高级网络，能配置出来已经是一方大神级别：双机双出口网关

admin

双机热备多出口组网方案

组网需求
如图 1 所示，两台 FW 的业务接口都工作在三层，上下行分别连接交换机。上行的两台交换机
分别连接到不同的运营商，其中 ISP1 分配给企业的 IP 地址为 100.100.100.1、100.100.100.2、
100.100.100.3，ISP2 分配给企业的 IP 地址为 200.200.200.1、200.200.200.2、200.200.200.3。
分支机构分别与总部的 100.100.100.3、200.200.200.3 建立 VPN 连接，且各自使用各自的网关上
现在希望两台 FW 以负载分担方式工作，部门 A 的用户（192.168.11.0/24）的流量去往
ISP1，部门 B（192.168.12.0/24）的流量去往 ISP2。正常情况下，FW_A 和 FW_B 共同转发流
量。当其中一台 FW 出现故障时，另外一台 FW 转发全部业务，保证业务不中断。
图 1：

实验平台
操作系统：Windows 10 企业版（10 周年版）
模拟软件：华为 eNSP 390；
设备选型：路由器：AR2220；防火墙：USG6000V；汇聚交换机：S5700；接入层交
换机：S3700；
使用主要技术
双机热备技术：VRRP，VGMP，HRP；
服务器负载均衡技术：SLB；
安全的 VPN 技术：IPSec-VPN;
智能选路：策略路由；
操作步骤

Step1：IP 规划与配置

Step2：模拟 ISP 网络
这里我采用 IS-IS 来模拟 ISP 网络，ISP1 是 100.100.100.0/24 网段，ISP2 是 200.200.200.0 网段；
配置如下：
ISP1：
router id 1.1.1.1
isis 10
is-level level-2
network-entity 49.0010.0010.0100.1001.00

interface GigabitEthernet0/0/0
ip address 10.10.100.1 255.255.255.0
isis enable 10
interface GigabitEthernet0/0/1
ip address 100.100.100.100 255.255.255.0
isis enable 10
ISP2：
router id 2.2.2.2
isis 10
is-level level-2
network-entity 49.0010.0020.0200.2002.00
interface GigabitEthernet0/0/0
ip address 10.10.200.2 255.255.255.0
isis enable 10
interface GigabitEthernet0/0/1
ip address 200.200.200.200 255.255.255.0
isis enable 10
ISP：作为两个运营互联互通节点
router id 3.3.3.3
isis 10
is-level level-2
network-entity 49.0010.0030.0300.3003.00
interface GigabitEthernet0/0/0
批注 [X1]: 区域 ID
批注 [X2]: 系统 ID
批注 [X3]: SEL 选择符，对于 NET 地址是 00
批注 [X4]: 使用私网地址作为运营商内部设备互联
批注 [X5]: 外部互联网地址
ip address 8.8.8.1 255.255.255.0
isis enable 10
interface GigabitEthernet0/0/1
ip address 10.10.100.3 255.255.255.0
isis enable 10
interface GigabitEthernet0/0/2
ip address 10.10.200.3 255.255.255.0
isis enable 10
在 ISP 路由器上查看 ISIS 路由表 如图所示：ISP1 和 ISP2 提供给用户的网段已经在路由表中。

ISP 网络没有问题了，表示我们已经成功在运营商那里已经申请到互联网线路了。接下来就是企业内
部网络的配置。
Step3：配置总部内部网络
首先，我们把交换机配置完成，方便我们在配置防火墙时做测试。
批注 [X6]: 模拟 DNS 所在网段
汇聚交换机配置
SW_A：

sysname SW_A
vlan batch 10 to 12
stp instance 11 priority 4096
stp instance 12 priority 8192
stp region-configuration
region-name xh
revision-level 1
instance 11 vlan 11
instance 12 vlan 12
active region-configuration
dhcp enable
ip pool vlan11
gateway-list 192.168.11.1
network 192.168.11.0 mask 255.255.255.0
excluded-ip-address 192.168.11.2 192.168.11.10
excluded-ip-address 192.168.11.150 192.168.11.254
dns-list 8.8.8.8
ip pool vlan12
gateway-list 192.168.12.1
network 192.168.12.0 mask 255.255.255.0
excluded-ip-address 192.168.12.2 192.168.12.10
excluded-ip-address 192.168.12.150 192.168.12.254
批注 [X7]: 设置实例 11 的优先级，让实例 11 在 SW_A 为
Master
批注 [X8]: 设置实例 12 的优先级，让实例 12 在 SW_B 为
Backup
批注 [X9]: 配置 MSTP 域名，所有参与 MSTP 的交换机的
域名应为相同的。企业网内不建议多域。
批注 [X10]: 配置修订级别，修订级别可以在域名和 VLAN
映射表相同的情况下，来区分不同的域。
批注 [X11]: 配置实例与 VLAN 的映射关系。
批注 [X12]: 激活 MSTP 配置，如果没有这条命令，MSTP
配置将不会生效。
批注 [X13]: 由于交换机主设备上的地址池信息不能实时
备份到备设备上，为防止主备切换后出现 IP 地址分配冲
突，主设备和备设备上配置的地址池必须要互相排除。
dns-list 8.8.8.8
interface Vlanif10
ip address 10.1.1.2 255.255.255.0
interface Vlanif11
ip address 192.168.11.254 255.255.255.0
vrrp vrid 11 virtual-ip 192.168.11.1
vrrp vrid 11 priority 111
dhcp select global
interface Vlanif12
ip address 192.168.12.254 255.255.255.0
vrrp vrid 12 virtual-ip 192.168.12.1
dhcp select global
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
eth-trunk 1
interface GigabitEthernet0/0/3
eth-trunk 1
interface GigabitEthernet0/0/4
port link-type trunk
批注 [X14]: 配置 VRRP 的虚拟地址，客户机利用此 IP 作
为网关，达到冗余的目的（此地址可以与主 IP 不在同一
网段）
批注 [X15]: 设置 VRRP 的抢占优先级，默认为 100，值越
大优先级越高
批注 [X16]: 将 GE0/0/2 与 GE0/0/3 聚合成一条链路
port trunk allow-pass vlan 11 to 12
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 11 to 12
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 10.1.1.2 0.0.0.0
network 192.168.11.0 0.0.0.255
network 192.168.12.0 0.0.0.255
user-interface con 0
idle-timeout 0 0
SW_B：

sysname SW_B
vlan batch 10 to 12
stp instance 11 priority 8192
stp instance 12 priority 4096
stp region-configuration
region-name xh
revision-level 1
instance 11 vlan 11
instance 12 vlan 12
active region-configuration
dhcp enable
ip pool vlan11
批注 [X17]: 配置 Console 口连接永不超时，主要用于实
验方便，在实际网络中为了安全起见最好不这么做
gateway-list 192.168.11.1
network 192.168.11.0 mask 255.255.255.0
excluded-ip-address 192.168.11.2 192.168.11.149
excluded-ip-address 192.168.11.250 192.168.11.254
dns-list 8.8.8.8
ip pool vlan12
gateway-list 192.168.12.1
network 192.168.12.0 mask 255.255.255.0
excluded-ip-address 192.168.12.2 192.168.12.149
excluded-ip-address 192.168.12.250 192.168.12.254
dns-list 8.8.8.8
interface Vlanif10
ip address 10.2.2.2 255.255.255.0
interface Vlanif11
ip address 192.168.11.253 255.255.255.0
vrrp vrid 11 virtual-ip 192.168.11.1
dhcp select global
interface Vlanif12
ip address 192.168.12.253 255.255.255.0
vrrp vrid 12 virtual-ip 192.168.12.1
vrrp vrid 12 priority 112
dhcp select global
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
eth-trunk 1
interface GigabitEthernet0/0/3
eth-trunk 1
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 11 to 12
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 11 to 12
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.0.0 0.0.255.255
network 10.2.2.2 0.0.0.0
user-interface con 0
idle-timeout 0 0
接入交换机配置
SW_4：

sysname SW_4
vlan batch 11 to 12
stp region-configuration
region-name xh
revision-level 1
instance 11 vlan 11
instance 12 vlan 12
active region-configuration
interface Ethernet0/0/11
port link-type access
port default vlan 11
stp edged-port enable
interface Ethernet0/0/12
port link-type access
port default vlan 12
stp edged-port enable
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 11 to 12
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 11 to 12
SW_5：（与 SW_4 相同，配置略）
批注 [X18]: 配置为边缘端口，主要用于连接 PC 或者路由
器等不参与生成树计算的设备。
配置防火墙

FW_A：

sysname FW_A
web-manager timeout 60
aaa
undo manager-user password-modify enable
//高可靠性配置
hrp enable
hrp interface GigabitEthernet1/0/5 remote 10.5.5.2
hrp mirror session enable
hrp track ip-link link_100
ip-link check enable
ip-link name link_100
destination 100.100.100.100 mode icmp
ip-link name link_200
destination 200.200.200.200 mode icmp
interface GigabitEthernet0/0/0
ip address 192.168.5.5 255.255.255.0
interface GigabitEthernet1/0/0
ip address 10.1.1.1 255.255.255.0
service-manage ping permit
interface GigabitEthernet1/0/1
ip address 100.100.100.1 255.255.255.0
vrrp vrid 1 virtual-ip 100.100.100.3 active
批注 [X19]: 设置管理页面超时时间为 60 分钟，以实验方
便为目的。
批注 [X20]: 取消管理员密码修改策略，以实验方便为目
的。
批注 [X21]: 配置心跳检测链路
批注 [X22]: 会话同步
批注 [X23]: 配置 VRRP 管理组地址，例外 USG6000V 有
一个 BUG，就是在下次启动时 VRRP 状态一直会处于
Initialize，必须手动重新配置一遍，要么就是等很久再开
防火墙也可以
vrrp virtual-mac enable
service-manage ping permit
interface GigabitEthernet1/0/2
ip address 200.200.200.1 255.255.255.0
vrrp vrid 2 virtual-ip 200.200.200.3 standby
vrrp virtual-mac enable
service-manage ping permit
interface GigabitEthernet1/0/3
ip address 10.3.3.1 255.255.255.0
interface GigabitEthernet1/0/5
ip address 10.5.5.1 255.255.255.0
firewall zone trust
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
//安全域配置
firewall zone dmz
add interface GigabitEthernet1/0/3
firewall zone name ISP1 id 4
set priority 10
add interface GigabitEthernet1/0/1
firewall zone name ISP2 id 5
set priority 20
add interface GigabitEthernet1/0/2
firewall zone name HRP id 6
批注 [X24]: 启动虚拟 MAC 地址，主要用于负载分担
set priority 55
add interface GigabitEthernet1/0/5
//动态路由 OSPF 配置
ospf 1 router-id 1.1.1.1
default-route-advertise always
area 0.0.0.0
network 10.1.1.1 0.0.0.0
network 10.3.3.1 0.0.0.0
//服务器负载均衡配置（USG6000V 有一个 BUG 就是每次设备重启后需手动重新 slb enable）
slb enable
slb
group 0 SRV
metric roundrobin
health-check type icmp
rserver 1 rip 172.16.10.101 port 80 max-connection 10 description server1
rserver 2 rip 172.16.10.102 port 80 max-connection 20 description server2
rserver 3 rip 172.16.10.103 port 80 max-connection 30 description server3
vserver 0 WEB
vip 0 100.100.100.3
vip 1 200.200.200.3
protocol http
vport 80
group SRV
//安全策略
批注 [X25]: 轮询方式
批注 [X26]: 健康检查类型
批注 [X27]: 服务器组配置
批注 [X28]: 虚拟服务器配置
security-policy
rule name Trust_ISP
description NAT
source-zone trust
destination-zone ISP1
destination-zone ISP2
action permit
rule name Trust_Local
description Management
source-zone trust
destination-zone local
action permit
rule name Local_Trust
description OSPF
source-zone local
destination-zone trust
action permit
rule name Local_DMZ
description OSPF
source-zone local
destination-zone dmz
action permit
rule name ISP_DMZ
description WWW
批注 [X29]: 用于内部网络访问外部网络
批注 [X30]: 用于管理防火墙以及路由协议等
批注 [X31]: 主要用于 OSPF 协议报文
批注 [X32]: 主要用于 OSPF 协议报文
source-zone ISP1
source-zone ISP2
destination-zone dmz
service http
service ftp
service dns
long-link enable
long-link aging-time 8
action permit
rule name Local_ISP
description IP-Link
source-zone local
destination-zone ISP1
destination-zone ISP2
action permit
rule name Trust_DMZ
source-zone trust
destination-zone dmz
service http
action permit
//策略路由
ip address-set Web_IP type object
address 0 100.100.100.3 mask 32
address 1 200.200.200.3 mask 32
批注 [X33]: 外部网络访问服务器的 WEB 服务
批注 [X34]: 用于 IP-Link 的探测报文
批注 [X35]: 内部网络访问 DMZ 区的 WEB 服务器
批注 [X36]: 外网访问 WEB 的地址集
policy-based-route
rule name Trust_DMZ
source-zone trust
destination-address address-set Web_IP
action pbr next-hop 10.3.3.3
rule name Route_Policy_ISP1
source-zone trust
source-address 192.168.11.0 24
track ip-link link_100
action pbr egress-interface GigabitEthernet1/0/1 next-hop 100.100.100.100
rule name Route_Policy_ISP2
source-zone trust
source-address 192.168.12.0 24
track ip-link link_200
action pbr egress-interface GigabitEthernet1/0/2 next-hop 200.200.200.200
//NAT 配置

nat address-group isp1 0
mode pat
section 0 100.100.100.1 100.100.100.2
nat address-group isp2 1
mode pat
section 0 200.200.200.1 200.200.200.2
nat-policy
rule name NAT_ISP1
批注 [X37]: 内外通过外网 IP 访问 WEB 服务器
批注 [X38]: 监控 100.100.100.100 是否可达，如果不可达
那么这条规则就不会生效。
批注 [X39]: 这里建议要指定出接口，因为如果是 ISP1 的
线路故障，有可能防火墙能通过 ISP2 的线路探测到
100.100.100.100 的存在。
批注 [X40]: VLAN11 的用户从 ISP1 访问外网，VLAN12
的用户从 ISP2 访问外网。
批注 [X41]: NAT 转换地址池，如果企业内部访问终端较
多，这里就需要多个出口 IP，否则会因端口不够用导致
网络不能正常访问。
source-zone trust
destination-zone ISP1
action nat address-group isp1
rule name NAT_ISP2
source-zone trust
destination-zone ISP2
action nat address-group isp2
ip route-static 0.0.0.0 0.0.0.0 100.100.100.100 preference 50 track ip-link link_100
ip route-static 0.0.0.0 0.0.0.0 200.200.200.200
SW_B：（配置与 FW_A 类似，除了接口 IP，路由相关配置，其它配置会通过 HRP 自动从 FW_A 同
步过来）
至此，公司总部内部网络就可以正常访问互联网了。如图所示：

VLAN11 的用户通过 ISP1 访问出去，VLAN12 的用户通过 ISP2 访问出去。如图所示：

Step4：配置总公司与分公司的 IPSec-VPN 互联
总公司 IPSec-VPN 配置
FW_A：
//定义感兴趣流量
acl number 3000
rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 10.11.5.0 0.0.255.255
acl number 3001
rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 10.11.5.0 0.0.255.255
//配置加密算法
ipsec proposal Center
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
//创建 IKE 安全提议
ike proposal 1
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
//配置 IKE 对等体
ike peer IKE_100
pre-shared-key Huawei
ike-proposal 1
local-id-type fqdn
local-id C100
ike peer IKE_200
pre-shared-key Huawei
ike-proposal 1
local-id-type fqdn
local-id C200
//配置策略模版
ipsec policy-template TPL100 100
security acl 3000
ike-peer IKE_100
proposal Center
alias IPSec_100
scenario point-to-multi-point
ipsec policy-template TPL200 200
security acl 3001
ike-peer IKE_200
proposal Center
alias IPSec_200
scenario point-to-multi-point
//配置关联
ipsec policy IPSec-100 100 isakmp template TPL100
ipsec policy IPSec-200 200 isakmp template TPL200
批注 [X42]: 模版方式才能使用点到多点
//应用接口
interface GigabitEthernet1/0/1
ipsec policy IPSec-100 master
interface GigabitEthernet1/0/2
ipsec policy IPSec-200 slave
---------------------------需要开启防火墙的策略----------------------------------
security-policy
rule name ISP_Local
description IPSec
source-zone ISP1
source-zone ISP2
destination-zone local
destination-address 100.100.100.3 32
destination-address 200.200.200.3 32
action permit
rule name ISP_Trust
description VPN
source-zone ISP1
source-zone ISP2
destination-zone trust
source-address 10.11.0.0 16
destination-address 192.168.0.0 16
action permit
nat-policy
rule name NOT_NAT_ISP1
source-zone trust
destination-zone ISP1
source-address 192.168.11.0 24
source-address 192.168.12.0 24
destination-address 10.11.1.0 24
action no-nat
rule name NOT_NAT_ISP2
source-zone trust
destination-zone ISP2
source-address 192.168.11.0 24
source-address 192.168.12.0 24
destination-address 10.11.1.0 24
action no-nat
分支机构 IPSec-VPN 配置
FW_Branch：
acl number 3000
rule 5 permit ip source 10.11.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
acl number 3001
rule 5 permit ip source 10.11.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
ipsec proposal PPS_Br
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
ike proposal 1
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
ike peer IKE_100
pre-shared-key Huawei
ike-proposal 1
local-id-type fqdn
local-id Br150
remote-address 100.100.100.3
ike peer IKE_200
pre-shared-key Huawei
ike-proposal 1
local-id-type fqdn
local-id Br150
remote-address 200.200.200.3
ipsec policy IPSec_100 10 isakmp
security acl 3000
ike-peer IKE_100
proposal PPS_Br
ipsec policy IPSec_200 10 isakmp
security acl 3001
ike-peer IKE_200
proposal PPS_Br
//配置 Tunnel 接口
interface tunnel 1
ip address unnumbered interface GigabitEthernet1/0/1
tunnel-protocol ipsec
ipsec policy IPSec_100
interface tunnel 2
ip address unnumbered interface GigabitEthernet1/0/1
tunnel-protocol ipsec
ipsec policy IPSec_200
//配置负载分担和浮动路由
ip-link check enable
ip-link name link_100
destination 100.100.100.3 interface gigabitethernet 1/0/1
ip-link name link_200
destination 200.200.200.3 interface gigabitethernet 1/0/1
ip route-static 192.168.11.0 255.255.255.0 Tunnel 1 preference 10 track ip-link link_100
ip route-static 192.168.11.0 255.255.255.0 Tunnel 2 preference 20
ip route-static 192.168.12.0 255.255.255.0 Tunnel 2 preference 10 track ip-link link_200
ip route-static 192.168.12.0 255.255.255.0 Tunnel 1 preference 20
ip route-static 0.0.0.0 0.0.0.0 150.150.150.1
批注 [X43]: 由于一个物理接口上只能有一个关联，因此
这里需要用 Tunnel 接口来分别与两条链路建立 VPN 链路
批注 [X44]: 当 ISP1 出现故障，那么我们让访问
192.168.11.0/24 网段的路由自动走 Tunnel2 接口，否则
默认走 Tunnel1 接口，以达到负载分担和冗余的效果。
firewall zone untrust
add interface GigabitEthernet1/0/1
add interface Tunnel1
add interface Tunnel2
================需要配置的策略================
security-policy
rule name Trust_Untrust
source-zone trust
destination-zone untrust
action permit
rule name Local_Untrust
description IPSEC UPD500
source-zone local
destination-zone untrust
destination-address 100.100.100.3 32
destination-address 200.200.200.3 32
action permit
rule name Untrust_Local
description IPSec_esp
source-zone untrust
destination-zone local
source-address 100.100.100.3 32
source-address 200.200.200.3 32
action permit
rule name Untrust_Trust
description VPN
source-zone untrust
destination-zone trust
source-address 192.168.0.0 16
destination-address 10.11.1.0 24
action permit
nat-policy
rule name NOT_NAT
source-zone trust
destination-zone untrust
source-address 10.11.1.0 24
destination-address 192.168.11.0 24
destination-address 192.168.12.0 24
action no-nat
Step5：查看配置效果
查看分支机构网关上的 SA 状态：

查看总分 FW_A 的 SA 状态：

查看总部 FW_B 的 SA 状态：

用分支机构的 PC 去访问总部的内网：

查看分支与总部的路由表：

如果能正确看到这些结果，说明你的配置没有问题。同时也说明你已经掌握企业网所需要的关键网络
技术。
注：文档里我并没有把全部配置贴出来，但关键配置我基本已经全部贴出来了。其它的就自己举一反

声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。