防火墙配置外网双线接入，线路互备模式的配置

先来看一下拓扑图，把IP地址直接标出来了，注意XX表示两位数字，真实的IP地址当然不方便直接写上去了，所以用X代替，各位不要见怪。

 

 

 

如上图所示，（1）出口采用华为USG6330防火墙，上联两条电信光纤，下联华为S5720三层交换机；（2）办公区的VLAN为1011， IP地址段为：10.1.1.0/24；生产区的VLAN为1012， IP地址段为：10.1.2.0/24。

 

配置目标：（1）办公区和生产区的网络隔离，不可互访；（2）链路正常的情况下，办公区通过222.92.XX.50上网，链路故障时，切换到58.210.XXX.172上网；（3）链路正常的情况下，生产区通过58.210.XXX.172上网，链路故障时，切换到222.92.XX.50上网。

 

华为三层交换机的配置：

vlan batch 8 1011 to 1012 *创建VLAN8、VLAN1011和VLAN1012

 

interface Vlanif8

 

ip address 192.168.8.2 255.255.255.0 *为VLAN8配置IP地址

 

interface Vlanif1011

 

ip address 10.1.1.1 255.255.255.0 *为VLAN1011配置IP地址，即该网段的网关地址

 

interface Vlanif1012

 

ip address 10.1.2.1 255.255.255.0 *为VLAN1012配置IP地址，即该网段的网关地址

 

interface GigabitEthernet0/0/1

 

port link-type access

 

port default vlan 8 *端口GigabitEthernet0/0/1属于VLAN8

 

interface GigabitEthernet0/0/2

 

port link-type access

 

port default vlan 1011 *端口GigabitEthernet0/0/2属于VLAN1011

 

interface GigabitEthernet0/0/3

 

port link-type access

 

port default vlan 1012 *端口GigabitEthernet0/0/3属于VLAN1012

 

以上配置完成后，在PC1上执行命令：ping 10.1.2.11，能ping通

 

 

同样的，在PC2上执行命令：ping 10.1.1.11，也能ping通

 

 

 

 

acl number 3001 *创建ACL，禁止VLAN1011访问VLAN1012

 

rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

 

acl number 3002 *创建ACL，禁止VLAN1012访问VLAN1011

 

rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 

traffic-filter vlan 1011 inbound acl 3001

 

traffic-filter vlan 1012 inbound acl 3002

 

*用traffic-filter在VLAN下应用ACL，禁止两个VLAN互访。

 

经过以上配置，PC1和PC2互ping，双向都不通了，达到VLAN隔离的要求

 

 

 

 

ip route-static 0.0.0.0 0.0.0.0 192.168.8.1 *配置静态路由，下一跳为192.168.8.1，即防火墙的内网口IP

 

配置这条路由后，两个VLAN才能上外网，当然了，真要上网还必须对防火墙进行配置。

 

华为防火墙的配置：

interface GigabitEthernet0/0/0

 

ip address 222.92.XX.50 255.255.255.248

 

interface GigabitEthernet0/0/1

 

ip address 58.210.XXX.172 255.255.255.248

 

interface GigabitEthernet0/0/2

 

ip address 192.168.8.1 255.255.255.0

 

*以上配置三个接口的IP地址，前面两个是外网口，最后一个是内网口

 

firewall zone trust

 

add interface GigabitEthernet0/0/2 *将接口放到相应的安全区域，内网口是Trust区域

 

firewall zone untrust *将接口放到相应的安全区域，两个外网口是Untrust区域

 

add interface GigabitEthernet0/0/0

 

add interface GigabitEthernet0/0/1

 

ip-link check enable *开启IP-Link链路检查功能

 

ip-link 11 destination 222.92.XX.49 mode icmp *创建IP-Link 11，用于侦测USG到222.92.XX.49之间的链路可达性

 

ip-link 12 destination 58.210.XXX.171 mode icmp *创建IP-Link 12，用于侦测USG到58.210.XXX.171之间的链路可达性

 

这里执行命令：dis ip-link，可以看到，两个ip-link，已经建立并且是上线状态了

 

 

ip route-static 0.0.0.0 0.0.0.0 222.92.76.49 track ip-link 11

 

ip route-static 0.0.0.0 0.0.0.0 58.210.192.171 track ip-link 12

 

*配置两条缺省路由，指定下一跳地址，并与相应的 IP-Link 关联

 

ip route-static 10.1.1.0 255.255.255.0 192.168.8.2

 

ip route-static 10.1.2.0 255.255.255.0 192.168.8.2

 

*以上两条命令是防火墙到内网的静态路由，也就是说访问内网的两个VLAN，要通过192.168.8.2这个IP地址，即华为三层交换机上配置的VLAN接口IP.