1,创建端口聚合,为保证端口冗余。使用LACP。并将相关端口划入聚合组内。规划agg1为局域网(连接客户),agg2为广域网(连接多个带宽)。
配置,接口aggregate1
,lacp使
界面aggregate2
,lacp使
界面xethernet4/0
,总aggregate1
界面xethernet4/1
,总aggregate1
界面xethernet4/2
,总aggregate2
界面xethernet4/3
,总aggregate2
2,创建管理端口,并将管理端口加入trusst带允许萍http telnet ssh snmp,为保险,创建两个管理口,做为互备使用。
界面aggregate1.100
,区,“信任”
,ip地址103.246.132.64 255.255.255.0
,管理ping
,管理http
,管理https
,管理telnet
,管理ssh
,管理snmp接口aggregate2.120
,区,“信任”
,ip地址124.113.229.158 255.255.255.252
,管理ping
,管理http
,管理https
,管理telnet
,管理ssh
,snmp管理
,没有reverse-route,关闭逆向路由,数据过来后不会查本地路由表,直接从2.120返回
,,,,,,,,,,,
界面aggregate1.110
,区,“信任”
,ip地址10.10.110.2 255.255.255.252
,描述“jsyd”
,管理ping
,管理telnet
界面aggregate2.121
,区,“untrust”
,ip地址10.10.121.1 255.255.255.252
,描述“ahdx1”
,管理telnet
,管理ping
,reverse-route喜欢
退出界面aggregate2.122
,区,“untrust”
,ip地址10.10.122.1 255.255.255.252
,描述“ahdx2”
,退出管理ping
界面aggregate2.123
,区,“untrust”
,ip地址10.10.123.1 255.255.255.252
,描述“wzdx1”
,管理ping
,退出管理telnet
界面aggregate2.124
,区,“untrust”
,ip地址10.10.124.1 255.255.255.252
,描述“shjh-1”
,管理ping
地址,jsyd
,ip 1.51.32.0/20
,ip 1.51.48.0/21
,ip 21.228.228.0/22
,ip 43.254.84.0/22
,ip 58.68.228.16/29
地址ahdx1
,ip 124.113.229.104/30地址ahdx2
,ip 124.113.229.152/30地址wzdx1
,ip 122.228.229.120/30地址shjh2
,ip 117.21.164.128/30
各资源用来做NAT的地址段。
5,创建安全规则,确保信任可以访问utrust
规定,1
,操作允许
,src-zone信任
,dst-zone untrust
,src-addr jsyd
,dst-addr任何
,服务的任何
,名称1
允许信任区访问utrust区
规则,2
,操作允许
,src-zone untrust
,dst-zone信任
,src-addr任何
,dst-addr任何
,服务的任何
,名称2
允许utrust访问信任区域。
6,添加客户的回程路由。
ip vrouter trust-vr
ip路由1.51.32.0/20 aggregate1.110 10.10.110.1描述jsyd - 1104
,ip路由1.51.48.0/21 aggregate1.110 10.10.110.1描述jsyd - 1104
,ip路由21.228.228.0/22 aggregate1.110 10.10.110.1描述jsyd - 1104
,ip路由43.254.84.0/22 aggregate1.110 10.10.110.1描述jsyd - 1104
,ip路由58.68.228.16/29 aggregate1.110 10.10.110.1描述jsyd - 1104
7日创建到不同出口的默认路由,由于设备是先匹配NAT规则后再进行路由,所以可以同时将所有出口都加成默认路由。
ip vrouter trust-vr
, ip路由0.0.0.0/0 aggregate2.120 124.113.229.157
,ip路由0.0.0.0/0 aggregate2.121 10.10.121.2描述ahyd1-1G
,ip路由0.0.0.0/0 aggregate2.122 10.10.122.2描述ahyd2-1G
,ip路由0.0.0.0/0 aggregate2.123 10.10.123.2描述wzdx-2G
,ip路由0.0.0.0/0 aggregate2.124 10.10.124.2描述shjh2-1G
,ip路由0.0.0.0/0 aggregate2.125 10.10.125.2描述shjh3 - 0.75 g
8日创建NAT规则。
ip vrouter trust-vr
,从jsyd snatrule id 1任何eif aggregate2.121互反地址簿ahdx1模式dynamicport粘log
,snatrule id 2 jsyd任何eif aggregate2.122互反地址簿ahdx2模式dynamicport粘性log
,snatrule id 3 jsyd任何eif aggregate2.123互反地址簿wzdx1模式dynamicport粘性log
,null