在企业网的网络架构中,都会存在双上行,双出口的网络架构,无论是单防火墙(或单路由器),亦或是主备双防火墙(或主备双路由器)当做外网出口设备时,如何对内网的流量进行管控是许多网络管理员或者运维人员需要考虑的事情,以及如何进行配置防火墙或路由器,下面由老姜进行分析以及配置时需要注意的地方。
拓扑图如下:
单防火墙设备为出口设备,双外网出口,分为二层汇聚接入以及三层汇聚接入,二层的内网通过222.222的外网,三层的内网通过222.223的外网。在防火墙上配置以及走策略路由以及需要注意的配置如下:
划分各接口的安全域:
security-zone name Untrust
import interface GigabitEthernet1/0/14
import interface GigabitEthernet1/0/15
security-zone name Trust
import interface GigabitEthernet1/0/16
配置外网出口IP:
interface GigabitEthernet1/0/14
port link-mode route
description dianxin_450M
ip address 222.222.XXX.XXX 255.255.255.240
interface GigabitEthernet1/0/15
port link-mode route
description dianxin_500
ip address 222.223.XXX.XXX 255.255.255.248
interface GigabitEthernet1/0/16
port link-mode route
description to_H3C S7503X
ip address 10.200.XXX.XXX
配置ACL:
acl basic 2000
rule 5 permit source 10.200.XXX.XXX,二层的内网终端
rule 100 deny
acl ad 3000
rule 5 per sou 10.XXX.XXX.XXX,三层的内网终端
配置策略路由:
policy-based-route new permit node 0
if-match acl 3000
apply next-hop 222.223.XXX.XXX,外网接口
#
policy-based-route new permit node 1
if-match acl 2000
apply next-hop 222.222.XXX.XXX,外网接口
注意:配置策略路由时,划分的内网的ACL在此进行流量分流。
并在内网接口应用策略路由:
interface GigabitEthernet1/0/16
ip policy-based-route new
配置默认路由:
ip route-static 0.0.0.0 0 222.223.XXX.XXX
ip route-static 0.0.0.0 0 222.222.XXX.XXX preference 70
注意:默认路由需要区分优先级
如此配置完成以后,还是不能达到预期,需要在两个外网接口单独配置
interface GigabitEthernet1/0/14
ip last-hop hold
interface GigabitEthernet1/0/15
ip last-hop hold
ip last-hop hold:开启转发保持上一跳功能,缺省情况下是关闭的。(老姜认为只有华三,H3C防火墙需要配置此项。一直搞华为的数通产品,没有印象华为USG以及路由器貌似不需要配置此项。请指正。)
接口上开启保持上一跳功能后,当该接口接收到正向流量的第一个IP报文,在高速缓存中会记录相应的流量特征以及上一跳信息,反向流量报文到达设备上进行转发时可以直接通过该上一跳信息指导报文进行转发。
保持上一跳功能依赖于快速转发表项的建立,如果上一跳的MAC地址发生变化,对应的快速转发表项需要重建才能使保持上一跳功能正常工作。
至此初步的上网业务已完成,下一期讨论在此组网情况,两条外网接口,分别对应两条到总部的IPSEC VPN以及到阿里云的IPSEC VPN的配置,期待中呦。