核心思路:
通过策略路由+静态路由+链路负载均衡结合,确保流量按原路径(即从哪个专线接入就从该专线回出),同时利用BFD快速检测链路故障实现备份。
关键配置步骤:
1. 接口与路由基础配置
为防火墙两个外网口分别配置电信/联通专线IP(如GigabitEthernet1/0/1为电信,GigabitEthernet1/0/2为联通)。
配置内网口(如GigabitEthernet0/0/1)及内网网段路由。
2. 原进原出策略路由
[H3C] policy-based-route 1 permit node 10
[H3C-pbr-10] if-match interface GigabitEthernet1/0/1 // 匹配电信外网口入流量
[H3C-pbr-10] apply ip-address next-hop 电信网关IP // 回出仍走电信网关
[H3C] policy-based-route 2 permit node 20
[H3C-pbr-20] if-match interface GigabitEthernet1/0/2 // 匹配联通外网口入流量
[H3C-pbr-20] apply ip-address next-hop 联通网关IP // 回出仍走联通网关
3. 链路负载均衡与备份
配置静态路由指向两条专线(主备),并通过preference设置优先级(主链路优先级高,如电信优先级100,联通优先级101)。
启用BFD检测链路故障,配置BFD会话联动静态路由,实现毫秒级故障切换。
4. NAT与ACL优化
若内网需公网访问,配置源NAT(nat outbound),避免双链路NAT冲突。
限制特定业务流量走特定链路(如关键业务强制走主链路),通过apply interface或apply ip-address实现细粒度控制。
验证命令:
display policy-based-route configuration 检查策略路由配置
display ip routing-table 确认路由表主备状态
display bfd session 验证BFD会话状态
注意事项:
确保两条专线网关IP与防火墙路由可达,避免路由黑洞。
若需严格区分流量,可结合QoS配置带宽分配,避免单链路过载。
通过以上配置,即可实现“原进原出”
一、 为什么不建议使用二层 ACL?
- 性能开销极大:二层 ACL 需要匹配每一个数据帧的源/目的 MAC,会大量消耗交换机的 TCAM 表项和 CPU 资源。
- 维护极其困难:同楼层的终端设备(手机、电脑等)MAC 地址是动态变化的,您无法在 ACL 中写死所有合法的 MAC。如果要实现“同楼层互访、跨楼层隔离”,二层 ACL 的逻辑会变得极其复杂且容易出错。
二、 最佳实践方案:基于 VLAN 划分 + 三层 ACL(推荐)
- 划分 VLAN:在核心和接入交换机上创建 4 个 VLAN,并将各楼层的接入端口划入对应 VLAN。
- 配置网关:在 S7006X 上配置 4 个 Vlan-interface 的 IP 地址作为网关。
- 开启 DHCP:在 S7006X 上为这 4 个网段分别配置 DHCP 地址池。
- 下发三层 ACL:在核心交换机的各个 Vlan-interface 下,通过
packet-filter调用三层 ACL 进行流量控制。
以 VLAN 10 为例,允许访问本网段,拒绝访问其他楼层网段,允许访问外网:
acl number 3001
rule 0 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 15 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
rule 20 permit ip source 192.168.10.0 0.0.0.255
interface Vlan-interface 10
packet-filter 3001 inbound三、 关于您提到的“端口隔离”的误区澄清
- 端口隔离(Port Isolation) 是一种二层隔离技术。它的作用是让加入同一个隔离组的端口之间互相不能通信(通常用于酒店客房、宿舍等场景,防止同VLAN内的终端互访)。
- 您的需求是“同楼层内可以互访”,因此,端口隔离本身就不符合您的业务需求。
- 此外,端口隔离通常是在接入层交换机(S5120V3) 上配置的,而不是在核心交换机上。如果未来您的需求变更为“同楼层内终端也必须互相隔离”,您可以在 S5120V3 的下联端口上开启端口隔离组,并将上联核心交换机的 Trunk 口设置为隔离组的“上行端口(Uplink)”,这样终端既能访问核心网关,又无法互访。
四、 其他替代方案(补充了解)
- 私有VLAN(PVLAN):华三交换机支持 PVLAN 功能。可以将一个主VLAN和多个从VLAN(隔离VLAN/团体VLAN)结合,实现同主VLAN下不同从VLAN的终端隔离,但只能与主VLAN的网关通信。不过 PVLAN 配置相对复杂,且对跨设备 IRF 环境有一定兼容性要求。
- MSTP 链路分流:利用多生成树协议(MSTP),按楼层划分不同的 MSTP 实例(Instance),让不同楼层的数据流走不同的物理链路,但这主要解决的是环路和带宽利用问题,并不能直接实现安全隔离。
暂无评论
H3C 防火墙双线(电信主、联通备)原进原出完整解决方案
一、先明确 2 个核心关键点
1. 原进原出原理(解决你最关心的跨网不对称丢包 / 卡顿)
多出口场景下,NAT 会话绑定出接口,内网流量从哪个 WAN 口出去,回程报文强制从同一接口回来,避免电信流量走联通回程导致丢包、延迟高、业务断连。
华三防火墙自带两种原进原出机制:
全局 NAT 原进原出(推荐,最简单)
链路负载 LLB 会话保持(高端设备)
策略路由 + 源接口 NAT 兜底方案
2. 你的组网需求匹配
两条专线:电信(主链路,日常跑全部业务)、联通(仅做故障冗余,平时 0 流量,节省专线成本)
两台边界防火墙做双机热备 RBM,会话同步;
链路故障自动切换到备用联通专线,主链路恢复自动切回电信;
全程保证原进原出,无跨运营商回程异常。
二、方案选型推荐(按适配度排序)
方案 1:静态路由主备 + 全局 NAT 原进原出(最优,适配你的一主一备需求)
核心优势
正常状态所有流量只走电信,联通专线无流量,完全满足你 “备用专线只冗余、不跑业务省费用”;
电信链路故障自动切联通,电信恢复自动切回;
全局开启nat outbound same-interface,一键实现原进原出,无需复杂策略路由;
配合 NQA/Track 链路健康检测,精准识别线路中断。
完整配置步骤
1)接口 & 安全域基础
plaintext
# 内网接口(trust域)
interface GigabitEthernet 1/0/0
port link-mode route
ip address 10.0.0.1 255.255.255.0
zone trust
# 电信主出口(untrust1)
interface GigabitEthernet 1/0/1
port link-mode route
ip address 202.xx.xx.2 255.255.255.0
zone untrust
# 联通备用出口(untrust2)
interface GigabitEthernet 1/0/2
port link-mode route
ip address 211.xx.xx.2 255.255.255.0
zone untrust
2)全局开启原进原出(核心命令)
plaintext
nat outbound same-interface
# 作用:流量从G1/0/1电信出去,回程强制走G1/0/1;切联通后回程走G1/0/2,完美原进原出
3)NQA 链路健康检测(监控两条专线网关)
plaintext
# 电信线路探测
nqa entry admin telecom
type icmp-echo
destination ip 202.xx.xx.1 # 电信网关
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
start now
track nqa admin telecom
# 联通线路探测
nqa entry admin unicom
type icmp-echo
destination ip 211.xx.xx.1 # 联通网关
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
start now
track nqa admin unicom
4)主备默认路由(核心:电信优先,联通仅故障兜底)
plaintext
# 电信主路由,优先级60(数值越小越优先),绑定track检测线路状态
ip route-static 0.0.0.0 0 202.xx.xx.1 track nqa admin telecom preference 60
# 联通备用路由,优先级70,仅电信故障才生效
ip route-static 0.0.0.0 0 211.xx.xx.1 track nqa admin unicom preference 70
5)多出口 NAT 配置(自动匹配出接口公网地址)
plaintext
# 电信接口NAT
interface GigabitEthernet 1/0/1
nat outbound
# 联通接口NAT
interface GigabitEthernet 1/0/2
nat outbound
6)双机 RBM 会话同步(两台防火墙配置)
plaintext
# 主备模式,开启会话表同步,切换业务不中断
hrp enable
hrp interface GigabitEthernet 1/0/3 remote 10.0.1.2 # 心跳口
hrp session sync enable
工作逻辑
电信链路正常:仅优先级 60 电信路由生效,全部业务走电信,联通专线 0 流量;
电信网关探测失败:电信路由失效,自动启用联通备用路由,流量切联通;
电信线路恢复:路由自动切回电信,联通再次闲置;
nat outbound same-interface全程保证原进原出,不会出现跨运营商回程丢包。
方案 2:链路负载均衡 LLB(仅适合两条链路都要跑流量,不推荐你场景)
如果后续需要两条链路同时负载再用,当前需求一主一备没必要,缺点是备用联通常年跑流量,增加专线费用。
原理:链路组设置电信高权重、联通 0 权重,正常不分配流量;故障自动切换联通;
同样自带会话保持,原进原出;
劣势:配置复杂,且链路状态波动时可能少量流量溢出到备用联通。
方案 3:策略路由 PBR(兜底方案,不推荐首选)
通过 ACL 匹配内网,策略路由强制优先电信下一跳,track 故障后切换联通;
缺点:需要手动维护 ACL、多条策略节点,维护量大,不如静态主备简洁。
三、关键配套:域间安全策略(双向放行)
plaintext
# 内网访问外网通用策略
security-policy
rule 10 permit source zone trust destination zone untrust
rule 20 permit source zone untrust destination zone trust # 回程原进原出报文放行
四、常见踩坑点(原进原出失效场景)
未配置nat outbound same-interface
流量电信出、联通回,跨运营商延迟高、大量丢包,是双线最常见故障;
两条出口只配一条 NAT outbound
切换备用链路后无法做地址转换,业务断网;
无 NQA/Track 健康检测
仅接口 down 才切换,网关断、光纤通的场景无法自动切换;
双机热备未开启会话同步
主防火墙故障切换,现有 TCP 会话全部断开,业务重连;
联通备用路由未绑定 track
电信故障后,联通路由无法自动生效。
五、极简总结
最优方案:静态主备路由 + nat outbound same-interface 全局原进原出,完美匹配你 “电信主跑业务、联通仅冗余闲置” 的需求;
nat outbound same-interface是实现原进原出核心命令,流量从哪个出口出去,回程固定同接口返回;
NQA+Track 监控专线网关,链路故障自动切换,主链路恢复自动切回;
双机 RBM 开启会话同步,设备切换无业务中断;
此方案联通专线平时无任何业务流量,仅故障时启用,最大程度节省专线年费。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论