USG策略路由NAT负载实现方法

如图所示，在企业内网出口部署一台USG防火墙，其中和内部网络相连的接口位于Trust区域，和外部网络相连的两个接口位于Untrust区域。内网中两个不同网段（网段A和网段B）的用户通过不同的路由访问Internet。

分析：

当不同网段用户需要通过不同的路由到达同一目的地址时，可以配置策略路由实现

实验需求

内部vlan10网段从ISP-A线路出去，并且配置ISP-B为备份链路。
内部vlan20网段从ISP-B线路出去，并且配置ISP-A为备份链路

配置思路

在USG配置与Router_A、Router_B的互联数据，并配置两条去往Internet的缺省路由。
在USG上配置策略路由，使源地址为10.0.1.30/27的报文的下一跳指定为202.168.10.1，源地址为10.0.1.62/27的报文的下一跳指定为202.169.10.1。
在USG上配置IP-Link，监控下一跳是否可达。如果不可达，则策略路由失效。策略路由失效后，流量将根据设备上生效的缺省路由到达Internet。

1、汇聚层交换机配置

<Huawei>system-view 
[Huawei]sysname LSW2HJ
[LSW2HJ]undo info-center enable
[LSW2HJ]vlan batch 10 20
[LSW2HJ]interface GigabitEthernet 0/0/1
[LSW2HJ-GigabitEthernet0/0/1]port link-type trunk 
[LSW2HJ-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 4094
[LSW2HJ-GigabitEthernet0/0/1]int g0/0/2
[LSW2HJ-GigabitEthernet0/0/2]port hybrid pvid vlan 10
[LSW2HJ-GigabitEthernet0/0/2]undo port hybrid vlan 1
[LSW2HJ-GigabitEthernet0/0/2]port hybrid untagged vlan 10
[LSW2HJ-GigabitEthernet0/0/2]int g0/0/3
[LSW2HJ-GigabitEthernet0/0/3]port hybrid pvid vlan 20
[LSW2HJ-GigabitEthernet0/0/3]undo port hybrid vlan 1
[LSW2HJ-GigabitEthernet0/0/3]port hybrid untagged vlan 20
[LSW2HJ]ip route-static 0.0.0.0 0.0.0.0 10.0.0.241

2、核心交换机配置

<Huawei>system-view 
[Huawei]sysname LSW1HX
[LSW1HX]undo info-center enable
[LSW1HX]vlan batch 10 20 30
[LSW1HX]interface Vlanif 1
[LSW1HX-Vlanif1]ip add 10.0.0.241 255.255.255.240
[LSW1HX-Vlanif1]int vlan 10
[LSW1HX-Vlanif10]ip add 10.0.1.30 255.255.255.224
[LSW1HX-Vlanif10]int vlan 20
[LSW1HX-Vlanif20]ip add 10.0.1.62 255.255.255.224
[LSW1HX-Vlanif20]int vlan 30
[LSW1HX-Vlanif30]ip add 10.0.0.14 255.255.255.240
[LSW1HX-Vlanif30]quit
[LSW1HX]interface GigabitEthernet 0/0/1	
[LSW1HX-GigabitEthernet0/0/1]port link-type access 
[LSW1HX-GigabitEthernet0/0/1]port default vlan 30
[LSW1HX-GigabitEthernet0/0/1]int g0/0/2
[LSW1HX-GigabitEthernet0/0/2]port link-type trunk
[LSW1HX-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 to 4094
[LSW1HX-GigabitEthernet0/0/2]quit
[LSW1HX]ip route-static 0.0.0.0 0.0.0.0 10.0.0.1

3、防火墙配置

<SRG>system-view 
[SRG]SYSNAME FW1
[FW1]undo info-center enable
[FW1]int g0/0/0
19:39:10  2015/11/05
[FW1-GigabitEthernet0/0/0]ip add 10.0.0.1 255.255.255.240
19:39:20  2015/11/05
Info: The DHCP server configuration on this interface will be deleted.
[FW1-GigabitEthernet0/0/0]int g0/0/1
[FW1-GigabitEthernet0/0/1]ip add 202.168.10.2 255.255.255.252
[FW1-GigabitEthernet0/0/1]int g0/0/2
[FW1-GigabitEthernet0/0/2]ip add 202.169.10.2 255.255.255.252

定义ACL 3001匹配源地址为10.0.1.0/27的报文，ACL 3002匹配源地址为10.0.1.32/27的报文
[FW1]acl number 3001
[FW1-acl-adv-3001]rule 5 permit ip source 10.0.1.0 0.0.0.31
[FW1-acl-adv-3001]quit
[FW1]acl number 3002
[FW1-acl-adv-3002]rule 5 permit ip source 10.0.1.32 0.0.0.31
[FW1-acl-adv-3002]quit

配置接口加入相应安全区域。
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet 0/0/0
[FW1-zone-trust]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface g0/0/1
[FW1-zone-untrust]add interface g0/0/2
[FW1-zone-untrust]quit

配置IP-Link1，监控202.168.10.1是否可达，如果不可达，则策略路由失效，策略路由失效后，ISP-A线路流量根据默认路由经ISP-B到达Internet；配置IP-Link2，监控202.169.10.1是否可达，如果不可达，则策略路由失效，策略路由失效后，ISP-B线路流量根据默认路由经ISP-A到达Internet。

[FW1]ip-link check enable 
[FW1]ip-link 1 destination 202.168.10.1 interface GigabitEthernet 0/0/1
[FW1]ip-link 2 destination 202.169.10.1 interface GigabitEthernet 0/0/2

配置静态路由
[FW1]ip route-static 0.0.0.0 0.0.0.0 202.168.10.1 track ip-link 1
[FW1]ip route-static 0.0.0.0 0.0.0.0 202.169.10.1 track ip-link 2
[FW1]ip route-static 10.0.1.0 255.255.255.224 10.0.0.14
[FW1]ip route-static 10.0.1.32 255.255.255.224 10.0.0.14

创建名为test的策略，定义5号节点，使源地址为10.0.1.0/27的报文被发到下一跳202.168.10.1
[FW1]policy-based-route test permit node 5
[FW1-policy-based-route-test-5]if-match acl 3001
[FW1-policy-based-route-test-5]apply ip-address next-hop 202.168.10.1
[FW1-policy-based-route-test-5]quit

定义10号节点，使源地址为10.0.1.32/27的报文被发到下一跳202.169.10.1。
[FW1]policy-based-route test permit node 10
[FW1-policy-based-route-test-10]if-match acl 3002
[FW1-policy-based-route-test-10]apply ip-address next-hop 202.169.10.1
[FW1-policy-based-route-test-10]quit

在Trust和Untrust域间出方向配置防火墙策略。
[FW1]policy interzone trust untrust outbound 
[FW1-policy-interzone-trust-untrust-outbound]policy 0
[FW1-policy-interzone-trust-untrust-outbound-0]action permit 
[FW1-policy-interzone-trust-untrust-outbound-0]policy source 10.0.1.0 0.0.0.31
[FW1-policy-interzone-trust-untrust-outbound-0]policy source 10.0.1.32 0.0.0.31
[FW1-policy-interzone-trust-untrust-outbound-0]quit

在接口GigabitEthernet 0/0/0上应用定义的策略test，处理此接口接收的报文。
[FW1]interface g0/0/0
[FW1-GigabitEthernet0/0/0]ip policy-based-route test
[FW1-GigabitEthernet0/0/0]quit

4、R1配置

<Huawei>system-view 
[Huawei]sysname R1
[R1]undo info-center enable
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.168.10.1 255.255.255.0
[R1-GigabitEthernet0/0/0]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 202.168.10.2

5、R2配置

<Huawei>system-view 
[Huawei]sysname R2
[R2]undo info-center enable
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 202.169.10.1 255.255.255.0
[R2-GigabitEthernet0/0/0]quit
[R2]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2