千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

HillStone 做多NAT 使用不同的网络带宽出口

发表于:2024-11-26 作者:千家信息网编辑
千家信息网最后更新 2024年11月26日,1、创建端口聚合,为保证端口冗余。使用LACP。并将相关端口划入聚合组内。规划agg1为LAN(连接客户),agg2为WAN(连接多个带宽)。configinterface aggregate1lac
千家信息网最后更新 2024年11月26日HillStone 做多NAT 使用不同的网络带宽出口

1、创建端口聚合,为保证端口冗余。使用LACP。并将相关端口划入聚合组内。规划agg1为LAN(连接客户),agg2为WAN(连接多个带宽)。

config

interface aggregate1

lacp enable

interface aggregate2

lacp enable


interface xethernet4/0

aggregate aggregate1

interface xethernet4/1

aggregate aggregate1

interface xethernet4/2

aggregate aggregate2

interface xethernet4/3

aggregate aggregate2

2、创建管理端口,并将管理端口加入trusst zone 允许ping http telnet ssh snmp,为保险,创建两个管理口,做为互备使用。

interface aggregate1.100

zone "trust"

ip address 103.246.132.64 255.255.255.0

manage ping

manage http

manage https

manage telnet

manage ssh

manage snmp

interface aggregate2.120

zone "trust"

ip address 124.113.229.158 255.255.255.252

manage ping

manage http

manage https

manage telnet

manage ssh

manage snmp

no reverse-route 关闭逆向路由,数据过来后不会查本地路由表,直接从2.120返回


逆向路由可以理解成设备回包的时候将访问过来的源ip当做目的地址然后查找设备上的路由表决定从哪个接口回包。
关闭逆向路由的意思就是通常理解的数据从哪个接口过来的,回包的时候就从哪个接口回包,没有反向路由查询的过程。


3、创建到客户和互资源的子接口、互联IP。

interface aggregate1.110

zone "trust"

ip address 10.10.110.2 255.255.255.252

description "jsyd"

manage ping

manage telnet

agg 1.110 是到客户的互联,加入到 trust zone


interface aggregate2.121

zone "untrust"

ip address 10.10.121.1 255.255.255.252

description "ahdx1"

manage telnet

manage ping

reverse-route prefer

exit

interface aggregate2.122

zone "untrust"

ip address 10.10.122.1 255.255.255.252

description "ahdx2"

manage ping

exit

interface aggregate2.123

zone "untrust"

ip address 10.10.123.1 255.255.255.252

description "wzdx1"

manage ping

manage telnet

exit

interface aggregate2.124

zone "untrust"

ip address 10.10.124.1 255.255.255.252

description "shjh-1"

manage ping

agg 2.121 2.122 2.123 2.124是分别到不同的出口的互联。加入到 utrust zone。

4、创建客户的地址段表和各带宽NAT地址表。

address jsyd

ip 1.51.32.0/20

ip 1.51.48.0/21

ip 21.228.228.0/22

ip 43.254.84.0/22

ip 58.68.228.16/29

客户的地址段

address ahdx1

ip 124.113.229.104/30

address ahdx2

ip 124.113.229.152/30

address wzdx1

ip 122.228.229.120/30

address shjh2

ip 117.21.164.128/30

各资源用来做NAT的地址段。


5、创建安全规则,确保trust 可以访问 utrust

rule 1

action permit

src-zone trust

dst-zone untrust

src-addr jsyd

dst-addr Any

service Any

name 1

允许 trust zone访问utrust zone

rule 2

action permit

src-zone untrust

dst-zone trust

src-addr Any

dst-addr Any

service Any

name 2

允许 utrust 访问trust zone。


6、添加客户的回程路由。

ip vrouter trust-vr

ip route 1.51.32.0/20 aggregate1.110 10.10.110.1 description jsyd-1104

ip route 1.51.48.0/21 aggregate1.110 10.10.110.1 description jsyd-1104

ip route 21.228.228.0/22 aggregate1.110 10.10.110.1 description jsyd-1104

ip route 43.254.84.0/22 aggregate1.110 10.10.110.1 description jsyd-1104

ip route 58.68.228.16/29 aggregate1.110 10.10.110.1 description jsyd-1104


7、创建到不同出口的默认路由,由于设备是先匹配NAT规则后再进行路由,所以可以同时将所有出口都加成默认路由。


ip vrouter trust-vr

ip route 0.0.0.0/0 aggregate2.120 124.113.229.157

ip route 0.0.0.0/0 aggregate2.121 10.10.121.2 description ahyd1-1G

ip route 0.0.0.0/0 aggregate2.122 10.10.122.2 description ahyd2-1G

ip route 0.0.0.0/0 aggregate2.123 10.10.123.2 description wzdx-2G

ip route 0.0.0.0/0 aggregate2.124 10.10.124.2 description shjh2-1G

ip route 0.0.0.0/0 aggregate2.125 10.10.125.2 description shjh3-0.75G


8、创建NAT规则。

ip vrouter trust-vr

snatrule id 1 from jsyd to any eif aggregate2.121 trans-to address-book ahdx1 mode dynamicport sticky log

snatrule id 2 from jsyd to any eif aggregate2.122 trans-to address-book ahdx2 mode dynamicport sticky log

snatrule id 3 from jsyd to any eif aggregate2.123 trans-to address-book wzdx1 mode dynamicport sticky log

snatrule id 4 from jsyd to any eif aggregate2.124 trans-to address-book shjh2 mode dynamicport sticky log


使用多个出口做NAT时,默认情况数据包会逐个出口轮循,如果 使用dynamicport sticky 会出现各个出口流量不均的情况,因为sticky会将同一个会话保持到一个IP地址上。

很赞哦!
路由 出口 地址 客户 端口 接口 数据 规则 设备 互联 管理 不同 带宽 多个 情况 时候 资源 并将 不均 安全 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 池州合肥web服务器 计算机网络技术专业主要干啥 美国支持哪种手机网络技术 天子星餐饮提示数据库失败 iis 下载服务器 网络安全信息化工作的发展趋势 网络技术的作战条件 安装数据库补丁无法验证密码 微信平台软件开发 施乐560带不带服务器区别 守望先锋进不去服务器是为什么 济南软件开发费用 阳光电源软件开发有前景不 方舟生存进化服务器生存技巧 南平恒新网络技术工程 江苏环保网络技术市场 mc基岩版纯净生存服务器 江苏扬州网络安全你我同行 惠州博源网络技术有限公司 联想服务器日志收集 软件开发费内容 工业产品绿色设计数据库研究报告 实时数据库和 网络服务器显示无法连接数据库 互联网大会科技股涨跌 计算机网络技术对应的就业方向 方舟生存进化开服务器配置 工商银行软件开发笔试题 网络安全合规报告 海南 网络安全和信息化

相关文章

0