?

組網(wǎng)需求
如圖1所示，F(xiàn)W作為安全網(wǎng)關(guān)部署在網(wǎng)絡(luò)出口，企業(yè)分別從ISP1和ISP2租用一條鏈路。企業(yè)希望訪問Server 1的報(bào)文從ISP1鏈路轉(zhuǎn)發(fā)，訪問Server 2的報(bào)文從ISP2鏈路轉(zhuǎn)發(fā)。當(dāng)其中一條鏈路故障時(shí)，后續(xù)流量可以通過另一條鏈路轉(zhuǎn)發(fā)，保證傳輸?shù)目煽啃浴?/p>

? ? ? ? ??

? ? ? ? ?

圖1?ISP選路組網(wǎng)圖

操作步驟

1.為ISP1和ISP2鏈路分別新建一個(gè)健康檢查。

選擇“對(duì)象 > 健康檢查”，在“健康檢查列表”區(qū)域單擊“新建”，為ISP1鏈路新建一個(gè)健康檢查。

單擊“新建”，為ISP2鏈路新建一個(gè)健康檢查。

2.制作isp1.csv和isp2.csv兩個(gè)ISP地址文件，將Server 1的IP地址3.3.3.3寫入isp1.csv文件中；將Server 2的IP地址9.9.9.9寫入isp2.csv文件中，并上傳到FW上。

選擇“網(wǎng)絡(luò) > 路由 > 智能選路”，在“運(yùn)營(yíng)商地址庫(kù)”頁(yè)簽，單擊“導(dǎo)入”。

為ISP1和ISP2分別創(chuàng)建運(yùn)營(yíng)商名稱isp1_ifgroup和isp2_ifgroup，并導(dǎo)入對(duì)應(yīng)的ISP地址文件。

3.配置接口GigabitEthernet 0/0/1和GigabitEthernet 0/0/7的IP地址和網(wǎng)關(guān)地址，加入U(xiǎn)ntrust安全區(qū)域，選擇所屬運(yùn)營(yíng)商，啟用運(yùn)營(yíng)商路由，并應(yīng)用對(duì)應(yīng)的健康檢查。

選擇“網(wǎng)絡(luò) > 接口”，單擊待配置的接口所在行的

4.配置接口GigabitEthernet 0/0/3的IP地址，并加入Trust安全區(qū)域。

選擇“網(wǎng)絡(luò) > 接口”，單擊待配置的接口所在行的。

5.配置Trust到Untrust區(qū)域的安全策略，允許企業(yè)內(nèi)網(wǎng)用戶訪問外網(wǎng)資源。假設(shè)內(nèi)部用戶網(wǎng)段為10.3.0.0/24。

選擇“策略 > 安全策略 > 安全策略”，單擊“新建安全策略”。

? ? ? ? ?