首页> 网络> 双宽带线路自由切换方案

[文章]双宽带线路自由切换方案

收藏
0 764 0

双宽带线路自由切换方案

 

    背景

企业办公互联网有移动、联通两条线路资源,现不想随机出口,想要在客户端通过认证的方式,自由切换出口线路。

网关设备:华为usg NGFW

互联网出口线路:移动、联通

客户端切换线路方式:用户认证

网关端部署方案:PBR(策略路由)。流量默认走移动线路,认证后切换到联通,认证方式http portal认证

    CLI配置

2.1      安全区域划分

Local为设备本地,GigabitEthernet1/0/1划到trust安全区域,GigabitEthernet1/0/0GigabitEthernet1/0/2划到untrust安全区域,优先级数值越大,优先级越高。

 

firewall zone local

set priority 100

 

firewall zone trust

set priority 85

add interface GigabitEthernet1/0/1    #业务口/管理口

 

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/0    #移动线路

add interface GigabitEthernet1/0/2    #联通线路

 

2.2      接口配置

trust安全区域,内网接口配置(既作业务口,亦作管理口),命名为LAN

interface GigabitEthernet1/0/1

alias LAN

ip address 10.133.144.250 255.255.255.0

service-manage https permit

service-manage ping permit

service-manage ssh permit

service-manage snmp permit

service-manage telnet permit

 

untrust安全区域,外网接口配置

 

移动线路接口,命名为CMCC-100M

interface GigabitEthernet1/0/0

alias CMCC-100M

ip address 183.239.xxx.xxx 255.255.255.252

service-manage ping permit

 

联通线路接口,命名为unicom-100M

interface GigabitEthernet1/0/2

alias unicom-100M

ip address 210.21.xxx.xxx 255.255.255.252

service-manage ping permit

 

2.3      默认路由配置

ip route-static 0.0.0.0 0.0.0.0 183.239.xxx.xxx    #默认路由只设置移动线路的,联通线路使用策略路由

2.4      回程路由配置

ip route-static 10.0.0.0 255.0.0.0 10.133.144.1

2.5      NAT设置:出接口方式转换

nat-policy

rule name nat1

source-zone trust

destination-zone untrust

action nat easy-ip

 

2.6      认证服务器配置

使用ad认证,ad IP/端口10.10.10.11 88,域名net.gt.comldap端口389,管理员账号DNCN=fw_admin,OU=ServiceAccount,DC=net,DC=gt,DC=com,服务器命名为ad

ad-server template ad

ad-server authentication 10.10.10.11 88

ad-server authentication base-dn DC=net,DC=gt,DC=com

ad-server authentication manager CN=fw_admin,OU=ServiceAccount,DC=net,DC=gt,DC=com *********;***********(此处密码)

ad-server authentication host-name dc01.net.gt.com

ad-server authentication ldap-port 389

undo ad-server authentication manager-with-base-dn enable

ad-server user-filter CN

ad-server group-filter ou

ad-server ip-address-filter VIP mask-filter VIPMask

 

2.7      导入服务器设置

使用ad服务器导入用户,命名为ad_daoru,导入方式:全量覆盖方式,导入到根目录default,设置每天凌晨1点调度执行

user-manage import-policy ad_daoru from ad

server template ad

server basedn dc=net,dc=gt,dc=com

server searchdn ou=usergroup,dc=net,dc=gt,dc=com

destination-group /default

user-attribute sAMAccountName    #过滤参数缺省

user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer)))    #过滤参数缺省

group-filter (|(objectclass=organizationalUnit)(ou=*))    #过滤参数缺省

security-group-filter (&(objectclass=group)(|(grouptype=-2147483640)(grouptype=-2147483644)(grouptype=-2147483646)))    #过滤参数缺省

import-type group

import-override enable

sync-mode full schedule daily 01:00

 

2.8      认证选项配置

http重定向方式,端口使用默认的8887,用户登录错误次数限制3次,用户锁定时间3分,在线用户超时时间360

user-manage web-authentication redirect http

user-manage web-authentication port 8887

user-manage single-sign-on ad mode plug-in

user-manage local-authentication locked-time 3 authentication-failed-times 5

user-manage online-user aging-time 720

password-policy

level high

 

2.9      安全策略设置

security-policy

允许trustuntrust区域的访问

rule name allow_trust_untrust

policy logging

source-zone trust

destination-zone untrust

action permit

允许trustlocal的访问

rule name allow_trust_local

policy logging

source-zone trust

destination-zone local

action permit

 

2.10    策略路由配置

策略命名为pbr_unicom,策略路由对象usergroup OU下用户,下一跳指向联通线路网关210.21.xxx.xxx

policy-based-route

rule name pbr_unicom

source-zone trust

user user-group /default/usergroup

action pbr egress-interface GigabitEthernet1/0/2 next-hop 210.21.xxx.xxx

 

    用户端访问验证

客户端电脑打开百度搜索,搜索“IP”查看当前本机的外网出口IP,当前显示移动线路IP

 

访问认证页面http:// 10.133.144.250:8887,登录用户账号


登录后再次查询本机外网出口IP,已变为联通线路IP


注销登录后,便会还原回来走移动线路访问。


网络
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}