H3C防火墙双线基础配置及PBR(可不用)的笔记

(一)清除配置
reset save-configuration
reboot 不保存 重启
(二)配置出接口: IP 及NAT
(三)配置内网接口:IP
(四)关于安全区域的操作
(1)定义安全区并加端口, 互联网端口加到untrust 内网端口加到trust
security-zone name untrust---放外网口(默认有Local Trust---放内网口 DMZ)后面名字首字母会自动变成大写
import interface g1/0/2,3,4...
(2)定义域间策略及动作:
object-policy ip trust-untrust
rule 0 pass
...为
Local<->trunst 双向,缺失会导致不通比如PC机获取不到DHCP池中的IP
Local->Untrust 可以ping通外面了
trust->untrust---可以上网出去了
(3)应用域间策略
zone-pair security source ... destination ...
object-policy apply ip (2)定义的名字
...同上已定义rule 0 pass的
(五)双默认路由,不同优先级(网关)
ip route-static 0.0.0.0 0 172.16.11.254 track 1---双线优先级不同的双track默认路由(网关)
ip route-static 0.0.0.0 0 172.16.12.254 track 2 preference 80

此时ping联通电信网关都通,拨电信也都通说明通是从联通绕过去的,同理拨联通后的2个网关也都通
pathping www.baidu.com查看走的是联通还是电信
双插走联通(优先级高首选)
拨联通:电信路由生效走电信12
拨电信:走联通11

实验(二)
强行从默认的11走通过PBR改走12电信,见配置注释的配置部分
过程:
#------------------------------PBR的使用有三步
acl number 3000-------------(1)定义ACL 被定义PBR时引用,匹配哪些机器走哪个下一跳,不在此配置,则默认走优先级低的网关
description match PBR's IP
rule 10 permit ip source 192.168.1.0 0.0.0.255
#
#:
policy-based-route toDianXin permit node 10---(2)定义PBR:哪些机器(ACL)从哪走
if-match acl 3000
apply next-hop 172.16.12.254
#
#
interface GigabitEthernet1/0/6---(3)应用ACL定义和PBR定义,在防火墙或路由器的内网接口分流,如果多VLAN更好,可配置哪些VLAN走联通,哪些VLAN走电信,此只是单网段实验而已
port link-mode route
description toLan and apply PBR
ip address 192.168.1.1 255.255.255.0
ip policy-based-route toDianXin
#