USG防火墙配置策略路由与IP-Link联动

发布时间:  2016-12-15 浏览次数:  291 下载次数:  0
问题描述
USG防火墙配置策略路由与IP-Link联动
解决方案
由于策略路由无法感知下一跳和缺省下一跳所在链路的可达性,当下一跳或缺省下一跳所在链路不可达时,对报文执行设置下一跳、缺省下一跳操作,可能会导致报文转发失败。
策略路由通过与IP-Link联动,可以解决上述问题,增强了策略路由应用的灵活性,以及策略路由对网络环境的动态感知能力。配置IP-Link时,将IP-Link监控链路的目的IP地址与策略路由中的报文的下一跳、缺省下一跳设置为一致,并可将策略路由与IP-Link关联,由IP-Link监视报文的下一跳和缺省下一跳所在链路的可达性,通过IP-Link的状态来动态地决定策略路由的可用性。

USG防火墙策略路由与IP-Link联动关键配置:
1. 配置策略路由。
# 配置策略testA,使源地址为10.1.0.0/16的报文被发到下一跳1.1.2.1。
[USG] policy-based-route testA permit node 5
[USG-policy-based-route-testA-5] if-match acl 3001
[USG-policy-based-route-testA-5] apply ip-address next-hop 1.1.2.1
[USG-policy-based-route-testA-5] quit
# 配置策略testB,使源地址为20.1.0.0/16的报文被发到下一跳1.1.3.1。
[USG] policy-based-route testB permit node 5
[USG-policy-based-route-testB-5] if-match acl 3002
[USG-policy-based-route-testB-5] apply ip-address next-hop 1.1.3.1
[USG-policy-based-route-testB-5] quit
# 在接口GigabitEthernet 0/0/1上应用定义的策略testA,处理此接口接收的报文。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip policy-based-route testA
[USG-GigabitEthernet0/0/1] quit
# 在接口GigabitEthernet 0/0/2上应用定义的策略testB,处理此接口接收的报文。
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip policy-based-route testB
[USG-GigabitEthernet0/0/2] quit
2. 为实现策略路由与IP-Link联动,需要将IP-Link侦测的目的IP地址与报文的下一跳配置为一致。
# 开启IP-Link链路检查功能。
[USG] ip-link check enable
# 创建IP-Link 1,用于侦测USG到目的地址为1.1.2.1之间的链路可达性。
[USG] ip-link 1 destination 1.1.2.1 mode icmp
# 创建IP-Link 2,用于侦测USG到目的地址为1.1.3.1之间的链路可达性。
[USG] ip-link 2 destination 1.1.3.1 mode icmp
3. 配置缺省路由,并与IP-Link关联。
# 配置缺省路由,指定下一跳1.1.2.1/24,并与IP-Link 1关联。
[USG] ip route-static 0.0.0.0 0.0.0.0 1.1.2.1 track ip-link 1
# 配置缺省路由,指定下一跳1.1.3.1/24,并与IP-Link 2关联。
[USG] ip route-static 0.0.0.0 0.0.0.0 1.1.3.1 track ip-link 2

注意:关于策略路由的acl配置以及接口IP,域间策略等配置在关键配置中暂时没有做配置。这里以USG2000&5000配置举例,可以在更多配置中查看USG6000的配置。

更多配置,请点击USG防火墙配置静态路由与IP-Link联动

END