通过以太网/4G链路主备接入Internet
通过以太网/4G链路主备接入Internet
为了保证企业网络出口的可用性,可以通过FW实现主用以太网专线链路接入Internet,并以4G方式作为备份链路。
组网需求
如图1所示,FW作为网关部署在企业网络出口,内网用户可以通过以太网专线或者4G方式访问Internet。
- 正常情况下,内网用户优先使用以太网专线接入Internet。当以太网专线出现故障时,才通过4G方式接入Internet,保证业务正常运行。
- 管理员规划内网用户所属网段为192.168.100.0/24,由FW为内网用户分配IP地址。
- 企业只申请了2个公网IP地址,分别应用于以太网接口和4G接口,需要通过FW保证内网用户可以访问Internet。
- 企业办理了每月30G的流量业务,采用按需拨号方式接入Internet。企业从运营商处获得的信息:APN为ltenet,拨号串为*99#。
配置思路
- 配置GE接口和4G LTE Cellular接口的基本网络参数,并将接口加入安全区域。
- 配置轮询DCC拨号连接,实现4G LTE Cellular接口接入4G LTE网路。
- 配置FW做DHCP Server,为内网用户分配IP地址。
- 配置安全策略,允许企业内网用户访问Internet。
- 配置NAT策略,使用easy-ip方式转换报文的源地址,即使用出接口的公网IP地址做NAT转换。
- 分别为GE接口和4G LTE Cellular接口配置缺省路由,且GE接口的优先级小于4G LTE Cellular接口,即优先使用GE接口转发流量。
操作步骤
- 配置接口的基本网络参数,并将接口加入安全区域。
<FW> system-view [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 192.168.100.254 255.255.255.0 [FW-GigabitEthernet1/0/3] quit [FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0 [FW-GigabitEthernet1/0/1] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/3 [FW-zone-trust] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-zone-untrust] add interface cellular 0/0/0 [FW-zone-untrust] quit
- 配置4G LTE Cellular 接口的连接参数。
[FW] apn profile lteprofile [FW-apn-profile-lteprofile] apn ltenet [FW-apn-profile-lteprofile] quit [FW] interface cellular 0/0/0 [FW-Cellular0/0/0] dialer enable-circular [FW-Cellular0/0/0] apn-profile lteprofile [FW-Cellular0/0/0] shutdown [FW-Cellular0/0/0] undo shutdown [FW-Cellular0/0/0] quit
- 配置轮询DCC拨号连接。
命令dialer-group中的group-number和命令dialer-rule中的dialer-number必须一致。
[FW] dialer-rule 1 ip permit [FW] interface cellular 0/0/0 [FW-Cellular0/0/0] ip address negotiate [FW-Cellular0/0/0] dialer-group 1 [FW-Cellular0/0/0] dialer number *99# [FW-Cellular0/0/0] quit
- 配置FW做DHCP server。
[FW] dhcp enable [FW] ip pool pool_1 [FW-ip-pool-pool_1] network 192.168.100.0 mask 255.255.255.0 [FW-ip-pool-pool_1] gateway-list 192.168.100.254 [FW-ip-pool-pool_1] quit [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] dhcp select global [FW-GigabitEthernet1/0/3] quit
- 配置安全策略,允许内网用户访问Internet。
[FW] security-policy [FW-policy-security] rule name sec_policy_1 [FW-policy-security-rule-sec_policy_1] source-address 192.168.100.0 mask 255.255.255.0 [FW-policy-security-rule-sec_policy_1] source-zone trust [FW-policy-security-rule-sec_policy_1] destination-zone untrust [FW-policy-security-rule-sec_policy_1] action permit [FW-policy-security-rule-sec_policy_1] quit [FW-policy-security] quit
- 配置NAT策略,使内网用户可以使用公网IP地址访问Internet。
[FW] nat-policy [FW-policy-nat] rule name rule_1 [FW-policy-nat-rule-rule_1] source-address 192.168.100.0 24 [FW-policy-nat-rule-rule_1] source-zone trust [FW-policy-nat-rule-rule_1] egress-interface GigabitEthernet 1/0/1 [FW-policy-nat-rule-rule_1] action source-nat easy-ip [FW-policy-nat-rule-rule_1] quit [FW-policy-nat] rule name rule_2 [FW-policy-nat-rule-rule_2] source-address 192.168.100.0 24 [FW-policy-nat-rule-rule_2] source-zone trust [FW-policy-nat-rule-rule_2] egress-interface Cellular 0/0/0 [FW-policy-nat-rule-rule_2] action source-nat easy-ip [FW-policy-nat-rule-rule_2] quit [FW-policy-nat] quit
- 配置缺省路由。通过配置不同的缺省路由优先级,实现主用以太网专线链路,备用4G方式接入Internet。
静态路由默认优先级为60,优先级的值越小,优先级越高。
# 配置以太网专线接入方式的缺省路由,路由优先级为10。
[FW] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/1 preference 10
# 配置4G接入方式的缺省路由,路由优先级为20。
[FW] ip route-static 0.0.0.0 0.0.0.0 cellular 0/0/0 preference 20
配置脚本
# dialer-rule 1 ip permit # dhcp enable # ip pool pool_1 gateway-list 192.168.100.254 network 192.168.100.0 mask 255.255.255.0 # interface GigabitEthernet1/0/1 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/3 ip address 192.168.100.254 255.255.255.0 dhcp select global # interface Cellular0/0/0 dialer enable-circular dialer-group 1 apn-profile lteprofile dialer number *99# ip address negotiate # apn profile lteprofile apn ltenet # firewall zone trust add interface GigabitEthernet1/0/3 # firewall zone untrust add interface GigabitEthernet1/0/1 add interface Cellular0/0/0 # ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 preference 10 ip route-static 0.0.0.0 0.0.0.0 Cellular0/0/0 preference 20 # security-policy rule name sec_policy_1 source-zone trust destination-zone untrust source-address 192.168.100.0 24 action permit # nat-policy rule name rule_1 source-zone trust egress-interface GigabitEthernet1/0/1 source-address 192.168.100.0 24 action source-nat easy-ip rule name rule_2 source-zone trust egress-interface Cellular0/0/0 source-address 192.168.100.0 24 action source-nat easy-ip # return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2176.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
打赏
海报
通过以太网/4G链路主备接入Internet
通过以太网/4G链路主备接入Internet
为了保证企业网络出口的可用性,可以通过FW实现主用以太网专线链路接入Internet,并以4G方式作为备份链路。
适用产品
U……
共有 0 条评论