Web举例：双机作为出口网关，连接两个ISP的负载分担组网

2026年 3月 11日网络安全 SE_YT

Web举例：双机作为出口网关，连接两个ISP的负载分担组网

介绍了多ISP接入，且业务接口工作在三层，上下行连接交换机的双机热备负载分担组网的Web举例。

组网需求

如图1所示，两台FW的业务接口都工作在三层，上下行分别连接二层交换机。

上行的两台交换机分别连接到不同的运营商，其中ISP1分配给企业的IP地址为1.1.1.1、1.1.1.2、1.1.1.3，ISP2分配给企业的IP地址为2.2.2.1、2.2.2.2、2.2.2.3。

现在希望两台FW以负载分担方式工作，部门A的用户（10.3.0.51～10.3.0.100）的流量去往ISP1，部门B（10.3.0.101～10.3.0.150）的流量去往ISP2。正常情况下，FW_A和FW_B共同转发流量。当其中一台FW出现故障时，另外一台FW转发全部业务，保证业务不中断。

图1 业务接口工作在三层，上下行连接交换机的负载分担组网
Web举例：双机作为出口网关，连接两个ISP的负载分担组网

操作步骤

配置接口，完成网络基本配置。
1. 在FW_A上配置接口。
  
  isp1和isp2为已经创建好的安全区域。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/1，按如下参数配置，单击“确定”。
    
    安全区域 isp1
    
    IPv4
    
    IP地址 1.1.1.1/24
  3. 参考上述步骤按如下参数配置GE1/0/2接口。
    
    安全区域 isp2
    
    IPv4
    
    IP地址 2.2.2.1/24
  4. 参考上述步骤按如下参数配置GE1/0/3接口。
    
    安全区域 trust
    
    IPv4
    
    IP地址 10.3.0.1/24
  5. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域 dmz
    
    IPv4
    
    IP地址 10.10.0.1/24
2. 在FW_B上配置接口。
  1. 选择“网络 > 接口”。
  2. 单击GE1/0/1，按如下参数配置，单击“确定”。
    
    安全区域 isp1
    
    IPv4
    
    IP地址 1.1.1.2/24
  3. 参考上述步骤按如下参数配置GE1/0/2接口。
    
    安全区域 isp2
    
    IPv4
    
    IP地址 2.2.2.2/24
  4. 参考上述步骤按如下参数配置GE1/0/3接口。
    
    安全区域 trust
    
    IPv4
    
    IP地址 10.3.0.2/24
  5. 参考上述步骤按如下参数配置GE1/0/7接口。
    
    安全区域 dmz
    
    IPv4
    
    IP地址 10.10.0.2/24
配置路由功能，保证路由可达。
FW_A与FW_B的路由配置相同。
1. 选择“网络 > 路由 > 智能选路”。
2. 选择“智能选路策略”页签，在“策略路由列表”中单击“新建”，按如下参数配置策略路由，单击“确定”。
  
  名称 route_policy_isp1
  
  类型源安全区域
  
  源安全区域 trust
  
  源地址 10.3.0.51-10.3.0.100
  
  动作转发
  
  出接口类型单出口
  
  下一跳 1.1.1.254
3. 参考上述步骤，配置到ISP2的策略路由。
  
  名称 route_policy_isp2
  
  类型源安全区域
  
  源安全区域 trust
  
  源地址 10.3.0.101-10.3.0.150
  
  动作转发
  
  出接口类型单出口
  
  下一跳 2.2.2.254
配置双机热备功能。
1. 在FW_A上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 选中“启用”前的复选框后，按如下参数配置，单击“确定”。
2. 在FW_B上配置双机热备功能。
  1. 选择“系统 > 高可靠性 > 双机热备”，单击“配置”。
  2. 选中“启用”前的复选框后，按如下参数配置，单击“确定”。
在内网的设备上配置缺省路由，将部门A用户的下一跳设置为VRRP备份组3的虚拟IP地址10.3.0.3，部门B用户的下一跳设置为VRRP备份组4的虚拟IP地址10.3.0.4。
配置安全策略。
在FW_A上配置的安全策略会自动备份到FW_B上。
1. 选择“策略 > 安全策略 > 安全策略”。
2. 单击“新建安全策略”，按照如下参数配置安全策略，单击“确定”。
  
  名称 policy_sec
  
  源安全区域 trust
  
  目的安全区域 isp1,isp2
  
  动作允许

安全区域	isp1
IPv4
IP地址	1.1.1.1/24

安全区域	isp2
IPv4
IP地址	2.2.2.1/24

安全区域	trust
IPv4
IP地址	10.3.0.1/24

安全区域	dmz
IPv4
IP地址	10.10.0.1/24

安全区域	isp1
IPv4
IP地址	1.1.1.2/24

安全区域	isp2
IPv4
IP地址	2.2.2.2/24

安全区域	trust
IPv4
IP地址	10.3.0.2/24

安全区域	dmz
IPv4
IP地址	10.10.0.2/24

名称	route_policy_isp1
类型	源安全区域
源安全区域	trust
源地址	10.3.0.51-10.3.0.100
动作	转发
出接口类型	单出口
下一跳	1.1.1.254

名称	route_policy_isp2
类型	源安全区域
源安全区域	trust
源地址	10.3.0.101-10.3.0.150
动作	转发
出接口类型	单出口
下一跳	2.2.2.254

名称	policy_sec
源安全区域	trust
目的安全区域	isp1,isp2
动作	允许

配置NAT策略，使内网用户通过转换后的公网IP地址访问Internet。

在FW_A上配置的NAT策略会自动备份到FW_B上。

选择“策略 > NAT策略 > NAT策略”。
选择“源转换地址池”页签，单击“新建”，按照如下参数配置NAT地址池1，单击“确定”。

名称 1

IP地址范围 1.1.1.3-1.1.1.3
参考上述步骤按如下参数配置NAT地址池2。

名称 2

IP地址范围 2.2.2.3-2.2.2.3

名称	1
IP地址范围	1.1.1.3-1.1.1.3

名称	2
IP地址范围	2.2.2.3-2.2.2.3

选择“NAT策略”页签，单击“新建”，按照如下参数配置trust与isp1间的NAT策略，单击“确定”。

原始数据包
名称	policy_nat_1
NAT类型	NAT
转换模式	仅转换源地址
源安全区域	trust
目的安全区域	isp1
转换后的数据包
源地址	地址池中的地址
源转换地址池	1

参考上述步骤按如下参数配置trust与isp2间的NAT策略。

原始数据包
名称	policy_nat_2
NAT类型	NAT
转换模式	仅转换源地址
源安全区域	trust
目的安全区域	isp2
转换后的数据包
源地址	地址池中的地址
源转换地址池	2

结果验证

选择“系统 > 高可靠性 > 双机热备”，查看双机热备的运行情况。

正常情况下，FW_A的“当前运行模式”为“负载分担”，“当前运行角色”为“主用”；FW_B的“当前运行模式”为“负载分担”，“当前运行角色”为“备用”。这说明流量通过两台FW共同转发。
当FW_A出现故障时，FW_A的“当前运行模式”为“主备备份”，“当前运行角色”为“备用”；FW_B的“当前运行模式”为“主备备份”，“当前运行角色”为“主用”。这说明流量通过FW_B转发。

配置脚本

FW_A	FW_B
# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2 hrp mirror session enable # interface GigabitEthernet 1/0/1 ip address 1.1.1.1 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 active # interface GigabitEthernet 1/0/2 ip address 2.2.2.1 255.255.255.0 vrrp vrid 2 virtual-ip 2.2.2.3 standby # interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 active vrrp vrid 4 virtual-ip 10.3.0.4 standby # interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone isp1 set priority 10 add interface GigabitEthernet 1/0/1 # firewall zone isp2 set priority 15 add interface GigabitEthernet 1/0/2 # nat address-group 1 section 0 1.1.1.3 1.1.1.3 nat address-group 2 section 0 2.2.2.3 2.2.2.3 # security-policy rule name policy_sec source-zone trust destination-zone isp1 destination-zone isp2 action permit # policy-based-route rule name route_policy_isp1 source-zone trust source-address range 10.3.0.51 10.3.0.100 action pbr next-hop 1.1.1.254 rule name route_policy_isp2 source-zone trust source-address range 10.3.0.101 10.3.0.150 action pbr next-hop 2.2.2.254 # nat-policy rule name policy_nat_1 source-zone trust destination-zone isp1 action source-nat address-group 1 rule name policy_nat_2 source-zone trust destination-zone isp2 action source-nat address-group 2	# hrp enable hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1 hrp mirror session enable # interface GigabitEthernet 1/0/1 ip address 1.1.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 standby # interface GigabitEthernet 1/0/2 ip address 2.2.2.2 255.255.255.0 vrrp vrid 2 virtual-ip 2.2.2.3 active # interface GigabitEthernet 1/0/3 ip address 10.3.0.2 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 standby vrrp vrid 4 virtual-ip 10.3.0.4 active # interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7 # firewall zone isp1 set priority 10 add interface GigabitEthernet 1/0/1 # firewall zone isp2 set priority 15 add interface GigabitEthernet 1/0/2 # nat address-group 1 section 0 1.1.1.3 1.1.1.3 nat address-group 2 section 0 2.2.2.3 2.2.2.3 # security-policy rule name policy_sec source-zone trust destination-zone isp1 destination-zone isp2 action permit # policy-based-route rule name route_policy_isp1 source-zone trust source-address range 10.3.0.51 10.3.0.100 action pbr next-hop 1.1.1.254 rule name route_policy_isp2 source-zone trust source-address range 10.3.0.101 10.3.0.150 action pbr next-hop 2.2.2.254 # nat-policy rule name policy_nat_1 source-zone trust destination-zone isp1 action source-nat address-group 1 rule name policy_nat_2 source-zone trust destination-zone isp2 action source-nat address-group 2

FW_A

FW_B

#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
 hrp mirror session enable
#
interface GigabitEthernet 1/0/1
 ip address 1.1.1.1 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.3 active
#
interface GigabitEthernet 1/0/2
 ip address 2.2.2.1 255.255.255.0
 vrrp vrid 2 virtual-ip 2.2.2.3 standby
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.1 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.0.3 active
 vrrp vrid 4 virtual-ip 10.3.0.4 standby
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone dmz  
 set priority 50   
 add interface GigabitEthernet1/0/7
#
firewall zone isp1
 set priority 10   
 add interface GigabitEthernet 1/0/1
#
firewall zone isp2
 set priority 15
 add interface GigabitEthernet 1/0/2
#
 nat address-group 1
 section 0 1.1.1.3 1.1.1.3
 nat address-group 2
 section 0 2.2.2.3 2.2.2.3
#
security-policy  
 rule name policy_sec
  source-zone trust
  destination-zone isp1
  destination-zone isp2
  action permit    
#
policy-based-route
 rule name route_policy_isp1
  source-zone trust
  source-address range 10.3.0.51 10.3.0.100
  action pbr next-hop 1.1.1.254
 rule name route_policy_isp2
  source-zone trust
  source-address range 10.3.0.101 10.3.0.150
  action pbr next-hop 2.2.2.254
#
nat-policy  
 rule name policy_nat_1
  source-zone trust
  destination-zone isp1
  action source-nat address-group 1
 rule name policy_nat_2
  source-zone trust
  destination-zone isp2
  action source-nat address-group 2

#
 hrp enable
 hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
 hrp mirror session enable
#
interface GigabitEthernet 1/0/1
 ip address 1.1.1.2 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.3 standby
#
interface GigabitEthernet 1/0/2
 ip address 2.2.2.2 255.255.255.0
 vrrp vrid 2 virtual-ip 2.2.2.3 active
#
interface GigabitEthernet 1/0/3
 ip address 10.3.0.2 255.255.255.0
 vrrp vrid 3 virtual-ip 10.3.0.3 standby
 vrrp vrid 4 virtual-ip 10.3.0.4 active
#
interface GigabitEthernet 1/0/7
 ip address 10.10.0.2 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 1/0/3
#
firewall zone dmz  
 set priority 50   
 add interface GigabitEthernet1/0/7
#
firewall zone isp1
 set priority 10 
 add interface GigabitEthernet 1/0/1
#
firewall zone isp2
 set priority 15   
 add interface GigabitEthernet 1/0/2
#
 nat address-group 1
 section 0 1.1.1.3 1.1.1.3
 nat address-group 2
 section 0 2.2.2.3 2.2.2.3
#
security-policy  
 rule name policy_sec
  source-zone trust
  destination-zone isp1
  destination-zone isp2
  action permit    
#
policy-based-route
 rule name route_policy_isp1
  source-zone trust
  source-address range 10.3.0.51 10.3.0.100
  action pbr next-hop 1.1.1.254
 rule name route_policy_isp2
  source-zone trust
  source-address range 10.3.0.101 10.3.0.150
  action pbr next-hop 2.2.2.254
#
nat-policy
 rule name policy_nat_1
  source-zone trust
  destination-zone isp1
  action source-nat address-group 1
 rule name policy_nat_2
  source-zone trust
  destination-zone isp2
  action source-nat address-group 2

作者：SE_YT

链接：https://www.cnesa.cn/10887.html

文章版权归作者所有，未经允许请勿转载。