华为SRG1220大型企业出口网关举例（华为SRG1220大型企业出口网关举例）

共勉学习:

SRG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，还可以避免P2P流量阻塞网络，并保护内网不受网络攻击。

某学校网络通过SRG连接到Internet，校内组网情况如下：

• 学校有校内用户约500个、提供对外访问的服务器2台。校内用户主要分布在教学楼和宿舍区，校内2台提供对外访问的服务器分布在图书馆，是该校主页、招生及资源共享等网站。
• 学校分别通过两个不同运营商链路连接到Internet，带宽都是100M。两个运营商ISP1、ISP2分别为该校分配了5个IP地址。ISP1分配的IP地址是200.1.1.1～200.1.1.5，ISP2分配的IP地址是202.1.1.1～202.1.1.5。ISP1提供的接入点为200.1.1.10，ISP2提供的接入点为202.1.1.10。

该学校网络需要实现以下需求：

• 校内用户能够通过两个运营商访问Internet，且为了提高访问速度，需要去往不同运营商的流量由分别连接两个运营商的对应接口转发。
• 当一条链路出现故障时，能够保证流量及时切换到另一条链路，避免网络长时间中断。
• 校内用户和校外用户都能够访问学校提供对外访问的服务器。
• 由于该学校P2P流量较大，对网络影响严重，需要对校内用户进行P2P限流。
• 需要保护内部网络不受到SYN Flood、UDP Flood和ICMP Flood攻击。

根据校园网络情况和需求，网络规划如下：

• 为了实现校园网用户使用有限公网IP地址接入Internet，需要配置NAPT方式的NAT，借助端口将多个私网IP地址转换为有限的公网IP地址。由于校园网连接两个运营商，因此需要分别进行地址转换，将私网地址转换为公网地址。即创建两个安全区域ISP1和ISP2（安全优先级低于DMZ区域），并分别在Trust—ISP1域间、Trust—ISP2域间配置NAT outbound。
• 为了实现去往不同运营商的流量由对应接口转发，需要收集ISP1和ISP2所属网段的信息，并配置到这些网段的静态路由。使去往ISP1的流量通过连接ISP1的接口转发，去往ISP2的流量通过连接ISP2的接口转发。为了提高链路可靠性，避免业务中断，需要配置两条缺省路由。当报文无法匹配静态路由时，通过缺省路由发送给下一跳。
• 由于图书馆的服务器部署在内网，其IP地址为私网IP地址。如果想对校外用户提供服务，就需要将服务器的私网IP地址转换为公网IP地址。即分别基于ISP1、ISP2区域配置NAT Server。
• 由于运营商提供给该学校的带宽为2*100M，为了保证其他业务不受影响，将P2P流量限制在30M。
• 在SRG上启用攻击防范功能，保护校园网内部网络。
• 网络拓扑如下:

接口说明:

配置分享:

# nat address-group 1 200.1.1.2 200.1.1.3 nat address-group 2 202.1.1.2 202.1.1.3 nat server 0 zone isp1 global 200.1.1.4 inside 192.168.1.5 nat server 1 zone isp1 global 200.1.1.5 inside 192.168.1.10 nat server 2 zone isp2 global 202.1.1.4 inside 192.168.1.5 nat server 3 zone isp2 global 202.1.1.5 inside 192.168.1.10 # firewall defend icmp-flood enable firewall defend udp-flood enable firewall defend syn-flood enable firewall defend icmp-flood base-session max-rate 5 # dpi enable # traffic classifier P2P if-match any # traffic behavior CAR car cir 30000000 cbs 30000000 ebs 0 # qos policy P2P_CAR classifier P2P behavior CAR # interface GigabitEthernet0/0/0 ip address 10.1.1.1 255.255.0.0 # interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 200.1.1.1 255.255.255.0 # interface GigabitEthernet5/0/0 ip address 202.1.1.1 255.255.255.0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 # firewall zone untrust set priority 5 # firewall zone dmz set priority 50 add interface GigabitEthernet0/0/1 # firewall zone name isp1 set priority 15 add interface GigabitEthernet0/0/2 # firewall zone name isp2 set priority 20 add interface GigabitEthernet5/0/0 # firewall interzone trust dmz detect ftp # firewall interzone trust isp1 detect ftp detect qq detect msn # firewall interzone trust isp2 detect ftp detect qq detect msn # firewall interzone dmz isp1 detect ftp # firewall interzone dmz isp2 detect ftp # ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 200.1.1.10 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet5/0/0 202.1.1.10 preference 200 ip route-static 200.1.2.0 255.255.255.0 GigabitEthernet0/0/2 200.1.1.10 ip route-static 200.2.2.1 255.255.255.0 GigabitEthernet0/0/2 200.1.1.10 ip route-static 202.1.2.0 255.255.255.0 GigabitEthernet5/0/0 202.1.1.10 ip route-static 202.2.3.4 255.255.255.0 GigabitEthernet5/0/0 202.1.1.10 # dpi app-set Network_Control category p2p # dpi rule 1 if-match app-set Network_Control apply policy P2P_CAR # policy interzone trust dmz outbound policy 1 action permit policy source 10.1.0.0 0.0.255.255 policy destination 192.168.1.5 0 policy destination 192.168.1.10 0 # policy interzone trust isp1 outbound policy 1 action permit policy source 10.1.0.0 0.0.255.255 # policy interzone trust isp2 outbound policy 1 action permit policy source 10.1.0.0 0.0.255.255 # policy interzone dmz isp1 inbound policy 1 action permit policy destination 192.168.1.5 0 policy destination 192.168.1.10 0 # policy interzone dmz isp2 inbound policy 1 action permit policy destination 192.168.1.5 0 policy destination 192.168.1.10 0 # nat-policy interzone trust isp1 outbound policy 1 action source-nat policy source 10.1.0.0 0.0.255.255 address-group 1 # nat-policy interzone trust isp2 outbound policy 1 action source-nat policy source 10.1.0.0 0.0.255.255 address-group 2 # return