通过以太网/4G链路主备接入Internet

通过以太网/4G链路主备接入Internet

为了保证企业网络出口的可用性,可以通过FW实现主用以太网专线链路接入Internet,并以4G方式作为备份链路。

适用产品

USG6000

组网需求

图1所示,FW作为网关部署在企业网络出口,内网用户可以通过以太网专线或者4G方式访问Internet。

  • 正常情况下,内网用户优先使用以太网专线接入Internet。当以太网专线出现故障时,才通过4G方式接入Internet,保证业务正常运行。
  • 管理员规划内网用户所属网段为192.168.100.0/24,由FW为内网用户分配IP地址。
  • 企业只申请了2个公网IP地址,分别应用于以太网接口和4G接口,需要通过FW保证内网用户可以访问Internet。
  • 企业办理了每月30G的流量业务,采用按需拨号方式接入Internet。企业从运营商处获得的信息:APN为ltenet,拨号串为*99#。
图1 通过以太网/4G链路主备接入Internet组网图

配置思路

  1. 配置GE接口和4G LTE Cellular接口的基本网络参数,并将接口加入安全区域。
  2. 配置轮询DCC拨号连接,实现4G LTE Cellular接口接入4G LTE网路。
  3. 配置FW做DHCP Server,为内网用户分配IP地址。
  4. 配置安全策略,允许企业内网用户访问Internet。
  5. 配置NAT策略,使用easy-ip方式转换报文的源地址,即使用出接口的公网IP地址做NAT转换。
  6. 分别为GE接口和4G LTE Cellular接口配置缺省路由,且GE接口的优先级小于4G LTE Cellular接口,即优先使用GE接口转发流量。

操作步骤

  1. 配置接口的基本网络参数,并将接口加入安全区域。
    <FW> system-view
    [FW] interface GigabitEthernet 1/0/3
    [FW-GigabitEthernet1/0/3] ip address 192.168.100.254 255.255.255.0
    [FW-GigabitEthernet1/0/3] quit
    [FW] interface GigabitEthernet 1/0/1
    [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
    [FW-GigabitEthernet1/0/1] quit
    [FW] firewall zone trust
    [FW-zone-trust] add interface GigabitEthernet 1/0/3
    [FW-zone-trust] quit
    [FW] firewall zone untrust
    [FW-zone-untrust] add interface GigabitEthernet 1/0/1
    [FW-zone-untrust] add interface cellular 0/0/0
    [FW-zone-untrust] quit
    
  2. 配置4G LTE Cellular 接口的连接参数。
    [FW] apn profile lteprofile
    [FW-apn-profile-lteprofile] apn ltenet
    [FW-apn-profile-lteprofile] quit
    [FW] interface cellular 0/0/0
    [FW-Cellular0/0/0] dialer enable-circular
    [FW-Cellular0/0/0] apn-profile lteprofile
    [FW-Cellular0/0/0] shutdown
    [FW-Cellular0/0/0] undo shutdown
    [FW-Cellular0/0/0] quit
  3. 配置轮询DCC拨号连接。

    命令dialer-group中的group-number和命令dialer-rule中的dialer-number必须一致。

    [FW] dialer-rule 1 ip permit
    [FW] interface cellular 0/0/0
    [FW-Cellular0/0/0] ip address negotiate
    [FW-Cellular0/0/0] dialer-group 1
    [FW-Cellular0/0/0] dialer number *99#
    [FW-Cellular0/0/0] quit
    
  4. 配置FW做DHCP server。
    [FW] dhcp enable
    [FW] ip pool pool_1
    [FW-ip-pool-pool_1] network 192.168.100.0 mask 255.255.255.0
    [FW-ip-pool-pool_1] gateway-list 192.168.100.254
    [FW-ip-pool-pool_1] quit
    [FW] interface GigabitEthernet 1/0/3
    [FW-GigabitEthernet1/0/3] dhcp select global
    [FW-GigabitEthernet1/0/3] quit
    
  5. 配置安全策略,允许内网用户访问Internet。
    [FW] security-policy
    [FW-policy-security] rule name sec_policy_1
    [FW-policy-security-rule-sec_policy_1] source-address 192.168.100.0 mask 255.255.255.0
    [FW-policy-security-rule-sec_policy_1] source-zone trust
    [FW-policy-security-rule-sec_policy_1] destination-zone untrust
    [FW-policy-security-rule-sec_policy_1] action permit
    [FW-policy-security-rule-sec_policy_1] quit
    [FW-policy-security] quit
    
  6. 配置NAT策略,使内网用户可以使用公网IP地址访问Internet。
    [FW] nat-policy
    [FW-policy-nat] rule name rule_1
    [FW-policy-nat-rule-rule_1] source-address 192.168.100.0 24
    [FW-policy-nat-rule-rule_1] source-zone trust
    [FW-policy-nat-rule-rule_1] egress-interface GigabitEthernet 1/0/1
    [FW-policy-nat-rule-rule_1] action source-nat easy-ip
    [FW-policy-nat-rule-rule_1] quit
    [FW-policy-nat] rule name rule_2
    [FW-policy-nat-rule-rule_2] source-address 192.168.100.0 24
    [FW-policy-nat-rule-rule_2] source-zone trust
    [FW-policy-nat-rule-rule_2] egress-interface Cellular 0/0/0
    [FW-policy-nat-rule-rule_2] action source-nat easy-ip
    [FW-policy-nat-rule-rule_2] quit
    [FW-policy-nat] quit
  7. 配置缺省路由。通过配置不同的缺省路由优先级,实现主用以太网专线链路,备用4G方式接入Internet。

    静态路由默认优先级为60,优先级的值越小,优先级越高。

    # 配置以太网专线接入方式的缺省路由,路由优先级为10。

    [FW] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/1 preference 10

    # 配置4G接入方式的缺省路由,路由优先级为20。

    [FW] ip route-static 0.0.0.0 0.0.0.0 cellular 0/0/0 preference 20

配置脚本

#    
 dialer-rule 1 ip permit
#
dhcp enable  
#
ip pool pool_1 
 gateway-list 192.168.100.254  
 network 192.168.100.0 mask 255.255.255.0
#
interface GigabitEthernet1/0/1   
 ip address 1.1.1.1 255.255.255.0  
#
interface GigabitEthernet1/0/3   
 ip address 192.168.100.254 255.255.255.0  
 dhcp select global  
#
interface Cellular0/0/0
 dialer enable-circular
 dialer-group 1
 apn-profile lteprofile
 dialer number *99#
 ip address negotiate
#
apn profile lteprofile  
  apn ltenet      
#    
firewall zone trust   
 add interface GigabitEthernet1/0/3  
#  
firewall zone untrust   
 add interface GigabitEthernet1/0/1  
 add interface Cellular0/0/0     
#
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 preference 10   
ip route-static 0.0.0.0 0.0.0.0 Cellular0/0/0 preference 20
#  
security-policy  
  rule name sec_policy_1   
    source-zone trust  
    destination-zone untrust   
    source-address 192.168.100.0 24  
    action permit  
#  
nat-policy   
  rule name rule_1   
    source-zone trust
    egress-interface GigabitEthernet1/0/1  
    source-address 192.168.100.0 24  
    action source-nat easy-ip  
  rule name rule_2   
    source-zone trust
    egress-interface Cellular0/0/0   
    source-address 192.168.100.0 24    
    action source-nat easy-ip  
#
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2176.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
通过以太网/4G链路主备接入Internet
通过以太网/4G链路主备接入Internet 为了保证企业网络出口的可用性,可以通过FW实现主用以太网专线链路接入Internet,并以4G方式作为备份链路。 适用产品 U……
<<上一篇
下一篇>>