安全hcie膠片hc防火墻互聯(lián)技術(shù)

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031021USG6000V1R11.00開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）周常青2014-08-11姚傳哲新開發(fā)本頁不打印HC13031021防火墻互聯(lián)基礎(chǔ)技術(shù) 前言下一代防火墻在部署時，不同的應(yīng)用場景會采用不同的互聯(lián)技術(shù)。華為USG防火墻支持豐富的二層、三層互聯(lián)技術(shù)。二層互聯(lián)技術(shù)如以太網(wǎng)Trunk接口、Access接口、Eth-Trunk接口、子接口等，三層互聯(lián)支持豐富的路由協(xié)議如RIP、OSPF、ISIS、BGP等，除此之外防火墻還支持策略路由、ISP選路等增強(qiáng)功能。本課程主要講解華為USG防火墻支持的二層、三層互聯(lián)技

2、術(shù)的基礎(chǔ)原理、配置命令及故障排除等知識。 目標(biāo)學(xué)完本課程后，您將能夠:描述防火墻支持的各種互聯(lián)接口掌握互聯(lián)接口的基礎(chǔ)配置列舉防火墻支持的路由協(xié)議及功能掌握OSPF路由協(xié)議的配置掌握BGP路由協(xié)議的配置掌握PBR及ISP選路的配置目錄防火墻接口互聯(lián)技術(shù)1.1 原理：防火墻接口互聯(lián)接口介紹1.2 命令：防火墻互聯(lián)接口配置1.3 案例：二層組網(wǎng)典型配置1.4 排障：防火墻接口故障排除防火墻接口互聯(lián)技術(shù)防火墻支持的接口及板卡下一代防火墻的接口及擴(kuò)展卡支持以太網(wǎng)電口和光口兩種以太網(wǎng)電口以太網(wǎng)光口8GE WSIC接口卡2XG8GE WSIC接口卡8GEF WSIC接口卡4GE-BYPASS卡物理連接線纜-

3、雙絞線屏蔽雙絞線非屏蔽雙絞線線序標(biāo)準(zhǔn)直通網(wǎng)線的連接關(guān)系示意圖交叉網(wǎng)線的連接關(guān)系示意圖物理連接線纜-光纖光纖主要用于千兆及以上速率的光信號傳輸。光纖通過相應(yīng)的光模塊連接到USG上的SFP+或SFP接口上光纖分為單模光纖和多模光纖單模光纖一般用于長距離傳輸（黃色，如左下圖）多模光纖一般用于近距離傳輸（橙紅色，如右下圖）LC/PC-LC/PC單模光纖LC/PC-LC/PC多模光纖物理連接接口-連接器光纖兩端的連接器有多種型號，常用的有LC/PC、SC/PC和FC/PC三種類型。使用光模塊和光纖的過程中請注意以下事項(xiàng)：區(qū)別使用單模和多模光纖本地設(shè)備Tx（發(fā)）對應(yīng)對端設(shè)備Rx（收）兩端光模塊波長一致不要

4、過度彎折光纖，其曲率半徑應(yīng)不小于40mmLC/PC光連接器SC/PC光連接器FC/PC光連接器防火墻支持的接口種類物理接口三層以太網(wǎng)接口二層以太網(wǎng)接口邏輯接口VT（Virtual Template）接口、Dialer接口Tunnel接口、Null接口VLAN接口三層以太網(wǎng)子接口Eth-Trunk接口、Loopback接口目錄防火墻接口互聯(lián)技術(shù)1.1 原理：防火墻接口互聯(lián)接口介紹1.2 命令：防火墻互聯(lián)接口配置1.3 案例：二層組網(wǎng)典型配置1.4 排障：防火墻接口故障排除防火墻接口互聯(lián)技術(shù)配置三層接口IP地址步驟配置項(xiàng)目配置命令1配置靜態(tài)IPinterface GigabitEthernet1/

5、0/1 ip address 2（可選）配置DHCP獲取IP地址interface GigabitEthernet1/0/1 dhcp client enable3（可選）配置雙工、速度、MTUinterface GigabitEthernet1/0/1 undo negotiation autoduplex fullspeed 1000mtu 15004（可選）配置描述和別名description this interface is use for managementalias management_interface5（可選）配置網(wǎng)管功能service-manage enableserv

6、ice-manage http https ping ssh permit 配置PPPOE撥號接口步驟配置項(xiàng)目配置命令1配置dialer接口interface Dialer0 link-protocol ppp ppp chap user user1 ppp chap password cipher yourpassword ppp pap local-user user password cipher yourpassowrd ppp ipcp dns admit-any ip address ppp-negotiate dialer user user1 dialer bundle 12綁

7、定dialer到物理接口上interface GigabitEthernet1/0/2pppoe-client dial-bundle-number 1 ipv4配置VLAN IF接口、子接口、回環(huán)接口步驟配置項(xiàng)目配置命令1配置 vlan if 接口vlan batch 10 20interface Vlanif10 ip address interface Vlanif20 ip address 2配置三層子接口interface GigabitEthernet1/0/3.10 vlan-type dot1q 10 ip address interface GigabitEthernet1/

8、0/3.20 vlan-type dot1q 20 ip address 3配置回環(huán)接口Interface loopback 0 ip address 55配置二層互聯(lián)接口步驟配置項(xiàng)目配置命令1配置 vlanvlan batch 10 202配置Access 接口interface GigabitEthernet1/0/1 portswitch port link-type access port access vlan 103配置Hybrid接口interface GigabitEthernet1/0/2 portswitch port link-type hybrid port hybri

9、d pvid 20 port hybrid vlan 20 untagged4配置Trunk接口interface GigabitEthernet1/0/3 portswitch port link-type trunk port trunk pvid 1 port trunk permit vlan 10 20配置Eth-trunk接口步驟配置項(xiàng)目配置命令1配置手工eth-trunkinterface eth-trunk 1portswitch2（可選）配置LACP eth-trunkinterface eth-trunk 1portswitchmode lacp-staticmax act

10、ive-linknumber 23添加接口到eth-trunk中interface GigabitEthernet 1/0/1portswitcheth-trunk 1interface GigabitEthernet 1/0/2portswitcheth-trunk 1目錄防火墻接口互聯(lián)技術(shù)1.1 原理：防火墻接口互聯(lián)接口介紹1.2 命令：防火墻互聯(lián)接口配置1.3 案例：二層組網(wǎng)典型配置1.4 排障：防火墻接口故障排除防火墻接口互聯(lián)技術(shù)通過Trunk實(shí)現(xiàn)設(shè)備間通信某公司的財務(wù)部門和市場部門分布在不同的樓宇中，通過兩臺USG相連。為了提升業(yè)務(wù)安全性，要求同一部門內(nèi)員工可以相互訪問，而不同部門間

11、員工不能互相訪問。配置命令：trunk 互聯(lián)USG_A的配置腳本如下： vlan batch 1 5 9#interface GigabitEthernet1/0/1 portswitch port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 5 9 # interface GigabitEthernet1/0/2 portswitch port link-type access port access vlan 5 # interface GigabitEthernet1/0/3 portswitc

12、h port link-type access port access vlan 9 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/1 add interface GigabitEthernet1/0/2 add interface GigabitEthernet1/0/3# USG_B的配置腳本如下： vlan batch 1 5 9 # interface GigabitEthernet1/0/1 portswitch port link-type trunk undo port trunk p

13、ermit vlan 1 port trunk permit vlan 5 9 # interface GigabitEthernet1/0/2 portswitch port link-type access port access vlan 5 # interface GigabitEthernet1/0/3 portswitch port link-type access port access vlan 9 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/1 add interface Gig

14、abitEthernet1/0/2 add interface GigabitEthernet1/0/3# 通過VLAN IF接口實(shí)現(xiàn)設(shè)備間通信某企業(yè)內(nèi)部，研發(fā)部門的兩個項(xiàng)目組相互隔離，分別屬于不同的VLAN。為了完成同一個項(xiàng)目，兩個項(xiàng)目組需要協(xié)同工作，因此，要求兩個項(xiàng)目組內(nèi)的PC能夠相互訪問。配置命令：vlan if接口# 基本接口配置 vlan batch 1 to 3 # sysname USG# interface Vlanif2 alias Vlanif2 ip address # interface Vlanif3 alias Vlanif3 ip address # interf

15、ace GigabitEthernet1/0/2 portswitch port link-type access port access vlan 2 # interface GigabitEthernet1/0/3 portswitch port link-type access port access vlan 3 # # 安全區(qū)域及安全策略配置firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 add interface Vlanif2# firewall zone untrust set pri

16、ority 5 add interface GigabitEthernet1/0/3 add interface Vlanif3# security-policy rule name policy_sec_1 source-zone trust source-zone untrust destination-zone trust destination-zone untrust action permit #通過子接口實(shí)現(xiàn)設(shè)備間的通信某企業(yè)內(nèi)部，研發(fā)部門的三個項(xiàng)目組R&D1、R&D2和R&D3相互隔離，屬于不同的VLAN，分別為VLAN10、VLAN20和VLAN30。為了完成同一個項(xiàng)目，三個

17、項(xiàng)目組需要協(xié)同工作，因此，要求三個項(xiàng)目組內(nèi)的PC能夠相互訪問。配置命令：子接口# interface GigabitEthernet1/0/3.1 vlan-type dot1q 10 alias GigabitEthernet1/0/3.1 ip address # interface GigabitEthernet1/0/3.2 vlan-type dot1q 20 alias GigabitEthernet1/0/3.2 ip address # interface GigabitEthernet1/0/3.3 vlan-type dot1q 30 alias GigabitEthern

18、et1/0/3.3 ip address #firewall zone trust set priority 85 add interface GigabitEthernet1/0/3.1 add interface GigabitEthernet1/0/3.2 add interface GigabitEthernet1/0/3.3 #目錄防火墻接口互聯(lián)技術(shù)1.1 原理：防火墻接口互聯(lián)接口介紹1.2 命令：防火墻互聯(lián)接口配置1.3 案例：二層組網(wǎng)典型配置1.4 排障：防火墻接口故障排除防火墻接口互聯(lián)技術(shù)以太網(wǎng)接口不能UP故障現(xiàn)象觀察USG發(fā)現(xiàn)相連接口的指示燈不亮或接口狀態(tài)為DOWN可能的故障

19、原因及解決方法故障原因解決方法原因一網(wǎng)線存在問題更換網(wǎng)線原因二在接口上執(zhí)行了shutdown命令接口視圖執(zhí)行undo shutdown命令原因三兩端設(shè)備的底層芯片實(shí)現(xiàn)的自協(xié)商協(xié)議不一致在兩端接口視圖下配置相同的速率和雙工模式原因四兩端接口配置的速率或工作模式不同在兩端接口視圖下配置相同的速率和雙工模式原因五USG接口卡存在問題更換接口或接口卡光口物理層狀態(tài)不能UP故障現(xiàn)象光接口互連后，LINK指示燈不亮或接口狀態(tài)為“DOWN”可能的故障原因及解決方法故障原因解決方法原因一光模塊或光纖不匹配確保光纖、光模塊、接口卡全部匹配確保光線收發(fā)順序沒有接反原因二光模塊或光纖異常使用光功率計測量收光功率并相

20、應(yīng)處理接收的光功率低于指標(biāo)：發(fā)送端光接口除塵接收的光功率高于指標(biāo)：加入光衰減器接收的光功率非常低：更換發(fā)送端光模塊原因三兩端設(shè)備接口配置信息不一致關(guān)閉協(xié)商功能，手工配置兩端接口的雙工模式、速度模式原因四接口、接口卡故障替換接口、光模塊、或檢測接口卡是否接好光口物理層狀態(tài)不能UP故障現(xiàn)象光接口互連后，LINK指示燈不亮或接口狀態(tài)為“DOWN”可能的故障原因及解決方法故障原因解決方法原因一光模塊或光纖不匹配確保光纖、光模塊、接口卡全部匹配確保光線收發(fā)順序沒有接反原因二光模塊或光纖異常使用光功率計測量收光功率并相應(yīng)處理接收的光功率低于指標(biāo)：發(fā)送端光接口除塵接收的光功率高于指標(biāo)：加入光衰減器接收的光功

21、率非常低：更換發(fā)送端光模塊原因三兩端設(shè)備接口配置信息不一致關(guān)閉協(xié)商功能，手工配置兩端接口的雙工模式、速度模式原因四接口、接口卡故障替換接口、光模塊、或檢測接口卡是否接好檢查光接口狀態(tài)USG_A display interface GigabitEthernet 1/0/1GigabitEthernet1/0/1 current state : DOWN Line protocol current state : Administratively DOWN Description : GigabitEthernet1/0/1 Interface, Route Port The Maximum T

22、ransmit Unit is 1500 bytes, Hold timer is 10(sec) Internet Address is /24 IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-0008 Media type is SFP,Loopback not set,promiscuous mode not set 1000Mb/s-speed mode, full-duplex mode, link type is auto negotiation The Vendor PN is F

23、TRJ1419P1BCL Transceiver max BW: 1G Transceiver Mode: SingleMode WaveLengh: 1310nm Transmission Distance: 52km Current SFP module temperature(-128c/128c): 41.93 c Current SFP module supply(0/6.55V): 3.29 VCurrent SFP module Tx bias(0/131mA): 23.26 mA Current SFP module Tx power(8.129dBm): 2.79 dBm C

24、urrent SFP module Rx power( e ?AS路徑(AS_PATH)屬性/8AS200AS400RTANLRI /8AS_PATH (400 300 200)NLRI /8AS_PATH (500 200)AS 100AS300AS500NLRI /8AS_PATH (500 200)預(yù)先規(guī)劃AS_PATH/8AS 462AS 3872 Mbps64 kbps2 MbpsAS 123NLRI /8AS_PATH (123)NLRI /8AS_PATH (123 123 123)NLRI /8AS_PATH (462 123)2 Mbps/8RTARTBRTCRTD下一跳 (

25、Next Hop) 屬性/8/8RTARTCRTBRTD/8AS100AS200IBGPIBGPEBGP RTB可經(jīng)下一跳到達(dá)/8可經(jīng)下一跳到達(dá)/8 RTA可經(jīng)下一跳到達(dá)/8可經(jīng)下一跳到達(dá)/8可經(jīng)下一跳到達(dá)/8 RTC 可經(jīng)下一跳到達(dá)/8可經(jīng)下一跳到達(dá)/8本地優(yōu)先級屬性 (Local-Preference)RT1RT2ISP1RT4RT3/24/24RT5 Prefix/mask Local-Pref 100 200 Prefix/mask Local-Pref 200 100InternetISP2ISP0MED (Multi-Exit-DISC) 屬性RT1RT2RT3AS200AS100

26、MED是可選非過渡屬性區(qū)別到達(dá)同一鄰居AS的多條入口鏈路(MED值越小，鏈路越優(yōu)先)通過EBGP發(fā)送MED值給對等體 Prefix/mask MED 50 100 Prefix/mask MED 100 50不同AS比較MED屬性在RTC上為何沒有選擇通往RTA的鏈路（MED值較小）作為主鏈路去往目標(biāo)網(wǎng)段/16？/24/24/24/24RTCRTBRTAAS500AS600AS700/16E0E0MED10MED20團(tuán)體 (Community) 屬性（1/2）什么是團(tuán)體屬性團(tuán)體是一組有相同性質(zhì)的目的地址路由。目的就是將路由信息編組，通過組的標(biāo)識決定路由傳遞的策略。團(tuán)體屬性屬性類型：8可選，過渡

27、屬性團(tuán)體 (Community) 屬性（2/2）團(tuán)體屬性是由一系列4字節(jié)(0 x000000000 xFFFFFFFF)數(shù)值所組成保留的團(tuán)體屬性：0 x000000000 x0000FFFF0 xFFFF00000 xFFFFFFFF公認(rèn)團(tuán)體屬性：NO_EXPORT (0 xFFFFFF01) NO_ADVERTISE (0 xFFFFFF02) NO_EXPORT_SUBCONFED (0 xFFFFFF03) 私有團(tuán)體屬性：AS(2B):Number(2B)BGP路徑選擇過程如果此路由的下一跳不可達(dá)，忽略此路由評估Preferred-Value值，數(shù)值高的優(yōu)先Local-Preferenc

28、e值最高的路由優(yōu)先聚合路由優(yōu)先于非聚合路由評估AS路徑的長度，最短的路徑優(yōu)先比較Origin屬性，IGP優(yōu)于EGP，EGP優(yōu)于 plete選擇MED較小的路由BGP路徑選擇過程 （續(xù)）EBGP路由優(yōu)于IBGP路由BGP優(yōu)先選擇到BGP下一跳的IGP度量最低的路徑當(dāng)以上全部相同，則為等價路由，可以負(fù)載分擔(dān)注：AS_PATH必須一致當(dāng)負(fù)載分擔(dān)時，以下3條原則無效比較Cluster-List長度，短者優(yōu)先比較Originator_ID (如果沒有Originator_ID，則用Router ID比較)，選擇數(shù)值較小的路徑比較對等體的IP地址，選擇IP地址數(shù)值最小的路徑策略路由原理策略路由是在路由表已

29、經(jīng)產(chǎn)生的情況下，不按照現(xiàn)有的路由表進(jìn)行轉(zhuǎn)發(fā)，而是根據(jù)用戶制定的策略進(jìn)行路由選擇的機(jī)制。策略路由并沒有替代路由表機(jī)制，而是優(yōu)先于路由表生效，為某些特殊業(yè)務(wù)指定轉(zhuǎn)發(fā)方向。策略路由可以用于多出口場景進(jìn)行基于用戶的選路基于協(xié)議、應(yīng)用的選路策略路由支持的匹配過程匹配條件：源安全區(qū)域、入接口、IP地址服務(wù)類型、應(yīng)用類型、用戶匹配后動作：策略路由發(fā)送報文到指定下一跳發(fā)送報文到指定出口不做策略路由策略路由規(guī)則的匹配過程ISP選路基本原理ISP選路功能的實(shí)現(xiàn)原理是：生成ISP對應(yīng)的IP地址文件，并上傳到防火墻上通過指定IP地址文件的下一跳，批量生成靜態(tài)路由用戶的訪問流量按照該靜態(tài)路由，被分別轉(zhuǎn)發(fā)到對應(yīng)運(yùn)營商網(wǎng)絡(luò)

30、。設(shè)備出廠時默認(rèn)支持如下ISP的IP文件：china-mobile：中國移動 ：中國電信china-educationnet：中國教育網(wǎng) ：中國聯(lián)通目錄防火墻接口互聯(lián)技術(shù)防火墻接口互聯(lián)技術(shù)2.1 原理：防火墻路由基本原理2.2 命令：路由協(xié)議配置2.3 案例：三層組網(wǎng)典型配置2.4 排障：防火墻路由故障排除命令配置多出口：主備模式步驟配置項(xiàng)配置命令1、配置負(fù)載分擔(dān)模式load-balance multi-interface standby2、配置主接口interface GigabitEthernet1/0/1 ip address standby interface GigabitEther

31、net1/0/7 255 3、配置從接口interface GigabitEthernet1/0/7 ip address 4、配置路由ip route-static 0 ip route-static 0 5、驗(yàn)證配置display standby stateWEB配置多出口：主備模式選擇“網(wǎng)絡(luò) 多出口”，按如下參數(shù)配置（命令見備注）配置多出口：均衡式負(fù)載分擔(dān)配置拓?fù)洳襟E配置項(xiàng)配置命令1、配置接口interface GigabitEthernet1/0/1 ip address route weight 50 interface GigabitEthernet1/0/7 ip address

32、 route weight 503、配置負(fù)載分擔(dān)方式load-balance multi-interface packet4、配置路由ip route-static 0 ip route-static 0 WEB配置多出口：均衡式負(fù)載分擔(dān)選擇“網(wǎng)絡(luò) 多出口”，按如下參數(shù)配置命令配置多出口：溢出式負(fù)載分擔(dān)步驟配置項(xiàng)配置命令1、配置主用接口interface GigabitEthernet1/0/1 ip address standby interface GigabitEthernet1/0/2 standby threshold 80 302、配置分擔(dān)接口interface GigabitEt

33、hernet1/0/2 ip address 3、配置負(fù)載分擔(dān)方式load-balance multi-interface packet4、配置路由ip route-static 0 ip route-static 0 5、驗(yàn)證配置display standby state配置OSPF基本功能步驟配置項(xiàng)配置命令1、配置router id系統(tǒng)視圖下router id 或ospf 1 router-id 2、配置區(qū)域及宣告網(wǎng)絡(luò)ospf 1 area network 55 stub area stub no-summary3、配置接口類型及開銷inter g1/0/1ospf network-typ

34、e p2pospf cost 204、通告默認(rèn)路由強(qiáng)制通告默認(rèn)路由default-route-advertise default-route-advertise always5、配置安全策略安全策略要放行OSPF協(xié)議配置OSPF高級功能步驟配置項(xiàng)本端配置對端配置1、配置vlink-peerospf 1 router-id area 2vlink-peer ospf 1 router-id area 2vlink-peer 2、配置ABR匯總ospf 100area 1network 55network 55abr-summary 3、配置ASBR匯總ospf 100asbr-summary a

35、sbr-summary not-advertiseasbr-summary tag 2 cost 1004、配置認(rèn)證interface GigabitEthernet 1/0/1ospf authentication-mode md5 15 cipher huawei123interface GigabitEthernet 1/0/1ospf authentication-mode md5 15 cipher huawei123配置BGP基本功能步驟配置項(xiàng)本端配置對端配置1、配置IBGP對等體bgp 10 router-id peer as-number 10 peer connect-int

36、erface loopback 0bgp 10 router-id peer as-number 10 peer connect-interface loopback 02、配置EBGP對待體，配置認(rèn)證bgp 10 router-id peer as-number 30 peer password simple huawei123bgp 30 router-id peer as-number 10 peer password simple huawei1233、宣告路由引入路由bgp 10 network import route ospf import route directbgp 30

37、network import route isis import route direct配置BGP高級功能步驟配置項(xiàng)本地配置對端配置1、配置BGP反射器bgp 10 router-id peer as-number 10 peer connect-interface bgp 10 router-id peer as-number 10 peer connect-interface loopback 0 peer as-number 10 peer connect-interface loopback 0 peer reflect-client peer reflect-client bgp

38、10 router-id peer as-number 10 peer connect-interface 2、配置BGP路由過濾acl number 2000 rule 5 deny source 55 rule 10 permitbgp 10peer filter-policy 2000 import3、配置BGP屬性bgp 10peer next-hop-localpeer route-policy change_as_path import配置策略路由步驟配置項(xiàng)配置命令基于用戶基于應(yīng)用基于源地址1、配置IPlinkip-link check enable ip-link 1 desti

39、nation mode icmp ip-link 2 destination mode icmp2、配置策略路由policy-based-route rule name pbr_1 description pbr_1 source-zone trust user /marketing user /president track ip-link 1 action pbr next-hop rule name pbr_2 source-zone trust user /research track ip-link 2 action pbr next-hop policy-based-route r

40、ule name pbr_1 source-zone trust application category Business_Systems track ip-link 1 action pbr egress-interface GigabitEthernet1/0/2 next-hop 202.168.10。1 rule name pbr_2 source-zone trust application category Entertainment track ip-link 2 action pbr egress-interface GigabitEthernet1/0/4 next-hop

41、 policy-based-route rule name pbr_1 source-zone trust source-address 24 track ip-link 1 action pbr next-hop rule name pbr_2 source-zone trust source-address 24 track ip-link 2 action pbr next-hop 配置ISP選路步驟配置項(xiàng)配置命令1、上傳IP地址文件ftp get isp1.csvget isp2.csv2、配置IP地址文件的出接口isp set filename isp1.csv next-hop i

42、sp set filename isp2.csv next-hop 3、啟用導(dǎo)入的IP地址文件isp enable filename isp1.csvisp enable filename isp2.csv4、檢查配置display ip route目錄防火墻接口互聯(lián)技術(shù)防火墻接口互聯(lián)技術(shù)2.1 原理：防火墻路由基本原理2.2 命令：路由協(xié)議配置2.3 案例：三層組網(wǎng)典型配置2.4 排障：防火墻路由故障排除OSPF互聯(lián)配置示例組網(wǎng)拓?fù)淙缬覉D所示某企業(yè)在內(nèi)部網(wǎng)絡(luò)部署了USG來連接研發(fā)部門、市場部門和財務(wù)部門。同時在網(wǎng)絡(luò)邊界處部署了USG作為安全網(wǎng)關(guān)，并從運(yùn)營商處購買了寬帶上網(wǎng)服務(wù)，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)接

43、入Internet的需求。配置思路配置接口IP、并添加接口到相應(yīng)的安全區(qū)域配置OSPF路由協(xié)議USG互聯(lián)的網(wǎng)段為區(qū)域0財務(wù)部門和USGB相連網(wǎng)段為區(qū)域1研發(fā)部門和USGC相連網(wǎng)段為區(qū)域2（完全STUB區(qū)域）市場部門和USGD相連網(wǎng)段為區(qū)域3USGA下發(fā)默認(rèn)路由，為DR路由器，USGD為BDR路由器各USG上配置安全策略，允許OSPF協(xié)議及其它相應(yīng)流量在USGA上配置NAT策略實(shí)現(xiàn)源地址轉(zhuǎn)換功能配置USGA# sysname USG_A # interface GigabitEthernet1/0/1 ip address # interface GigabitEthernet1/0/3 ip

44、address ospf dr-priority 100# firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ospf 1 router-id import-route static cost 1 type 2 area network 55 # ip route-static GigabitEthernet1/0/1 54 # # nat addres

45、s-group address_1 section 0 0 0 # security-policy rule name policy_sec_1 source-zone local source-zone untrust destination-zone local destination-zone untrust action permit rule name policy_sec_2 source-zone trust destination-zone untrust source-address 24 source-address 24 source-address 24 action

46、permit # nat-policy rule name policy_nat_1 source-zone trust destination-zone untrust source-address 24 source-address 24 source-address 24 action nat address-group address_1 配置USGB# sysname USG_B # interface GigabitEthernet1/0/1 ip address # interface GigabitEthernet1/0/3 ip address # firewall zone

47、 trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ospf 1 router-id area network 55 area network 55# # security-policy rule name policy_sec_1 source-zone local source-zone trust destination-zone local destination-zone

48、 trust action permit rule name policy_sec_2 source-zone local source-zone untrust destination-zone local destination-zone untrust action permit rule name policy_sec_3 source-zone trust destination-zone untrust source-address 24 action permit 配置USGC# sysname USG_C # interface GigabitEthernet1/0/1 ip

49、address # interface GigabitEthernet1/0/3 ip address # firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ospf 1 router-id area network 55 area network 55 stub no-summary# security-policy rule name policy_

50、sec_1 source-zone local source-zone trust destination-zone local destination-zone trust action permit rule name policy_sec_2 source-zone local source-zone untrust destination-zone local destination-zone untrust action permit rule name policy_sec_3 source-zone trust destination-zone untrust source-ad

51、dress 24 action permit 配置USGD# sysname USG_D # interface GigabitEthernet1/0/1 ip address # interface GigabitEthernet1/0/3 ip address ospf dr-priority 2# firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 #

52、ospf 1 router-id area network 55 area network 55# # security-policy rule name policy_sec_1 source-zone local source-zone trust destination-zone local destination-zone trust action permit rule name policy_sec_2 source-zone local source-zone untrust destination-zone local destination-zone untrust acti

53、on permit rule name policy_sec_3 source-zone trust destination-zone untrust source-address 24 action permit # BGP互聯(lián)配置示例實(shí)驗(yàn)需求：USG_A為企業(yè)的防火墻兼出口網(wǎng)關(guān)。USG_A通過運(yùn)營商網(wǎng)絡(luò)連接到Internet。USG_A、USG_B和USG_C之間運(yùn)行IBGP協(xié)議。企業(yè)內(nèi)部網(wǎng)絡(luò)地址通過USG_B和USG_C進(jìn)行發(fā)布。配置USGA#interface GigabitEthernet1/0/1 ip address #interface GigabitEthernet1/0/2

54、 ip address #interface GigabitEthernet1/0/3 ip address #firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 add interface GigabitEthernet1/0/3#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1#bgp 10 router-id peer as-number 20 peer as-number 10 peer as-numbe

55、r 10 # ipv4-family unicast undo synchronization peer enable peer enable peer enable #security-policy rule name policy_sec_1 source-zone trust destination-zone untrust action permit rule name policy_sec_2 source-zone local source-zone untrust destination-zone local destination-zone untrust action per

56、mit配置USGB#interface GigabitEthernet1/0/1 ip address #interface GigabitEthernet1/0/2 ip address #interface GigabitEthernet1/0/3 ip address #firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 add interface GigabitEthernet1/0/3#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1#bgp 10 router-id peer as-number 10 peer as-number 10 #