当前位置：首页 > news >正文

华为USG防火墙双机，但ISP只给了1个IP，怎么办？

news 2025/8/14 21:32:56

华为USG防火墙双机，但ISP只给了1个IP，怎么办？
华为USG双机使用VRRP，需要3个Ip

本次联通只给了 100.1.1.0/30 这一个互联段
联通侧用了100.1.1.1，我们这一侧只有100.1.1.2

怎么办？

找联通多要几个Ip，让他们给/29的地址段。但联通不给
在这里插入图片描述

与华为厂家沟通得知，可以使用另1种方法：虚假实IP，虚拟真IP
一句话：接口下配置内网IP，或随意的Ip，Vrrp VIP使用那1个联通的公网IP

实地址我们用 169.254.1.1 和 169.254.1.2

1 配置方法

1.1 USG -1

interface GE0/0/1description ChinaUnicomip address 169.254.1.1 255.255.255.0vrrp vrid 10 virtual-ip 100.1.1.2 255.255.255.252 active

1.2 USG -2

interface GE0/0/1description ChinaUnicomip address 169.254.1.2 255.255.255.0vrrp vrid 10 virtual-ip 100.1.1.2 255.255.255.252 Standby

2 测试

配置完成，测试，从USG上ping联通IP
ping 100.1.1.1 ，失败
为何？
因为带的源Ip是 169.254.1.1，这个地址到对端根本不理

那怎么实现？带source Ip ping, 即带上vrrp vip为源

USG-1>ping -a 100.1.1.2  100.1.1.1
Warning: The specified source address is not a local address, the ping command will not check the network connection.PING 100.1.1.1: 56  data bytes, press CTRL_C to breakReply from 100.1.1.1: bytes=56 Sequence=1 ttl=255 time=22 msReply from 100.1.1.1: bytes=56 Sequence=2 ttl=255 time=21 msReply from 100.1.1.1: bytes=56 Sequence=3 ttl=255 time=20 msReply from 100.1.1.1: bytes=56 Sequence=4 ttl=255 time=20 msReply from 100.1.1.1: bytes=56 Sequence=5 ttl=255 time=20 ms--- 100.1.1.1 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 20/20/22 ms

3 检查2台墙的VRRP状态

3.1 USG-1

HRP_M<USG-1> display vrrp
2025-08-08 10:59:39.339 
Type:N: NormalA: AdministratorM: MemberL: Load-BalanceLM: Load-Balance-MemberV: Vgmp
Total:3     Master:2    Backup:0    Non-active:1    
VRID State       Interface               Type    Virtual IP
----------------------------------------------------------------10 Master      GE0/0/1                 V       100.1.1.1

3.2 USG-2

HRP_B<USG-2> display vrrp
2025-08-08 18:32:11.393 
Type:N: NormalA: AdministratorM: MemberL: Load-BalanceLM: Load-Balance-MemberH: Hrp
Total:3     Master:0    Backup:3    Non-active:0    
VRID State       Interface               Type    Virtual IP
----------------------------------------------------------------10 Backup      GE0/0/1                 H       100.1.1.1

到这里并没有真正结束，还存在1个问题，内部上网怎么办？
SNAT的转换后IP，又不能是接口IP，这nat怎么配置？
方法：转换后的Ip调用address-group实现
配置：

ip address-set 10.0.0.0_8 type objectaddress 0 10.0.0.0 mask 8
#
ip address-set obj-100.1.1.1 type objectaddress 0 100.1.1.1 mask 32
#rule name inside-to-Internetdescription  inside-to-Internetsource-zone trustsource-address address-set 10.0.0.0_8destination-address anyaction source-nat address-group obj-100.1.1.1
#

查看全文

http://www.dtcms.com/a/320806.html