下载文档原格式
双机部署注意事项硬件限制1.只支持两台设备做双机。
2.主备设备产品硬件型号相同,比如要求相同的板卡数量,接口卡位置,版本型号,licensen。
3.为防止业务异常,对于USG9500系列设备,在两个主控板都被拔出或故障时,需要将设备下电或将所有的接口板拔出。
软件限制1.主备设备的软件版本必须一致2.主备设备的Bootrom版本必须一致3.双机热备组网中,主备设备之间每24小时会进行一次配置一致性检查,要求主备设备上配置必须完全一致,比如安全策略,NAT策略,带宽策略,策略路由等。
4.建议实施主备设备部署时,配置文件均为初始文件。
5.主备设备需要选择相同的业务接口和心跳口,对应接口必须加入相同的安全区域。
6.配置了vrrp virtual-mac enable命令的接口不能作为心跳口,心跳口的MTU值必须是缺省值1500。
7.主备设备业务接口的IP地址必须固定,因此双机热备特性不能与PPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。
场景一上行路由器ospf协议,下行交换机vrrp协议1.为实现快速切换在主防火墙上下行接口应加入同一个link-group2.配置nat地址池静态黑洞路由,引入到ospf进行发布3.开启hrp快速备份功能4.为提高心跳接口高可靠性(a.配置多心跳口 b.配置E-Trunk,逐包转发load-balance src-dst-ip),主备防火墙心跳接口之间如果有三层设备(如路由器),配置时应带remote参数,同时放行心跳接口所在安全区域和local之间的安全策略。
主备防火墙接口推荐直连,配置时不用带remote 参数,不用放行安全策略。
5.主墙上业务端口配置hrp track active,备墙业务接口上配置hrp trackstandby,主墙下业务端口配置vrrp vrid 1 virtual-ip x.x.x.x active,备墙下业务端口配置vrrp vrid 1 virtual-ip x.x.x.x standby。
IPSec VPN配置案例经过上一篇文章的介绍,相信大家对IPSec VPN有了初步的认识。
光说不练,对知识点掌握不够牢固。
今天通过一个IPSec VPN配置来加深理解。
拓扑说明Site1和Site2模拟企业的边界路由,同时Site1和Site2上的ge0/0/0端口上的IP是公网IP,在承载网中是可路由的。
分支机构Site1要有通过Site2的路由,同理,Site2也要有通过Site1的路由。
这是配置IPSec VPN的前提基本配置1、把各个路由端口配置对应的IP。
以Site1为例,其他类似。
<Huawei>system-view[Huawei]sysname Site1[Site1]interface GigabitEthernet 0/0/0[Site1-GigabitEthernet0/0/0]ip address 61.128.1.1 24[Site1-GigabitEthernet0/0/0]q[Site1]interface GigabitEthernet 0/0/2[Site1-GigabitEthernet0/0/2]ip address 172.16.1.254 242、分别在Site1和Site2上配置默认路由。
3、验证分支Site1和Site2连通性。
IPSec VPN配置1、分别在site1和site2配置ACL识别兴趣流。
因为部分流量无需满足完整性和机密性要求,所以需要对流量进行过滤,选择出需要进行IPSec处理的兴趣流。
可以通过配置ACL来定义和区分不同的数据流。
2、配置IPSec安全提议。
缺省情况下,使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法和隧道封装模式。
在IPSec提议视图下执行下列命令可以修改这些参数。
1. 执行transform [ah | ah-esp | esp]命令,可以重新配置隧道采用的安全协议。
SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。
双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置: (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式+主备模式 (9)4.3.2 透明模式+负载分担模式 (14)4.3.3 路由模式+主备模式 (17)4.3.4 路由模式+负载分担模式 (19)4.3.5 路由模式+主备模式+支持非对称路径 (21)4.3.6 路由模式+负载分担模式+支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。
双机热备与ipsec结合使用解释说明嘿,你知道吗?双机热备和 IPSec 这俩家伙,就像是一对默契十足
的好搭档!双机热备呢,就好比是一个随时准备替补上场的超级候补
队员。
比如说吧,你的主服务器突然“生病”了,不能工作了,这时候
双机热备就会立刻冲上去,保证系统还能正常运行,是不是很厉害?
而 IPSec 呢,它就像是给你的数据穿上了一层坚固的铠甲!它能把
你的数据保护得好好的,让它们在网络世界里安全地“旅行”。
那要是把双机热备和 IPSec 结合起来使用,哇塞,那可不得了!这
就好像是一支强大的军队,既有勇猛的前锋在前方冲锋陷阵,又有坚
固的后盾保障一切。
想象一下,你的系统正在稳定地运行着,双机热备在一旁默默守护,随时准备应对突发状况。
而 IPSec 则把所有的数据都保护得严严实实,不让任何外界的威胁有可乘之机。
这不就是我们最想要的那种安全又
可靠的状态吗?
你看啊,要是只有双机热备,虽然能保证系统不停机,但数据的安
全呢?要是没有 IPSec 的保护,那不是很容易被攻击?反过来,只有IPSec 也不行啊,系统万一出问题了咋办?所以啊,它们俩结合起来,
那才是真正的完美!
我就觉得,双机热备和 IPSec 结合使用,真的是太重要了!它们能让我们的系统既稳定又安全,这难道不是我们一直追求的吗?难道你不想让你的系统也拥有这样强大的保障吗?。
防火墙双机热备配置及组网指导防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。
防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。
HRP命令行配置说明HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。
HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP 是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。
不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。
在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。
两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。
防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。
IPSec与防火墙配合:实现多层次的网络安全随着互联网的普及和发展,网络安全问题日益凸显。
为保护网络系统免受攻击和入侵,许多组织和个人已经采取了多种安全措施。
其中,IPSec与防火墙的配合应用,为实现多层次的网络安全提供了有效的解决方案。
一、IPSec的概述IPSec(Internet Protocol Security)是一种网络安全协议,用于保护网络通信的数据传输。
它通过加密和认证技术,确保数据在传输过程中的机密性、完整性和可用性。
IPSec采用了一系列的协议和算法,包括加密算法、认证协议和密钥管理协议等,以提供安全的IP层通信。
二、防火墙的作用防火墙是网络安全的第一道防线,主要用于监控和控制网络流量。
它可以过滤传入和传出的数据包,根据设定的规则阻止恶意流量,从而保护网络免受未经授权的访问、病毒、攻击和其他安全威胁。
防火墙通过访问控制列表(ACL)和网络地址转换(NAT)等技术,对进出的数据包进行筛选和修改。
三、IPSec与防火墙的协同作用1. 加密数据传输IPSec可以通过加密算法对数据进行加密,保护数据在传输过程中的机密性。
防火墙则负责监控数据包的流量,在数据进出防火墙时进行解密和加密的处理。
通过IPSec与防火墙的协同作用,可以确保数据在公共网络中的传输是安全的。
2. 认证通信双方IPSec可以使用认证协议对通信双方进行认证,防止恶意用户伪装成合法用户进行网络攻击。
防火墙可以配合IPSec的认证功能,对通信发起者的身份进行验证。
只有通过验证的用户才能通过防火墙进行访问,提高了网络系统的安全性。
3. 密钥管理与策略控制IPSec中的密钥管理协议可以确保通信双方之间的密钥安全。
防火墙通过与IPSec连接,可以实现对密钥的分发和更新。
同时,防火墙还可以根据策略进行流量控制,根据网络环境的需求和安全策略的配置,对数据包的进出进行管理和筛选。
四、多层次的网络安全保障IPSec与防火墙的配合应用,实现了多层次的网络安全保障。
IPSec使用方法:配置和启用IPSec的步骤详解IPSec(Internet Protocol Security)是一种常用的网络安全协议,用于保护网络通信的安全性和完整性。
通过对数据进行加密和认证,IPSec确保了数据在网络传输过程中的保密性和防篡改能力。
本文将详细介绍IPSec的配置和启用步骤,帮助读者了解如何使用IPSec 来保护网络通信的安全。
一、IPSec的概述IPSec协议是在网络层实现的安全协议,它通过对IP数据包进行加密和认证,确保数据在传输过程中的安全性。
IPSec使用了多种加密和认证算法,如DES、3DES、AES等,同时还支持两种模式:传输模式和隧道模式。
传输模式适用于通信双方在同一网络中,而隧道模式则适用于需要跨越不同网络的通信。
二、IPSec的配置步骤以下是IPSec的配置步骤:1. 确定加密和认证算法:首先,需要确定使用哪种加密和认证算法来保护通信。
常用的算法有DES、3DES和AES,认证算法可以选择MD5或SHA。
2. 配置密钥管理:IPSec需要使用密钥来进行加密和认证,因此需要配置密钥管理。
可以选择手动配置密钥,也可以使用自动密钥交换协议(IKE)来自动分发密钥。
3. 配置安全策略:安全策略定义了哪些流量需要被保护,以及如何进行保护。
可以根据需要定义多个安全策略,每个策略可以有不同的加密和认证算法。
4. 配置IPSec隧道:如果需要跨越不同网络的通信,需要配置IPSec隧道。
隧道配置包括隧道模式、本地和远程网关地址,以及相应的加密和认证算法。
5. 启用IPSec:完成配置后,需要启用IPSec来保护通信。
启用IPSec的方式可以是在路由器或网络防火墙上配置相应的规则,也可以在主机上使用IPSec客户端软件。
三、IPSec的启用步骤以下是IPSec的启用步骤:1. 检查设备支持:首先,需要检查网络设备是否支持IPSec。
大多数现代路由器、防火墙和操作系统都已经支持IPSec,但仍需确保设备支持。
《防火墙技术》课程期末考试复习题-理论部分1、防火墙的安全规则由匹配条件和处理方式两部分组成。
当网络流量与当前的规则匹配时,就必须采用规则中的处理方式进行处理。
其中,拒绝数据包或信息通过,并且通知信息源该信息被禁止的处理方式是()。
A RefuseB Reject(正确答案)C AcceptD Drop2、下列关于防火墙功能的说法最准确的是:()A、内容控制B、访问控制(正确答案)C、查杀病毒D、数据加密3、在IPSec中,使用IKE建立通道时,使用的端口号是()A、TCP 50B、UDP 50C、TCP 500D、UDP 500(正确答案)4、对于防火墙域间安全策略,下面描述正确的是()A、域间outbound方向安全策略可以全部放开B、防火墙域间可以配置缺省包过滤,即允许所有的流量通过C、域间inbound方向安全策略可以全部放开D、禁止使用缺省包过滤,域间要配置严格的包过滤策略;若要使用缺省包过滤,需得到客户书面授权。
(正确答案)5、最简单的防火墙结构是()A、包过滤器B、路由器(正确答案)C、日志工具D、代理服务器6、网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的()属性A、不可否认性B、可用性C、保密性D、完整性(正确答案)7、IPSec 协议中涉及到密钥管理的重要协议是()A、ESPB、IKE(正确答案)C、AHD、SSL8、以下关于VPN 说法正确的是()A、指的是用户通过公用网络建立的临时的、安全的连接(正确答案)B、指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路C、不能做到信息验证和身份认证D、只能提供身份认证、不能提供加密数据的功能9、PKI 所管理的基本元素是()A、密钥B、数字签名C、用户身份D、数字证书(正确答案)10、在企业内部网与外部网之间,用来检查网络请求分组是否合法,保护网络资源不被非法使用的技术是()。
A、差错控制技术B、防病毒技术C、流量控制技术D、防火墙技术(正确答案)11、包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何处。
论坛的小伙伴们,大家好。
强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。
说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。
但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢?本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。
【组网需求】如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。
(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10)现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。
当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。
【需求分析】针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态?两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。
如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。
2、分支与总部之间如何建立IPSec隧道?正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。
当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。
3、总部的两台防火墙如何对流量进行引导?总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。
【配置步骤】这个想法很好,但是如何实现呢?我们可以在NGFW_C上创建两个tunnel接口,然后在tunnel1上与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道。
同理在NGFW_D的tunnel1上与NGFW_A建立一条备份隧道,在tunnel2上与NGFW_B建立一条主用隧道。
这里需要注意的是NGFW_C上的tunnel1(tunnel2)地址需要与NGFW_D上的tunnel1(tunnel2)地址保持一致。
我想这时小伙伴们又要问为什么了?这样做的好处是在NGFW_A上只需要与对端的tunnel1接口建立隧道即可,NGFW_A不用去关心这个tunnel1是NGFW_C还是NGFW_D的(因为他们的IP是一致的)。
同理NGFW_B只需要与对端的tunnel2接口建立隧道即可。
1)定义受IPSec VPN保护的数据流。
HRP_A[NGFW_C] acl 3005HRP_A[NGFW_C-acl-adv-3005] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.00.0.0.255HRP_A[NGFW_C-acl-adv-3005] quitHRP_A[NGFW_C] acl 3006HRP_A[NGFW_C-acl-adv-3006] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.4.00.0.0.255HRP_A [NGFW_C-acl-adv-3006] quit【强叔点评】ACL3005定义的是总部与分支A之间的流量,ACL3006定义的是总部与分支B之间的流量。
2)配置IPSec安全提议。
【强叔点评】如果创建IPSec安全提议后,不进行任何配置,则IPSec安全提议使用默认参数。
本案例中使用默认参数,小伙伴们可以根据自己的实际安全需求修改IPSec安全提议中的参数。
HRP_A[NGFW_C] ipsec proposal tran1HRP_A[NGFW_C-ipsec-proposal-tran1] quit3)配置IKE安全提议。
本案例中使用IKE安全提议的默认参数。
HRP_A[NGFW_C] ike proposal 10HRP_A[NGFW_C-ike-proposal-10] quit4)配置两个IKE对等体,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C] ike peer ngfw_aHRP_A[NGFW_C-ike-peer-ngfw_a] ike-proposal 10HRP_A[NGFW_C-ike-peer-ngfw_a] remote-address 1.1.1.1HRP_A[NGFW_C-ike-peer-ngfw_a] pre-shared-key Admin@123HRP_A[NGFW_C-ike-peer-ngfw_a] quitHRP_A[NGFW_C] ike peer ngfw_bHRP_A[NGFW_C-ike-peer-ngfw_b] ike-proposal 10HRP_A[NGFW_C-ike-peer-ngfw_b] remote-address 1.1.2.1HRP_A[NGFW_C-ike-peer-ngfw_b] pre-shared-key Admin@123HRP_A[NGFW_C-ike-peer-ngfw_b] quit5)配置两个IPSec策略,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C] ipsec policy map1 10 isakmpHRP_A[NGFW_C-ipsec-policy-isakmp-map1-10] security acl 3005HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10] proposal tran1HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10] ike-peer ngfw_aHRP_A[NGFW_C-ipsec-policy-isakmp-map1-10] quitHRP_A[NGFW_C] ipsec policy map2 10 isakmpHRP_A[NGFW_C-ipsec-policy-isakmp-map2-10] security acl 3006HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10] proposal tran1HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10] ike-peer ngfw_bHRP_A[NGFW_C-ipsec-policy-isakmp-map2-10] quit6)配置在Tunnel接口上应用IPSec策略。
【强叔点评】之前点评中提到我们需要在NGFW_C的tunnel1上与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道,这是通过在应用IPSec策略时设定active或standby 参数来实现的。
HRP_A[NGFW_C] interface Tunnel 1HRP_A[NGFW_C-Tunnel1] ipsec policy map1 activeHRP_A[NGFW_C-Tunnel1] quitHRP_A[NGFW_C] interface Tunnel 2HRP_A[NGFW_C-Tunnel2] ipsec policy map2 standbyHRP_A[NGFW_C-Tunnel2] quit7)在NGFW_D上配置IPSec。
双机热备状态成功建立后,NGFW_C上配置的ACL、IPSec策略(包括其中的IPSec 安全提议,IKE对等体)等都会自动备份到NGFW_D上。
只有在接口上应用IPSec 策略的配置不会备份,需要在此手动配置。
HRP_S[NGFW_D] interface Tunnel 1HRP_S[NGFW_D-Tunnel1] ipsec policy map1 standbyHRP_S[NGFW_D-Tunnel1] quitHRP_S[NGFW_D] interface Tunnel 2HRP_S[NGFW_D-Tunnel2] ipsec policy map2 activeHRP_S[NGFW_D-Tunnel2] quit8)在NGFW_A和NGFW_B上配置IPSec。
NGFW_A和NGFW_B的配置比较简单,就是一个点到点方式的IPSec配置。
只要将NGFW_A的IPSec隧道Remote Address配置为Tunnel1接口的IP地址;NGFW_B的IPSec隧道Remote Address配置为Tunnel2接口的IP地址就行了。
受篇幅所限,强叔就不详细讲了。
3、配置路由和路由策略。
双机热备和IPSec配置完成后,只要再保证NGFW_A与Tunnel1接口的路由可达,就可以成功建立IPSec隧道了。
但这时一个新的问题又出现了,那就是流量到达Router1后不知道是该送往NGFW_C 还是NGFW_D的Tunnel1接口了,如下图所示。
而且我们还面临另外一个问题,那就是如何确保NGFW_A的回程流量能够回到NGFW_A呢?回程流量到达Router2后不知道是该发给NGFW_C还是NGFW_D。
小伙伴们别急,强叔还是有办法的,那就是通过路由策略来实现。
1)首先我们需要定义三条数据流,一条匹配来自分支A的去和回的流量:HRP_A[NGFW_C] acl 2000HRP_A[NGFW_C-acl-basic-2000] rule permit source 2.2.4.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2000] rule permit source 10.1.3.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2000] quit一条匹配分支B的去和回的流量:HRP_A[NGFW_C] acl 2001HRP_A[NGFW_C-acl-basic-2001] rule permit source 2.2.5.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2001] rule permit source 10.1.4.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2001] quit第三条匹配来自分支A和B的去和回的流量:HRP_A[NGFW_C] acl 2002HRP_A[NGFW_C-acl-basic-2002] rule permit source 2.2.4.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2002] rule permit source 10.1.3.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2002] rule permit source 2.2.5.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2002] rule permit source 10.1.4.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2002] quit2)然后我们需要配置几条路由策略,实现以下效果。
