热门标签
热门文章
- 1红帽子redhat linux 9.0官方下载地址,附MD5校验码_rhel9下载
- 2做人做事系列必读_积极做人,主动做事
- 3CNN入门+猫狗大战(Dogs vs. Cats)+PyTorch入门_dogs vs cats
- 4Windows 10 配置Git 环境变量(还有:安装git后,鼠标右键没有“git bush here”)_安装了git,但是右键没有
- 5注意力机制是否比矩阵分解更好?——IS ATTENTION BETTER THAN MATRIX DECOMPOSITION?
- 6CSDN如何创建社区,进入社区,发布帖子
- 7软考-系统集成项目管理中级-信息化知识_信息系统项目管理中级
- 8win10系统gpu本地部署chatglm3-6b,从0开始安装
- 9林子雨—大数据技术原理与应用—上机实验二_林子雨大数据实验报告
- 10经典文章:卷积神经网络的运作原理
当前位置: article > 正文
华为防火墙策略路由旁路部署_华为防火墙部署ospf旁挂模式
作者:Cpp五条 | 2024-04-18 21:28:36
赞
踩
华为防火墙部署ospf旁挂模式
配置策略路由(引流到旁挂防火墙)示例
为了保证企业内网的安全,通过配置策略路由将外网到内网的全部流量引流防火墙进行安全检测。
组网需求
如图1所示,某公司由于业务需要,用户有访问Internet的需求。用户通过核心交换机SwitchA以及接入网关Router与Internet进行通信。
为了保证公司网络的安全性,将所有进入公司内网的流量引入到旁挂防火墙进行安全检测后再进入公司内部网络。
配置思路
- 配置各接口IP地址,并在交换机和防火墙之间配置路由协议,保证路由可达。
- 在SwitchA上配置策略路由,将所有外网进入内网的流量重定向到防火墙上进行安全检测。
说明:
本案例只介绍交换机的配置,防火墙的配置请参见相关手册。
操作步骤
- 配置SwitchA和防火墙各接口IP地址和路由
# 配置SwitchA各接口IP地址。缺省情况下,交换机的接口为二层接口,在配置IP地址之前,请先使用undo portswitch命令将接口切换为三层接口。
- <HUAWEI> system-view
- [HUAWEI] sysname SwitchA
- [SwitchA] interface gigabitethernet 1/0/1
- [SwitchA-GigabitEthernet1/0/1] undo portswitch
- [SwitchA-GigabitEthernet1/0/1] ip address 10.1.1.2 24
- [SwitchA-GigabitEthernet1/0/1] quit
- [SwitchA] interface gigabitethernet 1/0/2
- [SwitchA-GigabitEthernet1/0/2] undo portswitch
- [SwitchA-GigabitEthernet1/0/2] ip address 10.1.20.1 24
- [SwitchA-GigabitEthernet1/0/2] quit
- [SwitchA] interface gigabitethernet 1/0/3
- [SwitchA-GigabitEthernet1/0/3] undo portswitch
- [SwitchA-GigabitEthernet1/0/3] ip address 10.1.10.6 24
- [SwitchA-GigabitEthernet1/0/3] quit
- [SwitchA] interface gigabitethernet 1/0/4
- [SwitchA-GigabitEthernet1/0/4] undo portswitch
- [SwitchA-GigabitEthernet1/0/4] ip address 10.1.11.6 24
- [SwitchA-GigabitEthernet1/0/4] quit
# 在SwitchA上配置路由协议,保证三层互通,这里选取OSPF协议。
防火墙上一般会配置两个OSPF进程分别发布上行和下行的网段,所以在SwitchA上也需要配置两个OSPF进程。
- [SwitchA] ospf 100
- [SwitchA-ospf-100] area 0
- [SwitchA-ospf-100-area-0.0.0.0] network 10.1.1.0 0.0.0.255
- [SwitchA-ospf-100-area-0.0.0.0] network 10.1.10.0 0.0.0.255
- [SwitchA-ospf-100-area-0.0.0.0] quit
- [SwitchA-ospf-100] quit
- [SwitchA] ospf 200
- [SwitchA-ospf-200] area 0
- [SwitchA-ospf-200-area-0.0.0.0] network 10.1.11.0 0.0.0.255
- [SwitchA-ospf-200-area-0.0.0.0] network 10.1.20.0 0.0.0.255
- [SwitchA-ospf-200-area-0.0.0.0] quit
- [SwitchA-ospf-200] quit
- 在SwitchA上配置策略路由,将所有外网进入内网的流量重定向到防火墙进行安全检测
# 配置流分类,匹配所有流量。
# 配置流行为,将匹配到的流量重定向到防火墙,下一跳IP地址为10.1.10.5。- [SwitchA] traffic classifier c1
- [SwitchA-classifier-c1] if-match any
- [SwitchA-classifier-c1] quit
# 配置流策略。- [SwitchA] traffic behavior b1
- [SwitchA-behavior-b1] redirect ip-nexthop 10.1.10.5
- [SwitchA-behavior-b1] quit
# 在SwitchA的GigabitEthernet1/0/1入方向应用流策略。- [SwitchA] traffic policy p1
- [SwitchA-trafficpolicy-p1] classifier c1 behavior b1
- [SwitchA-trafficpolicy-p1] quit
- [SwitchA] interface gigabitethernet 1/0/1
- [SwitchA-GigabitEthernet1/0/1] traffic-policy p1 inbound
- [SwitchA-GigabitEthernet1/0/1] quit
- [SwitchA] quit
- 验证配置结果
# 查看流分类的配置信息。
- <SwitchA> display traffic classifier user-defined c1
- User Defined Classifier Information:
- Classifier: c1
- Precedence: 5
- Operator: OR
- Rule(s) : if-match any
# 查看流行为的配置信息。
- <SwitchA> display traffic behavior user-defined b1
- User Defined Behavior Information:
- Behavior: b1
- Permit
- Redirect: no forced
- Redirect ip-nexthop
- 10.1.10.5
# 查看流策略的配置信息。
- <SwitchA> display traffic policy user-defined p1
- User Defined Traffic Policy Information:
- Policy: p1
- Classifier: c1
- Operator: OR
- Behavior: b1
- Permit
- Redirect: no forced
- Redirect ip-nexthop
- 10.1.10.5
# 查看流策略的应用信息。
- <SwitchA> display traffic-policy applied-record
- #
- -------------------------------------------------
- Policy Name: p1
- Policy Index: 0
- Classifier:c1 Behavior:b1
- -------------------------------------------------
- *interface GigabitEthernet1/0/1
- traffic-policy p1 inbound
- slot 1 : success
- -------------------------------------------------
- Policy total applied times: 1.
- #
配置文件
SwitchA的配置文件
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Cpp五条/article/detail/448291
推荐阅读
相关标签
