华为USG6320做双线-基于源地址的策略路由

通过配置策略路由实现不同源地址数据通过不同的链路转发。

组网需求

某企业公司拉了两条电信的光纤，分别为静态光纤和拨号光纤，前者主要用于服务器，后者则用于一般办公。

需求如下：

　　　　静态光纤：服务器专用

　　　　拨号光纤：常用办公

基于源地址的策略路由如下（下图从华为教材处截来，只作参考）：

一、具体操作步骤如下：

　　1、配置接口IP地址和安全区域，完成网络基本参数配置。

　　　　a、将接口GE1/0/1加入Trust区域

　　　　　　1）、选择 “网络 > 接口”

　　　　　　2）、选择GE1/0/1对应的，按如下参数配置。

　　　　　　　　安全区域：　　trust

　　　　　　　　IP地址：　　   172.16.0.1/24

　　　　　　　　　　　　　　   172.16.1.1/24

　　　　b、将接口GE1/0/2加入Untrust区域，选择 “网络 > 接口”，然后在PPPoE处输入电信提供的用户名和密码。

　　　　c、将接口GE1/0/3加入Untrust区域，配置如下：

　　　　　　　　安全区域：　　untrust

　　　　　　　　IP地址：　　    171.16.12.219

　　2、配置Trust区域和Untrust区域之间的安全策略。

　　　　a、选择“策略 > 安全策略”。

　　　　b、单击“新建”，按如下参数配置从Trust到Untrust的域间策略。

　　　　　　

　　　　c、单击“应用”。

　　3、创建策略路由“pbr_1”，从Trust区域（即0段IP）指定出接口为接口GE1/0/2

　　　　a、选择“网络 > 路由 > 智能选路 > 策略路由”。

　　　　b、单击“新建”，按如下参数配置。

　　　　　　名称　　　　　　pbr_1

　　　　　　描述　　　　　　pbr_1

　　　　　　类型　　　　　　源安全区域

　　　　　　源安全区域　　　trust

　　　　　　源地址/地区　　  172.16.0.0/24

　　　　　　动作　　　　　　转发

　　　　　　出接口类型　　   单出口

　　　　　　出接口类型　　 GE1/0/2

　　　　c、单击“确定”。

　　4、创建策略路由“pbr_2”，从Trust区域（即0段IP）指定出接口GE1/0/3，下一跳IP为：171.16.12.219

　　　　a、单击“新建”，按如下参数配置。

　　　　　　名称　　　　　　pbr_2

　　　　　　描述　　　　　　pbr_2

　　　　　　类型　　　　　　源安全区域

　　　　　　源安全区域　　　trust

　　　　　　源地址/地区　　  172.16.1.0/24

　　　　　　动作　　　　　　转发

　　　　　　出接口类型　　   单出口

　　　　　　出接口类型　　  GE1/0/3

　　　　　　下一跳IP　　　   171.16.12.219

　　　　　　启用监控IP　　   171.16.12.219

　　　　b、单击“确定”。

　　5、设置NAT转换方能上网，配置如下

　　　　a、0段IP_nat_wlan1

　　　　　　1）、选择“策略 > NAT策略 > 源策略 > 新建”，配置如下：

　　　　　　　　名称　　　　　　0段IP_nat_wlan1

　　　　　　　　描述　　　　　　0段IP_nat_wlan1

　　　　　　　　源安全区域　　　any

　　　　　　　　目的类型　　　　出接口 GE1/0/2

　　　　　　　　源地址　　　　　172.16.0.1/24(即0段IP)

　　　　　　　　动作　　　　　　NAT转换

　　　　　　　　转换后　　　　　出接口地址

　　　　　　2）、单击“确定”。

　　　　b、1段IP_nat_wlan2

　　　　　　　　名称　　　　　　1段IP_nat_wlan2

　　　　　　　　描述　　　　　　1段IP_nat_wlan2

　　　　　　　　源安全区域　　　any

　　　　　　　　目的类型　　　　出接口 GE1/0/3

　　　　　　　　源地址　　　　　172.16.1.1/24(即1段IP)

　　　　　　　　动作　　　　　　NAT转换

　　　　　　　　转换后　　　　　出接口地址

　　6、让两段IP实现互通。

　　　　a、选择“网络 > 路由 > 智能选路 > 策略路由 > 新建”，配置如下（此处策略需移动到最上面，即要优先处理此条策略）：

　　　　　　名称　　　　　　0段IP_1段IP_互通

　　　　　　描述　　　　　　0段IP_1段IP_互通

　　　　　　类型　　　　　　源安全区域

　　　　　　源安全区域　　　trust

　　　　　　源地址　　　　　172.16.0.1/24 和 172.16.1.1/24

　　　　　　目的地址　　　　172.16.0.1/24 和 172.16.1.1/24

　　　　　　动作　　　　　　不做策略路由

　　　　b、单击“确定”。

　　7、端口映射

　　　　a、选择“策略 > 安全策略 > 新建”

　　　　　　1)、具体配置如下。

　　　　　　　　名称　　　　　　port_to_port

　　　　　　　　描述　　　　　　port_to_port

　　　　　　　　源安全区域　　   trust

　　　　　　　　目的安全区域　　trust

　　　　　　　　动作　　　　　　允许

　　　　　　　2)、单击“确定”。

　　　　b、源NAT设置

　　　　　　1）、选择“策略 > NAT策略 > 源NAT > 新建”，具体配置如下

　　　　　　　　名称　　　　　　port_to_port

　　　　　　　　描述　　　　　　port_to_port

　　　　　　　　源安全区域　　　trust

　　　　　　　　目的安全区域　　trust

　　　　　　　　动作　　　　　　NAT转换

　　　　　　　　转换后　　　　　出接口地址

　　　　　　2）、单击“确定”

　　　　c、端口映射，选择“策略 > NAT策略 > 服务器映射 > 新建”，具体配置如下

　　　　　　名称　　　　　　port01

　　　　　　描述　　　　　　windows_remote_port

　　　　　　安全区域 　　　　any

　　　　　　公网IP　　　　　171.16.12.219

　　　　　　私网IP　　　　　172.16.0.8

　　　　　　允许端口转换　　TCP

　　　　　　公网端口　　　　3389

　　　　　　私网端口　　　　3389

　　　　然后单击“确定”即可。

二、无线网络的设置

需求：由于公司有部分手提电脑，且手机也要网络，所以需给两个IP段分别添加一个无线路由器。

公司原来路由器：

D-Link： 1台

艾泰：    1台

　　1、D-Link的设置如下：

　　　　a、Lan IP : 172.16.2.1

　　　　b、DHCP：172.16.2.2－172.16.2.100

　　　　c、Wan IP : 172.16.1.2　　　　　　//此处需设跟路由器同断IP才能上网

　　　　　　网关：  172.16.1.1

　　　　       DNS：  114.114.114.114

　　2、艾泰的设置如下：

　　　　a、Lan IP :　172.16.0.2

　　　　b、DHCP：   172.16.0.3－172.16.0.100　　　　//此处不能与一级路由有冲突，我在一级路由器设置的DHCP为：172.16.0.101－172.16.0.200

　　　　c、Wan IP：动态获取　　　　　　　　　　　　//此处获取到的IP不会与二级路由DHCP冲突

 

PS：此文参考自华为官网教程，另外在配置好后，要单击右下角的“保存”。