

英文版文档&#xff1a;https://fastapi.tiangolo.com/ 中文版文档&#xff1a;https://fastapi.tiangolo.com/zh/ 1、FastAPI 教程 简 介 FastAPI 和 Sanic 类似&#xff0c;都是 Python 中的异步 web 框架。相比 Sanic&#xff0c;FastAPI 更加的成熟、社区也更加的活跃。 …
阅读更多...
8.1作业

8.1作业

文件IO函数实现拷贝文件。子进程先拷贝后半部分&#xff0c;父进程再拷贝前半部分&#xff0c;允许使用sleep函数 #include<stdio.h> #include<string.h> #include<stdlib.h> #include<head.h> int main(int argc, const char *argv[]) {pid_t cpidfo…
阅读更多...
构建语言模型:BERT 分步实施指南

构建语言模型:BERT 分步实施指南

学习目标 了解 BERT 的架构和组件。了解 BERT 输入所需的预处理步骤以及如何处理不同的输入序列长度。获得使用 TensorFlow 或 PyTorch 等流行机器学习框架实施 BERT 的实践知识。了解如何针对特定下游任务(例如文本分类或命名实体识别)微调 BERT。为什么我们需要 BERT? 正…
阅读更多...
保护云数据库实用指南

保护云数据库实用指南

在数字化转型时代&#xff0c;越来越多的企业将运营转移到云端&#xff0c;导致对云数据库的依赖越来越大。虽然它们提供了可扩展性和可访问性等显着优势&#xff0c;但它们也带来了独特的安全挑战&#xff0c;需要解决这些挑战以保护敏感数据免受各种威胁。 在本文中&#x…
阅读更多...
巨人互动|Facebook海外户Facebook page的功能以及如何应用

巨人互动|Facebook海外户Facebook page的功能以及如何应用

Facebook Page是Facebook平台上的一种工具&#xff0c;是企业、品牌、机构、公益组织等组织和个人创建社交媒体宣传页面的主要方式之一&#xff0c;通过Page可以将内容传播到更广泛的受众群体&#xff0c;提高品牌知名度和曝光率。下面将详述Facebook Page的功能以及如何应用。…
阅读更多...
第125天:内网安全-隧道技术SMBICMP正反向连接防火墙出入规则上线

第125天:内网安全-隧道技术SMBICMP正反向连接防火墙出入规则上线

知识点 #知识点&#xff1a; 1、入站规则不出网上线方案 2、出站规则不出网上线方案 3、规则-隧道技术-SMB&ICMP-隧道技术&#xff1a;解决不出网协议上线的问题&#xff08;利用出网协议进行封装出网&#xff09; -代理技术&#xff1a;解决网络通讯不通的问题&#xff0…
阅读更多...
Redis 集群 (cluster)

Redis 集群 (cluster)

是什么 官网&#xff1a;Redis cluster specification | Redis 由于数据量过大&#xff0c;单个Master复制集难以承担&#xff0c;因此需要对多个复制集进行集群&#xff0c;形成水平扩展每个复制集只负责存储整个数据集的一部分&#xff0c;这就是Redis的集群&#xff0c;其作…
阅读更多...
递归——在运行的过程中调用自己

递归——在运行的过程中调用自己

递归&#xff0c;就是在运行的过程中调用自己 递归必须要有三个要素&#xff1a; ①、边界条件 ②、递归前进段 ③、递归返回段 当边界条件不满足时&#xff0c;递归前进&#xff1b;当边界条件满足时&#xff0c;递归返回。 递归关键&#xff1a;写出递推公式&#xff0c;找…
阅读更多...
maven里面没有plugins dependence问题解决

maven里面没有plugins dependence问题解决

说明&#xff1a;今天在做Nacos、Dubbo整合的时候&#xff0c;在父模块中做了版本限制&#xff0c;出错后就又把版本控制什么都删掉&#xff0c;回退到最开始的状态&#xff0c;此时父模块下面的服务右侧的 maven里面没有plugins dependence &#xff0c;然后项目全都报错。 问…
阅读更多...
openSUSE安装虚拟化 qemu kvm

openSUSE安装虚拟化 qemu kvm

1) 第一种&#xff1a;图形界面yast安装虚拟化 左下角开始菜单搜索yast 点一下就能安装&#xff0c;是不是很简单呢 2&#xff09;第二种&#xff1a; 命令行安装 网上关于openSUSE安装qemu kvm的教程比较少&#xff0c;可以搜索centos7 安装qemu kvm的教程&#xff0c;然后…
阅读更多...
/bin/bash: Resource temporarily unavailable

/bin/bash: Resource temporarily unavailable

有现场反馈plsql无法连接数据库了&#xff0c;登录环境查看时发现从root切换到grid时报错/bin/bash: Resource temporarily unavailable [rootdb1 ~]# su - grid Last login: Thu Jul 27 18:45:04 CST 2023 su: failed to execute /bin/bash: Resource temporarily unavailab…
阅读更多...
Ajax快速入门

Ajax快速入门

Ajax Ajax就是前端访问服务器端数据的一个技术 还有主要就是异步交互 就是在不刷新整页面的情况下&#xff0c;和服务器交换部分我也数据 比如搜索的联想技术 同步和异步的概念 一个是客户端需要等待服务器完成处理&#xff0c;才能进行别的事 一个是客户端不需要等待服务器处…
阅读更多...
剑指offer刷题笔记--Num61-68

剑指offer刷题笔记--Num61-68

1--扑克牌中的顺子&#xff08;61&#xff09; 主要思路&#xff1a; 五个数是顺子的充要条件&#xff1a;① 最大值 - 最小值 < 5&#xff08;大小王除外&#xff09;&#xff1b;② 没有出现重复的值&#xff08;大小王除外&#xff09;&#xff1b; 判断是否出现重复的值…
阅读更多...
Centos虚拟机修改密码

Centos虚拟机修改密码

1.重启系统 2.在这个选择界面&#xff0c;按e 3.找到如下位置&#xff0c;插入init/bin/sh 4.填写完成后按Ctrlx引导启动 5.输入mount -o remount, rw / (注意空格) 6.重置密码 出现以下为重置成功 7.执行touch /.autorelabel 8.退出exec /sbin/init 9.输入你的新密码…
阅读更多...
linux系统编程重点复习--进程的控制

linux系统编程重点复习--进程的控制

目录 1 复习目标 2 进程相关概念 2.2 并行和并发 2.3 PCB-进程控制块 2.4 进程状态(面试考) 3 创建进程 3.2 ps命令和kill命令 3.3 getpid/getppid 3.4 练习题 4 exec函数族 4.1 函数作用和函数介绍 4.1.1 execl函数 4.1.2 execlp函数 4.2 exec函数族原理介绍 4.3 …
阅读更多...
MongDB文档--架构体系

MongDB文档--架构体系

阿丹&#xff1a; 在开始学习先了解以及目标知识的架构体系。就能事半功倍。 架构体系 MongoDB的架构体系由以下几部分组成&#xff1a; 存储结构&#xff1a;MongoDB采用文档型存储结构&#xff0c;一个数据库包含多个集合&#xff0c;一个集合包含多个文档。存储形式&#…
阅读更多...
socket编程函数

socket编程函数

1.socket函数 socket ()打开一个网络通讯口&#xff0c;如果成功的话&#xff0c;就像 open()一样返回一个文件插述待&#xff0c;应用程序可以像读写文件一样用 read/write 在网络上收发数据&#xff0c;如socet0调用出错则返回-1。对于 IPV4,domain 参数指定为AF_INET。对于 …
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023