USG防火墙配置静态路由与IP-Link联动

发布时间:  2016-12-16 浏览次数:  308 下载次数:  0
问题描述
USG防火墙配置静态路由与IP-Link联动
解决方案
当IP-Link自动检查发现链路故障时,USG会对自身的静态路由进行相应的调整,保证每次用到的链路是最高优先级和链路可达的,以保持业务的持续流通。
内部网络用户访问Internet的时候有两条静态路由可供选择,其中一条静态路由绑定了IP-Link进行链路可达性检查,当该链路不通的时候流量切换至另一条路由,以保证业务的畅通。

USG防火墙静态路由与IP-Link联动关键配置:
1. 配置各接口的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.0
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 10.10.1.1 255.255.255.0
[USG-GigabitEthernet0/0/2] quit
2. 对于USG系列,将接口加入安全区域,并配置域间包过滤,以保证网络基本通信正常,具体步骤略。对于USG BSR/HSR系列,不需要将接口加入安全区域以及配置包过滤。
3. 配置IP-Link,分别检测USG到Router 1和Router 2的链路。
[USG] ip-link check enable
[USG] ip-link 1 destination 10.10.1.2 mode icmp
[USG] ip-link 2 destination 10.10.1.3 mode icmp
4. 配置到Internet静态路由,分别绑定各自链路的IP-Link,为通过Router 1的路由设置较高的优先级。
[USG] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2 track ip-link 1
[USG] ip route-static 0.0.0.0 0.0.0.0 10.10.1.3 preference 70 track ip-link 2
5. 在内网PC上设置网关为192.168.1.1。
注意:这里以USG2000&5000配置举例,可以在更多配置中查看USG6000的配置。
更多配置,请点击USG防火墙配置静态路由与IP-Link联动

END