（一）實(shí)驗(yàn)簡(jiǎn)介

如圖所示，某公司出口連接兩個(gè)路由器，以雙鏈路接入Internet几缭，為了保證在鏈路故障時(shí)可以動(dòng)態(tài)調(diào)整，F(xiàn)W和兩臺(tái)路由器之間配置靜態(tài)路由綁定IP-Link沃呢，將Router 1 為主鏈路年栓，在出現(xiàn)故障時(shí)Router 2切換為主鏈路，從而不影響內(nèi)網(wǎng)用戶正常訪問(wèn) Internet

網(wǎng)絡(luò)拓樸結(jié)構(gòu)

（二）實(shí)驗(yàn)?zāi)康?/h3>

1. 掌握配置靜態(tài)路由的方法薄霜；
2. 掌握 IP-Link 的配置方法某抓；
3. 掌握靜態(tài)路由與IP-Link聯(lián)動(dòng)的場(chǎng)景配置方法。

（三）實(shí)驗(yàn)條件

1. 一臺(tái)CPU支持VT技術(shù)惰瓜，內(nèi)存4GB以上的計(jì)算機(jī)否副；
2. 安裝eNSP模擬器B510版，導(dǎo)入U(xiǎn)SG6000V鏡像崎坊；
3. 終端工具：SecuretyCRT备禀，Putty，Psftp奈揍，XShell等曲尸。

（四）網(wǎng)絡(luò)拓樸圖

打開(kāi)ENSP軟件，按如下拓樸圖創(chuàng)建實(shí)驗(yàn)環(huán)境打月，設(shè)置地址:

1. LAN地址：192.168.10.0/24队腐；
2. ISP1地址：10.1.1.0/24蚕捉；
3. ISP2地址：10.2.2.0/24奏篙；
4. Internet地址：10.66.66.0/24；

實(shí)驗(yàn)6拓樸

（五）配置思路

1. 配置LAN客戶機(jī)地址迫淹，交換機(jī)秘通；
2. 配置ISP1,IPS2路由器；
3. 配置Internet客戶機(jī)的地址敛熬，交換機(jī)肺稀；
4. 配置防火墻的接口，安全域应民，安全策略话原；
5. 配置IP-LINK；
6. 配置靜態(tài)路由與IP-LINK聯(lián)動(dòng)诲锹。

（六）配置步驟

(1)配置LAN的網(wǎng)絡(luò)

以下為L(zhǎng)AN所在網(wǎng)絡(luò)的客戶機(jī)PC1的配置

PC1的網(wǎng)絡(luò)地址

交換機(jī)LSW1的配置

The device is running!

<Huawei>system-view     //進(jìn)入系統(tǒng)配置視圖
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname LSW1    //修改交換機(jī)名為L(zhǎng)SW1
[LSW1]
[LSW1]undo info-center enable   //關(guān)閉信息提示
Info: Information center is disabled.
[LSW1]interface Vlanif 1    //進(jìn)入vlan接口配置視圖
[LSW1-Vlanif1]ip address 192.168.10.254 24      //配置vlan的IP地址
[LSW1-Vlanif1]quit      //退出vlan接口配置繁仁，返回系統(tǒng)配置視圖
[LSW1]
[LSW1]ip route-static 0.0.0.0 0.0.0.0 192.168.10.1  //配置交換機(jī)的默認(rèn)路由
[LSW1]quit      //退出系統(tǒng)配置視圖，返回用戶視圖
<LSW1>save      //保存配置
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Now saving the current configuration to the slot 0.
Save the configuration successfully.
<LSW1>

(2) 配置ISP1網(wǎng)絡(luò)

路由器AR1的配置

The device is running!

<Huawei>system-view             //進(jìn)入系統(tǒng)配置視圖
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable             //關(guān)閉信息提示
Info: Information center is disabled.
[Huawei]sysname AR1         //修改路由器名為AR1
[AR1]
[AR1]interface  GigabitEthernet  0/0/0      //進(jìn)入接口GE0/0/0配置視圖
[AR1-GigabitEthernet0/0/0]ip address 10.1.1.2 24        //配置接口GE0/0/0的IP地址
[AR1-GigabitEthernet0/0/0]quit      //退出接口配置归园，返回系統(tǒng)配置視圖
[AR1]interface GigabitEthernet 0/0/1            //進(jìn)入接口GE0/0/1配置視圖
[AR1-GigabitEthernet0/0/1]ip address 10.66.66.3 24      //配置接口GE0/0/1的IP地址
[AR1-GigabitEthernet0/0/1]quit      //退出接口配置黄虱，返回系統(tǒng)配置視圖
[AR1]
[AR1]ip route-static 10.66.66.0 24 10.66.66.254     //配置通往Internet的靜態(tài)路由
[AR1]ip route-static 10.2.2.0 24 10.66.66.4     //配置通往ISP2的靜態(tài)路由
[AR1]
[AR1]quit       //退出系統(tǒng)配置視圖，返回用戶視圖
<AR1>save       //保存配置
  The current configuration will be written to the device. 
  Are you sure to continue? (y/n)[n]:y
  It will take several minutes to save configuration file, please wait.......
  Configuration file had been saved successfully
  Note: The configuration file will take effect after being activated
<AR1>

(3) 配置ISP2網(wǎng)絡(luò)

路由器AR2的配置

The device is running!

<Huawei>system-view             //進(jìn)入系統(tǒng)配置視圖
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable             //關(guān)閉信息提示
Info: Information center is disabled.
[Huawei]sysname AR2         //修改路由器名為AR2
[AR2]
[AR2]interface  GigabitEthernet  0/0/0      //進(jìn)入接口GE0/0/0配置視圖
[AR2-GigabitEthernet0/0/0]ip address 10.2.2.2 24        //配置接口GE0/0/0的IP地址
[AR2-GigabitEthernet0/0/0]quit      //退出接口配置庸诱，返回系統(tǒng)配置視圖
[AR2]interface GigabitEthernet 0/0/1            //進(jìn)入接口GE0/0/1配置視圖
[AR2-GigabitEthernet0/0/1]ip address 10.66.66.4 24      //配置接口GE0/0/1的IP地址
[AR2-GigabitEthernet0/0/1]quit      //退出接口配置捻浦，返回系統(tǒng)配置視圖
[AR2]
[AR2]ip route-static 10.66.66.0 24 10.66.66.254     //配置通往Internet的靜態(tài)路由
[AR2]ip route-static 10.1.1.0 24 10.66.66.3     //配置通往ISP1的靜態(tài)路由
[AR2]
[AR2]quit       //退出系統(tǒng)配置視圖晤揣，返回用戶視圖
<AR2>save       //保存配置
  The current configuration will be written to the device. 
  Are you sure to continue? (y/n)[n]:y
  It will take several minutes to save configuration file, please wait.......
  Configuration file had been saved successfully
  Note: The configuration file will take effect after being activated
<AR2>

(4) 配置Internet網(wǎng)絡(luò)

以下為Internet網(wǎng)絡(luò)的服務(wù)器Server1的配置

Server1的網(wǎng)絡(luò)地址

交換機(jī)LSW2的配置

The device is running!

<Huawei>system-view     //進(jìn)入系統(tǒng)配置視圖
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname LSW3    //修改交換機(jī)名為L(zhǎng)SW2
[LSW2]
[LSW2]undo info-center enable   //關(guān)閉信息提示
Info: Information center is disabled.
[LSW2]interface Vlanif 1    //進(jìn)入vlan接口配置視圖
[LSW2-Vlanif1]ip address 10.66.66.254 24        //配置vlan的IP地址
[LSW2-Vlanif1]quit      //退出vlan接口配置，返回系統(tǒng)配置視圖
[LSW2]
[LSW2]ip route-static 10.1.1.0 255.255.255.0 10.66.66.3 //配置通往ISP1的靜態(tài)路由
[LSW2]ip route-static 10.2.2.0 255.255.255.0 10.66.66.4 //配置通往ISP2的靜態(tài)路由
[LSW2]
[LSW2]quit      //退出系統(tǒng)配置視圖朱灿，返回用戶視圖
<LSW2>save      //保存配置
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Now saving the current configuration to the slot 0.
Save the configuration successfully.
<LSW2>

(5) 配置防火墻的接口

分別為防火墻的各個(gè)接口配置IP地址昧识，網(wǎng)關(guān)，允許ping

<USG6000V1>system-view  //進(jìn)入系統(tǒng)視圖
Enter system view, return user view with Ctrl+Z.
[USG6000V1]info-center disable  //關(guān)閉信息提示
Info: Information center is disabled.
[USG6000V1]sysname FW1  //修改設(shè)備名稱
[FW1]
[FW1]interface GigabitEthernet 1/0/1    //進(jìn)入GE1/0/1接口
[FW1-GigabitEthernet1/0/1]ip address 192.168.10.1 24    //配置接口的IP地址
[FW1-GigabitEthernet1/0/1]gateway 192.168.10.254        //配置接口網(wǎng)關(guān)
[FW1-GigabitEthernet1/0/1]service-manage ping permit    //允許PING
[FW1-GigabitEthernet1/0/1]quit      //退出接口配置視圖盗扒，返回系統(tǒng)視圖
[FW1]   
[FW1]interface GigabitEthernet 1/0/2    //進(jìn)入GE1/0/2接口
[FW1-GigabitEthernet1/0/2]ip address 10.1.1.1 24    //配置接口的IP地址
[FW1-GigabitEthernet1/0/2]gateway 10.1.1.254        //配置接口網(wǎng)關(guān)
[FW1-GigabitEthernet1/0/2]service-manage ping permit    //允許PING
[FW1-GigabitEthernet1/0/2]quit      //退出接口配置視圖滞诺，返回系統(tǒng)視圖
[FW1]
[FW1]interface GigabitEthernet 1/0/3    //進(jìn)入GE1/0/2接口
[FW1-GigabitEthernet1/0/3]ip address 10.2.2.1 24    //配置接口的IP地址
[FW1-GigabitEthernet1/0/3]gateway 10.2.2.254        //配置接口網(wǎng)關(guān)
[FW1-GigabitEthernet1/0/3]service-manage ping permit    //允許PING
[FW1-GigabitEthernet1/0/3]quit      //退出接口配置視圖，返回系統(tǒng)視圖
[FW1]

防火墻的接口加入到相應(yīng)的安全域中

[FW1]
[FW1]firewall zone trust    //進(jìn)入安全域trust配置
[FW1-zone-trust]add interface GigabitEthernet 1/0/1     //把GE1/0/1加入安全域
[FW1-zone-trust]quit    //退出安全域配置視圖环疼，返回系統(tǒng)視圖
[FW1]
[FW1]
[FW1]firewall zone name untrust //進(jìn)入安全域untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2       //把GE1/0/2加入安全域
[FW1-zone-untrust]add interface GigabitEthernet 1/0/3       //把GE1/0/3加入安全域
[FW1-zone-untrust]quit  //退出安全域配置視圖习霹，返回系統(tǒng)視圖
[FW1]

(6) 配置IP-Link

IP-Link，即鏈路可達(dá)性檢查炫隶，通過(guò)FW定時(shí)地向指定的目的IP進(jìn)行ICMP回顯請(qǐng)求或ARP請(qǐng)求淋叶，并等待應(yīng)答。

[FW1]
[FW1]ip-link check enable   //啟用IP-Link鏈路檢查
[FW1]ip-link name link_isp1 //創(chuàng)建名為link_isp1的檢查
[FW1-iplink-link_isp1]destination 10.1.1.2 interface GigabitEthernet 1/0/2 mode icmp 
[FW1-iplink-link_isp1]      //檢查目的地為10.1.1.2伪阶，通過(guò)GE1/0/2煞檩，使用ICMP報(bào)文
[FW1-iplink-link_isp1]quit  //退出配置視圖，返回系統(tǒng)視圖
[FW1]
[FW1]ip-link name link_isp2 //創(chuàng)建名為link_isp2的檢查
[FW1-iplink-link_isp2]destination 10.2.2.2 interface GigabitEthernet 1/0/3 mode icmp 
[FW1-iplink-link_isp2]      //檢查目的地為10.2.2.2栅贴，通過(guò)GE1/0/3斟湃，使用ICMP報(bào)文
[FW1-iplink-link_isp2]quit
[FW1]
[FW1]ip route-static 10.66.66.0 24 10.1.1.2 track ip-link link_isp1     //綁定靜態(tài)路由
[FW1]ip route-static 10.66.66.0 24 10.2.2.2 track ip-link link_isp2     //綁定靜態(tài)路由
[FW1]ip route-static 192.168.10.0 24 192.168.10.254         //通往內(nèi)網(wǎng)的靜態(tài)路由
[FW1]

(7) 配置防火墻的安全策略

為防火墻的安全域之間的訪問(wèn)設(shè)置安全策略

[FW1]
[FW1]security-policy    //進(jìn)入安全策略配置視圖
[FW1-policy-security]rule name lan_wan      //創(chuàng)建安全規(guī)則
[FW1-policy-security-rule-lan_wan]source-zone trust     //設(shè)置源安全域
[FW1-policy-security-rule-lan_wan]destination-zone untrust      //設(shè)置目的安全域
[FW1-policy-security-rule-lan_wan]action permit     //允許匹配規(guī)則的流量通過(guò)
[FW1-policy-security-rule-lan_wan]quit      //退出規(guī)則視圖，返回安全策略視圖
[FW1-policy-security]
[FW1-policy-security]rule name iplink_check     //創(chuàng)建安全規(guī)則
[FW1-policy-security-rule-iplink_check]source-zone local    //設(shè)置源安全域
[FW1-policy-security-rule-iplink_check]destination-zone untrust     //設(shè)置目的安全域
[FW1-policy-security-rule-iplink_check]action permit    //允許匹配規(guī)則的流量通過(guò)
[FW1-policy-security-rule-iplink_check]quit     //退出規(guī)則視圖檐薯，返回安全策略視圖
[FW1-policy-security]quit       //退出安全策略配置視圖凝赛，返回系統(tǒng)視圖
[FW1]
[FW1]

(8) 測(cè)試

使用命令 display ip-link

（七）參考資料

華為模擬器eNSP軟件，
華為模擬器eNSP社區(qū)坛缕，
HCNA-Security 華為認(rèn)證網(wǎng)絡(luò)安全工程師墓猎，
HCNP-Security 華為認(rèn)證網(wǎng)絡(luò)安全資深工程師，
HUAWEI USG6000V V500R001C10SPC100 典型配置案例赚楚，
HUAWEI USG6000V V500R001C10SPC100 管理員指南毙沾，
HUAWEI USG6000V V500R001C10SPC100 命令參考 ，
華為ICT相關(guān)的英文簡(jiǎn)稱 宠页。

PS: 文檔由燉冬瓜用Markdown語(yǔ)言編寫(xiě)左胞，輸出PDF或HTML。
燉冬瓜 一枚混跡挨踢江湖十載有余的吃貨举户，好吃懶做烤宙，成功的從絲瓜進(jìn)階為冬瓜。