S7706交换机如何感知上行USG6600防火墙上的静态路由

发布时间:  2016-06-16 浏览次数:  116 下载次数:  0
问题描述

1、组网图如下:

 

2、组网描述:

A、USG6600、S7706间运行在ospf area 1中,USG6600与internet设备运行在ospf area 0中;USG6600通过在ospf中下发默认路由,引导内网用户访问internet。

B、两台USG6600分别通过运营商专线链路连接至远端服务器网络,内网用户需要访问远端服务器特定网段(比如:10.1.1.0/24),通过在USG6600上配置静态路实现。

C、两台防火墙独立运行,无双机。

3、问题描述:

A、当任意一台USG6600防火墙至远端服务器链路中断,下侧S7706交换机需要感知路由变化,及时调整数据包转发。

B、USG6600访问远端服务器的路由不能被引入到ospf并发布给internet设备。

解决方案

1、在两台USG6600防火墙、S7706交换机间配置ISIS,通过ISIS来发布到达远端服务器的路由。

2、具体配置如下:

USG6600-1:防火墙配置
#
isis 1
import-route static route-policy huawei level-1
is-level level-1
network-entity 10.0000.0000.0001.00
#
#
route-policy huawei permit node 10
if-match ip-prefix 10
#
ip ip-prefix 10 index 10 permit 10.1.1.0 24
#
interface gigabitethernet3/0/8   //与交换机S7706互联口
ip address xxx.xxx.xxx.xxx 255.255.55.252
isis enable 1
isis cost 60 
#

USG-2:防火墙配置
#
isis 1
import-route static route-policy huawei level-1
is-level level-1
network-entity 10.0000.0000.0002.00
#
#
route-policy huawei permit node 10
if-match ip-prefix 10
#
ip ip-prefix 10 index 10 permit 10.1.1.0 24
#
interface gigabitethernet3/0/8   (与交换机互联口)
ip address xxx.xxx.xxx.xxx 255.255.55.252
isis enable 1
#

S7706交换机数据配置
#
isis 1
is-level level-1
network-entity 10.0000.0000.0003.00
#
interface vlanif 10   //与USG6600-1防火墙互联接口
ip address xxx.xxx.xxx.xxx 255.255.55.252
isis enable 1
isis cost 60
#
interface vlanif 20   //与USG6600-2防火墙互联接口
ip address xxx.xxx.xxx.xxx 255.255.55.252
isis enable 1
#

END