为了保证企业内⽹的安全,通过配置策略路由将外⽹到内⽹的全部流量引流防⽕墙进⾏安全检测。 组⽹需求
如所⽰,某公司由于业务需要,⽤户有访问Internet的需求。⽤户通过核⼼交换机SwitchA以及接⼊⽹关Router与Internet进⾏通信。
为了保证公司⽹络的安全性,将所有进⼊公司内⽹的流量引⼊到旁挂防⽕墙进⾏安全检测后再进⼊公司内部⽹络。
图12-3 配置策略路由(引流到旁挂防⽕墙)组⽹图
配置思路
配置各接⼝IP地址,并在交换机和防⽕墙之间配置路由协议,保证路由可达。
在SwitchA上配置策略路由,将所有外⽹进⼊内⽹的流量重定向到防⽕墙上进⾏安全检测。
说明:
本案例只介绍交换机的配置,防⽕墙的配置请参见相关⼿册。
操作步骤
1. 配置SwitchA和防⽕墙各接⼝IP地址和路由
# 配置SwitchA各接⼝IP地址。缺省情况下,交换机的接⼝为⼆层接⼝,在配置IP地址之前,请先使⽤undo portswitch命令将接⼝切换为三层接⼝。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] undo portswitch
[SwitchA-GigabitEthernet1/0/1] ip address 10.1.1.2 24
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] undo portswitch
[SwitchA-GigabitEthernet1/0/2] ip address 10.1.20.1 24
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] undo portswitch
[SwitchA-GigabitEthernet1/0/3] ip address 10.1.10.6 24
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface gigabitethernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] undo portswitch
[SwitchA-GigabitEthernet1/0/4] ip address 10.1.11.6 24
[SwitchA-GigabitEthernet1/0/4] quit
# 在SwitchA上配置路由协议,保证三层互通,这⾥选取OSPF协议。
防⽕墙上⼀般会配置两个OSPF进程分别发布上⾏和下⾏的⽹段,所以在SwitchA上也需要配置两个OSPF进程。
[SwitchA] ospf 100
[SwitchA-ospf-100] area 0
[SwitchA-ospf-100-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[SwitchA-ospf-100-area-0.0.0.0] network 10.1.10.0 0.0.0.255
菊花链逻辑[SwitchA-ospf-100-area-0.0.0.0] quit
[SwitchA-ospf-100] quit
[SwitchA] ospf 200
[SwitchA-ospf-200] area 0
[SwitchA-ospf-200-area-0.0.0.0] network 10.1.11.0 0.0.0.255
[SwitchA-ospf-200-area-0.0.0.0] network 10.1.20.0 0.0.0.255
[SwitchA-ospf-200-area-0.0.0.0] quit
[SwitchA-ospf-200] quit
2. 在SwitchA上配置策略路由,将所有外⽹进⼊内⽹的流量重定向到防⽕墙进⾏安全检测
# 配置流分类,匹配所有流量。
[SwitchA] traffic classifier c1
[SwitchA-classifier-c1] if-match any
[SwitchA-classifier-c1] quit
# 配置流⾏为,将匹配到的流量重定向到防⽕墙,下⼀跳IP地址为10.1.10.5。
[SwitchA] traffic behavior b1
[SwitchA-behavior-b1] redirect ip-nexthop 10.1.10.5
[SwitchA-behavior-b1] quit
# 配置流策略。
[SwitchA] traffic policy p1
[SwitchA-trafficpolicy-p1] classifier c1 behavior b1
[SwitchA-trafficpolicy-p1] quit
# 在SwitchA的GigabitEthernet1/0/1⼊⽅向应⽤流策略。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] traffic-policy p1 inbound
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] quit
3. 验证配置结果
# 查看流分类的配置信息。
<SwitchA> display traffic classifier user-defined c1
User Defined Classifier Information:
Classifier: c1
Precedence: 5
Operator: OR
Rule(s) : if-match any
# 查看流⾏为的配置信息。
<SwitchA> display traffic behavior user-defined b1
User Defined Behavior Information: Behavior: b1
Permit
Redirect: no forced
Redirect ip-nexthop
10.1.10.5
# 查看流策略的配置信息。
<SwitchA> display traffic policy user-defined p1
User Defined Traffic Policy Information: Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
驳接头
Permit
Redirect: no forced
Redirect ip-nexthop
10.1.10.5
# 查看流策略的应⽤信息。
<SwitchA> display traffic-policy applied-record
#
-------------------------------------------------
Policy Name: p1
Policy Index: 0
Classifier:c1 Behavior:b1
-------------------------------------------------
颜料专用助剂*interface GigabitEthernet1/0/1
traffic-policy p1 inbound
slot 1 : success
手机模切机-------------------------------------------------
Policy total applied times: 1.
#
配置⽂件
SwitchA的配置⽂件
#
sysname SwitchA
#
traffic classifier c1 operator or precedence 5
if-match any
塑料围嘴
#
traffic behavior b1
医用洗手刷
permit
redirect ip-nexthop 10.1.10.5
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface GigabitEthernet1/0/1
undo portswitch
ip address 10.1.1.2 255.255.255.0 traffic-policy p1 inbound
#
interface GigabitEthernet1/0/2
undo portswitch
ip address 10.1.20.1 255.255.255.0
#
interface GigabitEthernet1/0/3
undo portswitch
ip address 10.1.10.6 255.255.255.0
#
interface GigabitEthernet1/0/4
undo portswitch
ip address 10.1.11.6 255.255.255.0
#
ospf 100
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.10.0 0.0.0.255
#
ospf 200
area 0.0.0.0
network 10.1.11.0 0.0.0.255
network 10.1.20.0 0.0.0.255 #
return
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议