SRG2200配置案例(校园网出口网关举例)

SRG 作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，还

可以避免P2P 流量阻塞网络，并保护内网不受网络攻击。

组网需求

某学校网络通过SRG 连接到Internet，校内组网情况如下：

l 学校有校内用户约500 个、提供对外访问的服务器2 台。校内用户主要分布在教学

楼和宿舍区，校内2 台提供对外访问的服务器分布在图书馆，是该校主页、招生及

资源共享等网站。

l 学校分别通过两个不同运营商链路连接到Internet，带宽都是100M。

两个运营商ISP1、ISP2 分别为该校分配了5 个IP 地址。ISP1 分配的IP 地址是

200.1.1.1 ～ 200.1.1.5，ISP2 分配的IP 地址是202.1.1.1 ～ 202.1.1.5。

ISP1 提供的接入点为200.1.1.10，ISP2 提供的接入点为202.1.1.10。

该学校网络需要实现以下需求：

l 校内用户能够通过两个运营商访问Internet，且为了提高访问速度，需要去往不同

运营商的流量由分别连接两个运营商的对应接口转发。

l 当一条链路出现故障时，能够保证流量及时切换到另一条链路，避免网络长时间中

断。

l 校内用户和校外用户都能够访问学校提供对外访问的服务器。

l 由于该学校P2P 流量较大，对网络影响严重，需要对校内用户进行P2P 限流。

l 需要保护内部网络不受到SYN Flood、UDP Flood 和ICMP Flood 攻击。

网络规划

根据校园网络情况和需求，网络规划如下：

l 为了实现校园网用户使用有限公网IP 地址接入Internet，需要配置NAPT 方式的

NAT，借助端口将多个私网IP 地址转换为有限的公网IP 地址。

由于校园网连接两个运营商，因此需要分别进行地址转换，将私网地址转换为公网

地址。即创建两个安全区域ISP1 和ISP2（安全优先级低于DMZ 区域），并分别

在Trust—ISP1 域间、Trust—ISP2 域间配置NAT outbound。

l 为了实现去往不同运营商的流量由对应接口转发，需要收集ISP1 和ISP2 所属网段

的信息，并配置到这些网段的静态路由。使去往ISP1 的流量通过连接ISP1 的接口

转发，去往ISP2 的流量通过连接ISP2 的接口转发。

为了提高链路可靠性，避免业务中断，需要配置两条缺省路由。当报文无法匹配静

态路由时，通过缺省路由发送给下一跳。

l 由于图书馆的服务器部署在内网，其IP 地址为私网IP 地址。如果想对校外用户提

供服务，就需要将服务器的私网IP 地址转换为公网IP 地址。即分别基于ISP1、

ISP2 区域配置NAT Server。

l 由于运营商提供给该学校的带宽为2*100M，为了保证其他业务不受影响，将P2P

流量在30M。

l 在SRG 上启用攻击防范功能，保护校园网内部网络。

HUAWEI SRG1200/2200/3200

典型配置举例1 综合部署

文档版本 03 (2012-02-20) 华为专有和保密信息

版权所有 © 华为技术有限公司

1-11

网络规划后的组网图如图1-2 所示。

图1-2 网络规划后组网图

安全区域：Trust

安全区域：DMZ

安全区域：ISP2

安全区域：ISP1

教学楼

图书馆

ISP1

ISP2

宿舍区

SRG

接入交换机

接入交换机

汇聚交换机

Web服务器

FTP服务器

（1）

（3）

（4）

100M

100M

（2）

项目数据说明

（1） 接口号：GigabitEthernet

0/0/0

IP 地址：10.1.1.1/16

安全区域：Trust

GigabitEthernet 0/0/0 是连

接内网汇聚交换机的接口。

校内用户分配到网段为

10.1.0.0 255.255.0.0 的私网

地址，部署在Trust 区域。

（2） 接口号：GigabitEthernet

0/0/1

IP 地址：192.168.1.1/24

安全区域：DMZ

GigabitEthernet 0/0/1 是连

接图书馆服务器的接口。

图书馆区部署在DMZ 区

域。

（3） 接口号：GigabitEthernet

0/0/2

IP 地址：200.1.1.1/24

安全区域：ISP1

安全优先级：15

GigabitEthernet 0/0/2 是连

接ISP1 的接口，去往ISP1

所属网段的数据通过

GigabitEthernet 0/0/2 转发。

ISP1 接入点的IP 地址为

200.1.1.10。

1 综合部署

HUAWEI SRG1200/2200/3200

典型配置举例

1-12 华为专有和保密信息

版权所有 © 华为技术有限公司

文档版本 03 (2012-02-20)

项目数据说明

（4） 接口号：GigabitEthernet

5/0/0

IP 地址：202.1.1.1/24

安全区域：ISP2

安全优先级：20

GigabitEthernet 5/0/0 是连

接ISP2 的接口。去往ISP2

所属网段的数据通过

GigabitEthernet 5/0/0 转发。

ISP2 接入点的IP 地址为

202.1.1.10。

Web 服务器内网IP：192.168.1.5

转换成的ISP1 的公网IP：

200.1.1.4

转换成的ISP2 的公网IP：

202.1.1.4

对于ISP1 所属网段的外部

用户，Web 服务器的IP 地

址为200.1.1.4。

对于ISP2 所属网段的外部

用户，Web 服务器的IP 地

址为202.1.1.4。

FTP 服务器内网IP：192.168.1.10

转换成的ISP1 的公网IP：

200.1.1.5

转换成的ISP2 的公网IP：

202.1.1.5

对于ISP2 所属网段的外部

用户，Web 服务器的IP 地

址为200.1.1.5。

对于ISP2 所属网段的外部

用户，Web 服务器的IP 地

址为202.1.1.5。

ISP1 分配给学校的IP 地址200.1.1.1 ～ 200.1.1.5 其中200.1.1.1 用作SRG

的出接口地址，200.1.1.2

和200.1.1.3 用作Trust—

ISP1 域间的NAT 地址池1

的地址。

ISP2 分配给学校的IP 地址202.1.1.1 ～ 202.1.1.5 其中202.1.1.1 用作SRG

的出接口地址，202.1.1.2

和202.1.1.3 用作Trust—

ISP2 域间的NAT 地址池2

的地址。

操作步骤

步骤1 配置SRG 各接口的IP 地址并将接口加入安全区域。

# 配置SRG 各接口的IP 地址。

system-view

[SRG] interface GigabitEthernet 0/0/0

[SRG-GigabitEthernet0/0/0] ip address 10.1.1.1 16

[SRG-GigabitEthernet0/0/0] quit

[SRG] interface GigabitEthernet 0/0/1

[SRG-GigabitEthernet0/0/1] ip address 192.168.1.1 24

[SRG-GigabitEthernet0/0/1] quit

[SRG] interface GigabitEthernet 0/0/2

[SRG-GigabitEthernet0/0/2] ip address 200.1.1.1 24

[SRG-GigabitEthernet0/0/2] quit

[SRG] interface GigabitEthernet 5/0/0

[SRG-GigabitEthernet5/0/0] ip address 202.1.1.1 24

[SRG-GigabitEthernet5/0/0] quit

# 将GigabitEthernet 0/0/0 接口加入Trust 安全区域

HUAWEI SRG1200/2200/3200

典型配置举例1 综合部署

文档版本 03 (2012-02-20) 华为专有和保密信息

版权所有 © 华为技术有限公司

1-13

[SRG] firewall zone trust

[SRG-zone-trust] add interface GigabitEthernet 0/0/0

[SRG-zone-trust] quit

# 将GigabitEthernet 0/0/1 接口加入DMZ 安全区域

[SRG] firewall zone dmz

[SRG-zone-dmz] add interface GigabitEthernet 0/0/1

[SRG-zone-dmz] quit

# 创建安全区域ISP1，并将GigabitEthernet 0/0/2 接口加入ISP1。

[SRG] firewall zone name isp1

[SRG-zone-isp1] set priority 15

[SRG-zone-isp1] add interface GigabitEthernet 0/0/2

[SRG-zone-isp1] quit

# 创建安全区域ISP2，并将GigabitEthernet 5/0/0 接口加入ISP2。

[SRG] firewall zone name isp2

[SRG-zone-isp2] set priority 20

[SRG-zone-isp2] add interface GigabitEthernet 5/0/0

[SRG-zone-isp2] quit

步骤2 配置域间包过滤及ASPF 功能，对校内外数据流进行访问控制。

# 配置Trust—ISP1 的域间包过滤，允许校内用户访问ISP1。

[SRG] policy interzone trust isp1 outbound

[SRG-policy-interzone-trust-isp1-outbound] policy 1

[SRG-policy-interzone-trust-isp1-outbound-1] policy source 10.1.0.0 0.0.255.255

[SRG-policy-interzone-trust-isp1-outbound-1] action permit

[SRG-policy-interzone-trust-isp1-outbound-1] quit

[SRG-policy-interzone-trust-isp1-outbound] quit

# 配置Trust—ISP2 的域间包过滤，允许校内用户访问ISP2。

[SRG] policy interzone trust isp2 outbound

[SRG-policy-interzone-trust-isp2-outbound] policy 1

[SRG-policy-interzone-trust-isp2-outbound-1] policy source 10.1.0.0 0.0.255.255

[SRG-policy-interzone-trust-isp2-outbound-1] action permit

[SRG-policy-interzone-trust-isp2-outbound-1] quit

[SRG-policy-interzone-trust-isp2-outbound] quit

# 配置ISP1—DMZ 的域间包过滤，允许校外用户访问DMZ 区域的服务器（注意Policy

配置目的地址为服务器的内网地址）。

[SRG] policy interzone dmz isp1 inbound

[SRG-policy-interzone-dmz-isp1-inbound] policy 1

[SRG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.5 0

[SRG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.10 0

[SRG-policy-interzone-dmz-isp1-inbound-1] action permit

[SRG-policy-interzone-dmz-isp1-inbound-1] quit

[SRG-policy-interzone-dmz-isp1-inbound] quit

# 配置ISP2—DMZ 的域间包过滤，允许校外用户访问DMZ 区域的服务器（注意Policy

配置目的地址为服务器的内网地址）。

[SRG] policy interzone dmz isp2 inbound

[SRG-policy-interzone-dmz-isp2-inbound] policy 1

[SRG-policy-interzone-dmz-isp2-inbound-1] policy destination 192.168.1.5 0

[SRG-policy-interzone-dmz-isp2-inbound-1] policy destination 192.168.1.10 0

[SRG-policy-interzone-dmz-isp2-inbound-1] action permit

[SRG-policy-interzone-dmz-isp2-inbound-1] quit

[SRG-policy-interzone-dmz-isp2-inbound] quit

# 配置Trust—DMZ 的域间包过滤，允许校内用户访问服务器。

[SRG] policy interzone trust dmz outbound

[SRG-policy-interzone-trust-dmz-outbound] policy 1

1 综合部署

HUAWEI SRG1200/2200/3200

典型配置举例

1-14 华为专有和保密信息

版权所有 © 华为技术有限公司

文档版本 03 (2012-02-20)

[SRG-policy-interzone-trust-dmz-outbound-1] policy source 10.1.0.0 0.0.255.255

[SRG-policy-interzone-trust-dmz-outbound-1] policy destination 192.168.1.5 0

[SRG-policy-interzone-trust-dmz-outbound-1] policy destination 192.168.1.10 0

[SRG-policy-interzone-trust-dmz-outbound-1] action permit

[SRG-policy-interzone-trust-dmz-outbound-1] quit

[SRG-policy-interzone-trust-dmz-outbound] quit

# 在域间开启ASPF 功能，防止多通道协议无法建立连接。

[SRG] firewall interzone trust isp1

[SRG-interzone-trust-isp1] detect ftp

[SRG-interzone-trust-isp1] detect qq

[SRG-interzone-trust-isp1] detect msn

[SRG-interzone-trust-isp1] quit

[SRG] firewall interzone trust isp2

[SRG-interzone-trust-isp2] detect ftp

[SRG-interzone-trust-isp2] detect qq

[SRG-interzone-trust-isp2] detect msn

[SRG-interzone-trust-isp2] quit

[SRG] firewall interzone dmz isp1

[SRG-interzone-dmz-isp1] detect ftp

[SRG-interzone-dmz-isp1] quit

[SRG] firewall interzone dmz isp2

[SRG-interzone-dmz-isp2] detect ftp

[SRG-interzone-dmz-isp2] quit

[SRG] firewall interzone trust dmz

[SRG-interzone-trust-dmz] detect ftp

[SRG-interzone-trust-dmz] quit

步骤3 配置NAT outbound，使内网用户通过转换后的公网IP 地址访问Internet。

# 配置应用于Trust—ISP1 域间的NAT 地址池1。地址池1 包括ISP1 提供的两个IP 地

址200.1.1.2 和200.1.1.3。

[SRG] nat address-group 1 200.1.1.2 200.1.1.3

# 配置应用于Trust—ISP2 域间的NAT 地址池2。地址池2 包括ISP2 提供的两个IP 地

址202.1.1.2 和202.1.1.3。

[SRG] nat address-group 2 202.1.1.2 202.1.1.3

# 在Trust—ISP1 域间配置NAT outbound，将校内用户的私网IP 地址转换为ISP1 提供

的公网IP 地址。

[SRG] nat-policy interzone trust isp1 outbound

[SRG-nat-policy-interzone-trust-isp1-outbound] policy 1

[SRG-nat-policy-interzone-trust-isp1-outbound-1] policy source 10.1.0.0 0.0.255.255

[SRG-nat-policy-interzone-trust-isp1-outbound-1] action source-nat

[SRG-nat-policy-interzone-trust-isp1-outbound-1] address-group 1

[SRG-nat-policy-interzone-trust-isp1-outbound-1] quit

[SRG-nat-policy-interzone-trust-isp1-outbound] quit

# 在Trust—ISP2 域间配置NAT outbound，将校内用户的私网IP 地址转换为ISP2 提供

的公网IP 地址。

[SRG] nat-policy interzone trust isp2 outbound

[SRG-nat-policy-interzone-trust-isp2-outbound] policy 1

[SRG-nat-policy-interzone-trust-isp2-outbound-1] policy source 10.1.0.0 0.0.255.255

[SRG-nat-policy-interzone-trust-isp2-outbound-1] action source-nat

[SRG-nat-policy-interzone-trust-isp2-outbound-1] address-group 2

[SRG-nat-policy-interzone-trust-isp2-outbound-1] quit

[SRG-nat-policy-interzone-trust-isp2-outbound] quit

步骤4 配置多条静态路由和两条缺省路由，实现网络的双出口特性和链路的可靠性。

# 为特定目的IP 地址的报文指定出接口，目的地址为IPS1 的指定出接口为

GigabitEthernet 0/0/2、目的地址为ISP2 的指定出接口为GigabitEthernet 5/0/0。

HUAWEI SRG1200/2200/3200

典型配置举例1 综合部署

文档版本 03 (2012-02-20) 华为专有和保密信息

版权所有 © 华为技术有限公司

1-15

注意

实际场景中，可能需指定多条静态路由，为特定目的IP 地址配置明细路由。因此需要

咨询运营商获取ISP 所属网段信息。本例中仅给出了四条静态路由的配置。

[SRG] ip route-static 200.1.2.3 24 GigabitEthernet 0/0/2 200.1.1.10

[SRG] ip route-static 200.2.2.1 24 GigabitEthernet 0/0/2 200.1.1.10

[SRG] ip route-static 202.1.2.3 24 GigabitEthernet 5/0/0 202.1.1.10

[SRG] ip route-static 202.2.3.4 24 GigabitEthernet 5/0/0 202.1.1.10

# 配置两条缺省路由，当报文无法匹配静态路由时，通过缺省路由发送给下一跳。为两

条缺省路由设置不同的优先级，使不能匹配静态路由的报文优先通过GigabitEthernet 0/0/2

接口转发到ISP1。

[SRG] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/2 200.1.1.10

[SRG] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 5/0/0 202.1.1.10 preference 200

说明

l 正常情况下，去往ISP1 的流量通过GigabitEthernet 0/0/2 转发，去往ISP2 的流量通过

GigabitEthernet 5/0/0 转发，不能匹配静态路由的流量通过GigabitEthernet 0/0/2 转发。

l 如果去往ISP1 的链路发生故障，所有流量通过GigabitEthernet 5/0/0 转发；如果去往ISP2 的

链路发生故障，所有流量通过GigabitEthernet 0/0/2 转发。

步骤5 配置NAT Server，使校内和校外用户能够通过公网IP 地址访问图书馆的服务器。

# 配置基于ISP1 区域的NAT Server，使ISP1 的用户能够通过200.1.1.4 访问Web 服务

器，通过200.1.1.5 访问FTP 服务器。

[SRG] nat server zone isp1 global 200.1.1.4 inside 192.168.1.5

[SRG] nat server zone isp1 global 200.1.1.5 inside 192.168.1.10

# 配置基于ISP2 区域的NAT Server，使ISP2 的用户能够通过202.1.1.4 访问Web 服务

器，通过202.1.1.5 访问FTP 服务器。

[SRG] nat server zone isp2 global 202.1.1.4 inside 192.168.1.5

[SRG] nat server zone isp2 global 202.1.1.5 inside 192.168.1.10

步骤6 配置DPI 控制P2P 行为，将网络中P2P 总流量在30M。

注意

使用DPI 功能前请确保已购买并在设备上激活含DPI 功能的License。

# 启用DPI 功能，定义应用协议集Network_Control，并将P2P 类型协议加入该应用协

议集。

[SRG] dpi enable

[SRG] dpi

[SRG-dpi] app-set Network_Control

[SRG-app-set-Network_Control] category p2p

[SRG-app-set-Network_Control] quit

[SRG-dpi] quit

# 定义数据流分类P2P 供QoS 策略调用。

[SRG] traffic classifier P2P

[SRG-classifier-P2P] if-match any

[SRG-classifier-P2P] quit

1 综合部署

HUAWEI SRG1200/2200/3200

典型配置举例

1-16 华为专有和保密信息

版权所有 © 华为技术有限公司

文档版本 03 (2012-02-20)

# 定义流行为CAR 供QoS 策略调用，限定平均速率为和突发速率均为30M。即P2P 流

量超过30M 后，立即丢弃超出部分的报文。

[SRG] traffic behavior CAR

[SRG-behavior-CAR] car cir 30000000 cbs 30000000

[SRG-behavior-CAR] quit

# 配置QoS 策略P2P_CAR，调用配置好的流分类和流行为，作为DPI 模块检测到相关

协议后的限速动作。

[SRG] qos policy P2P_CAR

[SRG-qospolicy-P2P_CAR] classifier P2P behavior CAR

[SRG-qospolicy-P2P_CAR] quit

# 配置DPI 规则，调用配置好的应用协议集和QoS 策略。

[SRG] dpi

[SRG-dpi] rule 1 if-match app-set Network_Control apply policy P2P_CAR

[SRG-dpi] quit

步骤7 配置攻击防范功能，保护校园网络。

注意

请根据网络实际情况开启攻击防范功能和调整报文速率阈值，本例中配置的攻击防范功

能仅供参考。

# 开SYN Flood、UDP Flood 和ICMP Flood 攻击防范功能，并每条会话允许通过的

ICMP 报文最大速率为5 包/秒。

[SRG] firewall defend syn-flood enable

[SRG] firewall defend udp-flood enable

[SRG] firewall defend icmp-flood enable

[SRG] firewall defend icmp-flood base-session max-rate 5

----结束

结果验证

1. 执行命令display nat all，可以看到配置的NAT 地址池和内部服务器信息。

[SRG] display nat all

NAT address-group information:

number : 1 name : ---

startaddr : 200.1.1.2 endaddr : 200.1.1.3

reference : 0 vrrp : ---

instance : public

number : 2 name : ---

startaddr : 202.1.1.2 endaddr : 202.1.1.3

reference : 1 vrrp : ---

instance : public

Total 2 address-groups

Server in private network information:

id : 0

zone : isp1

globaladdr : 200.1.1.4 insideaddr : 192.168.1.5

globalport : --- insideport : ---

global : public inside : public

protocol : --- vrrp : ---

HUAWEI SRG1200/2200/3200

典型配置举例1 综合部署

文档版本 03 (2012-02-20) 华为专有和保密信息

版权所有 © 华为技术有限公司

1-17

id : 1

zone : isp1

globaladdr : 200.1.1.5 insideaddr : 192.168.1.10

globalport : --- insideport : ---

global : public inside : public

protocol : --- vrrp : ---

id : 3

zone : isp2

globaladdr : 202.1.1.4 insideaddr : 192.168.1.5

globalport : --- insideport : ---

global : public inside : public

protocol : --- vrrp : ---

id : 4

zone : isp2

globaladdr : 202.1.1.5 insideaddr : 192.168.1.10

globalport : --- insideport : ---

global : public inside : public

protocol : --- vrrp : ---

Total 4 NAT servers

2. 通过在网络中操作，检查业务是否能够正常实现。

# 在校园网内的一台主机上，访问ISP1 所属网段的一台服务器（IP 地址为

200.1.2.3），通过执行命令display firewall session table，可以看到私网IP 地址转

换成了ISP1 的公网IP 地址。

[SRG] display firewall session table

Current Total Sessions : 1

http VPN: public -> public 10.1.2.2:1674[200.1.1.2:128]-->200.1.2.3:80

# 在Internet 的一台主机上（所属ISP2 网段），访问学校的FTP Server（对外IP 地

址为200.1.1.5），通过执行命令display firewall server-map，可以看到服务器的IP

地址进行了转换。

[SRG] display firewall server-map

server-map item(s)

------------------------------------------------------------------------------

Nat Server, ANY -> 200.1.1.5[192.168.1.10], Zone: isp1

Protocol: ANY(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---

VPN: public -> public

Nat Server Reverse, 192.168.1.10[200.1.1.5] -> ANY, Zone: isp1

Protocol: ANY(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---

VPN: public -> public

3. 执行命令display dpi statistic，可以看到由于P2P 类型的流量由于超过了配置的限

定速率，超出部分报文被丢弃。

[SRG] display dpi statistic

DPI Statistic Information

Codes: DPI(Deep Protocol Inspection)

--------------------------------------------------------------------------------

AppName RcvPkt ACLDropPkt QosCarPkt CurConn IPCarConn TotalConn

--------------------------------------------------------------------------------

http 1001869 0 0 0 0 48

ftp_signal 28 0 0 0 0 5

bt_data 78234 0 433 0 0 2125

netbios 17 0 0 0 0 167

smb 4035 0 0 0 0 481

telnet 28829 0 0 0 0 14

--------------------------------------------------------------------------------

Total Application Number : 6

1 综合部署

HUAWEI SRG1200/2200/3200

典型配置举例

1-18 华为专有和保密信息

版权所有 © 华为技术有限公司

文档版本 03 (2012-02-20)

配置脚本

SRG 配置脚本：

#

nat address-group 1 200.1.1.2 200.1.1.3

nat address-group 2 202.1.1.2 202.1.1.3

nat server 0 zone isp1 global 200.1.1.4 inside 192.168.1.5

nat server 1 zone isp1 global 200.1.1.5 inside 192.168.1.10

nat server 2 zone isp2 global 202.1.1.4 inside 192.168.1.5

nat server 3 zone isp2 global 202.1.1.5 inside 192.168.1.10

#

firewall defend icmp-flood enable

firewall defend udp-flood enable

firewall defend syn-flood enable

firewall defend icmp-flood base-session max-rate 5

#

dpi enable

#

traffic classifier P2P

if-match any

#

traffic behavior CAR

car cir 30000000 cbs 30000000 ebs 0

#

qos policy P2P_CAR

classifier P2P behavior CAR

#

interface GigabitEthernet0/0/0

ip address 10.1.1.1 255.255.0.0

#

interface GigabitEthernet0/0/1

ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet0/0/2

ip address 200.1.1.1 255.255.255.0

#

interface GigabitEthernet5/0/0

ip address 202.1.1.1 255.255.255.0

#

firewall zone local

set priority 100

#

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

#

firewall zone untrust

set priority 5

#

firewall zone dmz

set priority 50

add interface GigabitEthernet0/0/1

#

firewall zone name isp1

set priority 15

add interface GigabitEthernet0/0/2

#

firewall zone name isp2

set priority 20

add interface GigabitEthernet5/0/0

#

firewall interzone trust dmz

detect ftp

#

firewall interzone trust isp1

detect ftp

detect qq

detect msn

HUAWEI SRG1200/2200/3200

典型配置举例1 综合部署

文档版本 03 (2012-02-20) 华为专有和保密信息

版权所有 © 华为技术有限公司

1-19

#

firewall interzone trust isp2

detect ftp

detect qq

detect msn

#

firewall interzone dmz isp1

detect ftp

#

firewall interzone dmz isp2

detect ftp

#

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 200.1.1.10

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet5/0/0 202.1.1.10 preference

200

ip route-static 200.1.2.0 255.255.255.0 GigabitEthernet0/0/2 200.1.1.10

ip route-static 200.2.2.1 255.255.255.0 GigabitEthernet0/0/2 200.1.1.10

ip route-static 202.1.2.0 255.255.255.0 GigabitEthernet5/0/0

202.1.1.10

ip route-static 202.2.3.4 255.255.255.0 GigabitEthernet5/0/0 202.1.1.10

#

dpi

app-set Network_Control

category p2p

#

dpi

rule 1 if-match app-set Network_Control apply policy P2P_CAR

#

policy interzone trust dmz outbound

policy 1

action permit

policy source 10.1.0.0 0.0.255.255

policy destination 192.168.1.5 0

policy destination 192.168.1.10 0

#

policy interzone trust isp1 outbound

policy 1

action permit

policy source 10.1.0.0 0.0.255.255

#

policy interzone trust isp2 outbound

policy 1

action permit

policy source 10.1.0.0 0.0.255.255

#

policy interzone dmz isp1 inbound

policy 1

action permit

policy destination 192.168.1.5 0

policy destination 192.168.1.10 0

#

policy interzone dmz isp2 inbound

policy 1

action permit

policy destination 192.168.1.5 0

policy destination 192.168.1.10 0

#

nat-policy interzone trust isp1 outbound

policy 1

action source-nat

policy source 10.1.0.0 0.0.255.255

address-group 1

#

nat-policy interzone trust isp2 outbound

policy 1

action source-nat

policy source 10.1.0.0 0.0.255.255

address-group 2

1 综合部署

HUAWEI SRG1200/2200/3200

典型配置举例

1-__