1五、華爲 華三中小型企業網絡架構搭建 【防火牆篇之路由部署（根據需求不一樣，部署默認路由、浮動路由

拓撲

拓撲能夠保存到本地，而後擴大查看，這樣才能看的更清楚。（拖動到新窗口打開便可）

路由部署【根據需求不一樣，部署默認路由、浮動路由 NQA或者IP-link，策略路由】

分析：在實際工做中有多種需求
一、客戶想實現電信的流量訪問電信，聯通的流量訪問聯通【這個須要高版本防火牆才支持】
二、客戶想實現2個ISP被充分利用了，而且當一個ISP出向故障的時候，自動切換到另外的ISP上面。
三、客戶想默認狀況下走電信，但電信出現故障的時候，才走聯通【或者聯通走***流量，電信走ISP流量。】

具體實現

一、客戶想實現電信的流量訪問電信，聯通的流量訪問聯通【這個須要高版本防火牆才支持】
說明：實現該需求，其實須要大量的路由網段，須要知道電信與聯通的最新網段，而後敲入一個明細的路由到路由表中，這樣來實現訪問電信的走電信，訪問聯通的走聯通，像一些小廠商的路由器默認就集成了路由表，因此能夠提供這樣的功能，USG目前的版本尚未集成，在下一代防火牆NGfW中，據說是集成了路由表的，並且能夠實現負載均衡的狀況，因此在實現該需求的時候要麼知道電信 聯通的明細路由，或者使用高版本【這個須要華爲推出來後纔可使用】，目前是沒法實現的。

二、客戶想實現2個ISP被充分利用了，而且當一個ISP出向故障的時候，自動切換到另外的ISP上面。
說明：這個目前在工做中使用的方法是最多的，它主要是利用內網的網段來負載分擔，好比通常的流量走電信，一半的流量走聯通，而後經過NQA或者IP-lINk技術的配合來檢測ISP是否正常，而後經過策略路由來分類。

2.一、策略路由實施

[USG-GW]acl number 2000
[USG-GW-acl-basic-2000]description Core-A Vrrp master to access internet
[USG-GW-acl-basic-2000]rule permit source 192.168.19.0 0.0.0.255
[USG-GW-acl-basic-2000]rule permit source 192.168.21.0 0.0.0.255

[USG-GW]acl number 2001
[USG-GW-acl-basic-2001]description Core-B vrrp master to access internet
[USG-GW-acl-basic-2001]rule permit source 192.168.20.0 0.0.0.255
說明：定義了2個ACl，該ACl的分類是根據VrrP的Master來區分的，好比Core-A上面的Master網段則定義在200裏面，而Core-B的Master網段走定義在2001裏面，這樣的話用來匹配不一樣內網的流量，最終調用在策略路由中，實現效果。

[USG-GW]policy-based-route to-isp permit node 5
[USG-GW-policy-based-route-to-isp-5]if-match acl 2000
[USG-GW-policy-based-route-to-isp-5]apply ip-address next-hop 202.100.1.1

[USG-GW]policy-based-route to-isp permit node 10
[USG-GW-policy-based-route-to-isp-10]if-match acl 2001
[USG-GW-policy-based-route-to-isp-10]apply ip-address next-hop 61.128.1.1
說明：定義了2個策略路由，第一個爲訪問電信的，當匹配了ACl 2000的時候，則走下一跳202.100.1.1，第二個則爲訪問聯通的，當匹配了ACl 2001的時候，則走下一跳61.128.1.1。另外這裏必須寫在一個策略裏面，由於一個接口只能調用一個策略路由，因此這裏最終調用在VLAN接口下。
[USG-GW]interface vlan 1
[USG-GW-Vlanif1]ip policy-based-route to-isp
說明：這裏沒有方向性的，策略路由能調用在源接口。

2.2 IP-Link技術實施

說明：其中你們以爲能夠用NQA的，可是在防火牆上面NQA不支持關聯路由，只能用IP-Link，並且IP-link技術有一個莫大的優點，就是能夠跟 策略路由聯動。
[USG-GW]ip-link check enable
[USG-GW]ip-link 1 destination 202.100.1.1 interface g0/0/1 mode icmp
[USG-GW]ip-link 2 destination 61.128.1.1 interface g0/0/2 mode icmp
說明：開啓了IP-Link技術，而且定義了2個，當目的地202.100.1.1能夠用ICMP測試的狀況下，IP-Link1是UP的，不然爲Down，固然Ip-Link效果也同樣。最終關聯到路由裏面就好了。

能夠看到如今都是UP的。

擴展應用【若是想測試Dns或者是撥號接口該怎麼辦】

[USG-GW]ip-link 3 destination ccieh3c.taobao.com interface g0/0/1 這種能夠實現當訪問該域名從G0/0/1不通的狀況下，則認爲該鏈路失效了。這種爲dNS測試辦法
注意須要打開dNS解析功能，與定義dNS服務器地址。dns resolve dns server x.x.x.x

[USG-GW]ip-link 3 destination ccieh3c.com mode icmp next-hop dialer ，這種就是說當是PPPOe環境的時候，能夠指定下一跳爲撥號接口。固然也能夠 ip-link 3 destination ccieh3c.taobao.com interface dialer 0這樣。Destinatio能夠爲IP或者域名。

2.3 默認路由定義

[USG-GW]ip route-static 0.0.0.0 0 202.100.1.1 track ip-link 1
[USG-GW]ip route-static 0.0.0.0 0 61.128.1.1 track ip-link 2
說明：定義了2條默認路由，分別指向聯通電信的下一跳，注意這裏是關聯了IP-LINk技術的。

2.4 策略與NAT定義

策略與NAT以前已經定義完畢了，因此這裏不須要重複定義。

2.5 結果驗證測試【以訪客廳與Boos爲例。】

9.3.1 訪問Internet測試【雙線路訪問，而且測試一邊失效後的結果。】
2.5.1訪客廳用戶測試

已經獲取到了IP地址
NAT轉換條目查看

能夠看到有dNS的流量，都是走的202.100.1.2，當解析到了公網地址後，而後經過轉換爲202.100.1.2 訪問百度。

能夠看到百度也打開了。

策略檢查匹配項

能夠看到這裏是有對應匹配的。

NAT匹配項

爲何策略2能夠生效呢，由於如今已是在Action中。

能夠看到ACL也有對應的匹配。

測試當dx出現故障後，可否繼續訪問外網。

[USG-GW]int g0/0/1
[USG-GW-GigabitEthernet0/0/1]shutdown
這裏只能認爲的關閉下端口，形成故障的問題。

說明下：PING 114.114.114.144是能夠通訊的，而8.8.8.8則不行，國內已經封閉了。

有對應的策略匹配。

策略路由與IP-Link技術匹配的時候效果
當有IP-Link技術與策略路由同時出現的時候，系統會默認的根據IP-Link檢測的下一跳地址，來判斷策略路由是否生效，202.100.1.1失效了，則該策略路由對應的也失效，因此這裏走的不是策略路由，而是走的默認路由。

2.5.2高層部門下測試

已經獲取到了對應的VLAN下的地址。

能夠看到會話信息，都是經過 61.128.1.2轉發的。

能夠看到，如今第一個是有匹配了的，由於這個是給Boss網段用的。

策略路由調用的ACL也是有效果的。

測試斷開鏈路，繼續訪問

能夠看到後面的都是關於202.100.1.2的了，並非61.128.1.2，並且訪問正常。

能夠看到，電信的策略有匹配項目了。

2.6 總結

關於雙ISP的實施，注意幾點就能夠了，關於ip-link技術與策略路由的配合，另外就是須要放行的策略，與NAT的配置。注意查看匹配項來檢查是否正常轉換。

三、客戶想默認狀況下走電信，但電信出現故障的時候，才走聯通【或者聯通走虛擬專用網流量，電信走ISP流量。】

關於該定義的話，這裏就不演示結果了，只給出思路與配置。
一、定義ip-link技術
二、直接指向一條默認路由到DX。【注意關聯ip-link】
三、定義一條浮動默認路由指向聯通【不須要調用ip-link，可是優先級要把DX的要大】
四、若是要實現***的流量走聯通的話，指向把須要訪問對方私網網段的地址直接指向聯通的出接口便可。那麼在加密處理的時候天然會把包引向聯通的接口，而後發送給對方。

說明：這樣實現的額效果就是默認狀況下走電信，當ip-link技術檢查到電信的鏈路壞了，而後默認路由消失，直接用聯通的默認路由，而***由於有靜態路由的存在，因此會引向聯通的接口從而進行加密處理。

本文首發於公衆號：網絡之路博客