1、創(chuàng)建端口聚合，為保證端口冗余。使用LACP。并將相關(guān)端口劃入聚合組內(nèi)。規(guī)劃agg1為L(zhǎng)AN（連接客戶），agg2為WAN（連接多個(gè)帶寬）。

成都創(chuàng)新互聯(lián)公司是專業(yè)的紅古網(wǎng)站建設(shè)公司，紅古接單;提供成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行紅古網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

config  

interface aggregate1

  lacp enable

interface aggregate2

  lacp enable

interface xethernet4/0

  aggregate aggregate1

interface xethernet4/1

  aggregate aggregate1

interface xethernet4/2

  aggregate aggregate2

interface xethernet4/3

  aggregate aggregate2

2、創(chuàng)建管理端口，并將管理端口加入trusst zone 允許ping http telnet ssh snmp，為保險(xiǎn)，創(chuàng)建兩個(gè)管理口，做為互備使用。

interface aggregate1.100

  zone  "trust"

  ip address 103.246.132.64 255.255.255.0

  manage ping

  manage http

  manage https

  manage telnet

  manage ssh

  manage snmp

interface aggregate2.120

  zone  "trust"

  ip address 124.113.229.158 255.255.255.252

  manage ping

  manage http

  manage https

  manage telnet

  manage ssh

  manage snmp

  no reverse-route  關(guān)閉逆向路由，數(shù)據(jù)過(guò)來(lái)后不會(huì)查本地路由表，直接從2.120返回

            

逆向路由可以理解成設(shè)備回包的時(shí)候?qū)⒃L問(wèn)過(guò)來(lái)的源ip當(dāng)做目的地址然后查找設(shè)備上的路由表決定從哪個(gè)接口回包。
關(guān)閉逆向路由的意思就是通常理解的數(shù)據(jù)從哪個(gè)接口過(guò)來(lái)的，回包的時(shí)候就從哪個(gè)接口回包，沒(méi)有反向路由查詢的過(guò)程。

3、創(chuàng)建到客戶和互資源的子接口、互聯(lián)IP。

interface aggregate1.110

  zone  "trust"

  ip address 10.10.110.2 255.255.255.252

  description "jsyd"

  manage ping

  manage telnet

agg 1.110 是到客戶的互聯(lián)，加入到 trust zone

interface aggregate2.121

  zone  "untrust"

  ip address 10.10.121.1 255.255.255.252

  description "ahdx1"

  manage telnet

  manage ping

  reverse-route prefer

exit

interface aggregate2.122

  zone  "untrust"

  ip address 10.10.122.1 255.255.255.252

  description "ahdx2"

  manage ping

exit

interface aggregate2.123

  zone  "untrust"

  ip address 10.10.123.1 255.255.255.252

  description "wzdx1"

  manage ping

  manage telnet

exit

interface aggregate2.124

  zone  "untrust"

  ip address 10.10.124.1 255.255.255.252

  description "shjh-1"

  manage ping

agg 2.121 2.122 2.123 2.124是分別到不同的出口的互聯(lián)。加入到 utrust zone。

4、創(chuàng)建客戶的地址段表和各帶寬NAT地址表。

address  jsyd

  ip 1.51.32.0/20

  ip 1.51.48.0/21

  ip 21.228.228.0/22

  ip 43.254.84.0/22

  ip 58.68.228.16/29

客戶的地址段

address ahdx1

  ip 124.113.229.104/30

address ahdx2

  ip 124.113.229.152/30

address wzdx1

  ip 122.228.229.120/30

address shjh2

  ip 117.21.164.128/30

各資源用來(lái)做NAT的地址段。

5、創(chuàng)建安全規(guī)則，確保trust 可以訪問(wèn) utrust 

rule  1

  action permit

  src-zone trust

  dst-zone untrust

  src-addr jsyd

  dst-addr Any

  service Any

  name 1

允許 trust zone訪問(wèn)utrust zone

rule  2

  action permit

  src-zone untrust

  dst-zone trust

  src-addr Any

  dst-addr Any

  service Any

  name 2

允許 utrust 訪問(wèn)trust zone。

6、添加客戶的回程路由。

ip vrouter trust-vr

ip route 1.51.32.0/20 aggregate1.110 10.10.110.1 description jsyd-1104

  ip route 1.51.48.0/21 aggregate1.110 10.10.110.1 description jsyd-1104

  ip route 21.228.228.0/22 aggregate1.110 10.10.110.1 description jsyd-1104

  ip route 43.254.84.0/22 aggregate1.110 10.10.110.1 description jsyd-1104

  ip route 58.68.228.16/29 aggregate1.110 10.10.110.1 description jsyd-1104

7、創(chuàng)建到不同出口的默認(rèn)路由，由于設(shè)備是先匹配N(xiāo)AT規(guī)則后再進(jìn)行路由，所以可以同時(shí)將所有出口都加成默認(rèn)路由。

ip vrouter trust-vr

 ip route 0.0.0.0/0 aggregate2.120 124.113.229.157

  ip route 0.0.0.0/0 aggregate2.121 10.10.121.2 description ahyd1-1G

  ip route 0.0.0.0/0 aggregate2.122 10.10.122.2 description ahyd2-1G

  ip route 0.0.0.0/0 aggregate2.123 10.10.123.2 description wzdx-2G

  ip route 0.0.0.0/0 aggregate2.124 10.10.124.2 description shjh2-1G

  ip route 0.0.0.0/0 aggregate2.125 10.10.125.2 description shjh3-0.75G

8、創(chuàng)建NAT規(guī)則。

ip vrouter trust-vr

  snatrule id 1 from jsyd to any eif aggregate2.121 trans-to address-book ahdx1 mode dynamicport sticky log 

  snatrule id 2 from jsyd to any eif aggregate2.122 trans-to address-book ahdx2 mode dynamicport sticky log 

  snatrule id 3 from jsyd to any eif aggregate2.123 trans-to address-book wzdx1 mode dynamicport sticky log 

  snatrule id 4 from jsyd to any eif aggregate2.124 trans-to address-book shjh2 mode dynamicport sticky log 

使用多個(gè)出口做NAT時(shí)，默認(rèn)情況數(shù)據(jù)包會(huì)逐個(gè)出口輪循，如果 使用dynamicport sticky 會(huì)出現(xiàn)各個(gè)出口流量不均的情況，因?yàn)閟ticky會(huì)將同一個(gè)會(huì)話保持到一個(gè)IP地址上。 

分享名稱：HillStone做多NAT使用不同的網(wǎng)絡(luò)帶寬出口
新聞來(lái)源：http://jinyejixie.com/article10/ipegdo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、建站公司、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)公司、軟件開(kāi)發(fā)、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)