華為CE交換機配置策略路由重定向到防火牆

適用產品和版本

CE12800/CE6800/CE5800系列產品V100R001C00或更高版本，CE12800E系列產品V200R002C50或更高版本，CE7800系列產品V100R003C00或者更高版本，CE8800系列產品V100R006C00或者更高版本。

組網需求

如圖2-47所示，某公司由於業務需要，業務區的伺服器有訪問Internet的需求。業務區的數據伺服器和視頻伺服器通過接入層交換機SwitchB和核心層交換機SwitchA接入出口網關Router與Internet進行通信。

為了保證伺服器到Internet和Internet到伺服器的流量的安全性，在核心交換機SwitchA旁掛一個防火牆，將所有流經SwitchA的流量通過策略路由重定向到防火牆，防火牆對流量進行過濾從而保證公司內外網路的安全性。

圖2-47配置策略路由的組網圖

表2-7列出了圖2-47上設備的基本網路規劃情況。

需求分析

出於安全性考慮，在SwitchA上旁掛一台核心防火牆USG，對流量進行安全過濾。

對伺服器到Internet的流量和Internet到伺服器的流量分別進行安全過濾。

操作步驟

SwitchB的配置，以CE5800系列為例

system-view

[~HUAWEI] sysname SwitchB //修改設備名稱為SwitchB

[~HUAWEI] commit

[~SwitchB] vlan batch 100 200 //在SwitchB上創建VLAN100和VLAN200

[~SwitchB] commit

[~SwitchB] interface 10ge 1/0/1 //進入SwitchB與SwitchA相連介面的視圖

[~SwitchB-10GE1/0/1] port link-type trunk //配置介面類型為Trunk

[~SwitchB-10GE1/0/1] port trunk allow-pass vlan 100 200 //將介面加入VLAN100和VLAN200，使VLAN100、VLAN200的報文都能通過

[~SwitchB-10GE1/0/1] quit

[~SwitchB] interface GE 1/0/2 //進入SwitchB與Data Server相連的介面的視圖

[~SwitchB-GE1/0/2] port default vlan 100 //介面類型預設為Access，允許VLAN100的報文通過

[~SwitchB-GE1/0/2] quit

[~SwitchB] interface GE 1/0/3 //進入SwitchB與Video Server相連的介面的視圖

[~SwitchB-GE1/0/3] port default vlan 200 //介面類型預設為Access，允許VLAN200的報文通過

[~SwitchB-GE1/0/3] quit

[~SwitchB] commit

SwitchA的配置，以CE12800系列為例

system-view

[~HUAWEI] sysname SwitchA //修改設備名稱為SwitchA

[~HUAWEI] commit

[~SwitchA] vlan batch 100 200 300 400 500 //在SwitchA上創建VLAN100、VLAN200、VLAN300、VLAN400和VLAN500

[~SwitchA] commit

[~SwitchA] interface 10ge 1/0/1 //進入SwitchA與SwitchB相連介面的視圖

[~SwitchA-10GE1/0/1] port link-type trunk //配置介面類型為Trunk

[~SwitchA-10GE1/0/1] port trunk allow-pass vlan 100 200 //將介面加入VLAN100和VLAN200，使VLAN100、VLAN200的報文都能通過

[~SwitchA-10GE1/0/1] quit

[~SwitchA] interface 10ge 1/0/2 //進入SwitchA與Router相連的介面的視圖

[~SwitchA-10GE1/0/2] port default vlan 500 //介面默認為Access類型，將介面加入VLAN500

[~SwitchA-10GE1/0/2] quit

[~SwitchA] interface 10ge 1/0/3 //進入SwitchA與核心防火牆相連的其中一個介面的視圖

[~SwitchA-10GE1/0/3] port default vlan 300 //介面默認為Access類型，將介面加入VLAN300

[~SwitchA-10GE1/0/3] quit

[~SwitchA] interface 10ge 1/0/4 //進入SwitchA與核心防火牆相連的另一個介面的視圖

[~SwitchA-10GE1/0/4] port default vlan 400 //介面默認為Access類型，將介面加入VLAN400

[~SwitchA-10GE1/0/4] quit

[~SwitchA] commit

[~SwitchA] interface vlanif 100

[~SwitchA-Vlanif100] ip address 192.168.1.1 24 //配置VLANIF100的IP地址為192.168.1.1，掩碼為24

[~SwitchA-Vlanif100] quit

[~SwitchA] interface vlanif 200

[~SwitchA-Vlanif200] ip address 192.168.2.1 24 //配置VLANIF200的IP地址為192.168.2.1，掩碼為24

[~SwitchA-Vlanif200] quit

[~SwitchA] interface vlanif 300

[~SwitchA-Vlanif300] ip address 192.168.3.1 24 //配置VLANIF300的IP地址為192.168.3.1，掩碼為24

[~SwitchA-Vlanif300] quit

[~SwitchA] interface vlanif 400

[~SwitchA-Vlanif400] ip address 192.168.4.1 24 //配置VLANIF400的IP地址為192.168.4.1，掩碼為24

[~SwitchA-Vlanif400] quit

[~SwitchA] interface vlanif 500

[~SwitchA-Vlanif500] ip address 192.168.10.1 24 //配置VLANIF500的IP地址為192.168.10.1，掩碼為24

[~SwitchA-Vlanif500] quit

[~SwitchA] commit

[~SwitchA] ip route-static 0.0.0.0 0.0.0.0 192.168.10.2 //配置預設路由，使伺服器能正常訪問Internet

[~SwitchA] commit

[~SwitchA] acl 3001 //創建ACL3001

[~SwitchA-acl4-advance-3001] rule 5 permit ip source 192.168.1.2 24 //配置ACL3001中的規則:源網段為192.168.1.0

[~SwitchA-acl4-advance-3001] rule 10 permit ip source 192.168.2.2 24 //配置ACL3001中的規則:源網段為192.168.2.0

[~SwitchA-acl4-advance-3001] commit

[~SwitchA-acl4-advance-3001] quit

[~SwitchA] traffic classifier c1 //創建流分類c1

[~SwitchA-classifier-c1] if-match acl 3001 //匹配ACL3001的規則，匹配原網段為192.168.1.0或192.168.2.0網段內的所有報文，即所有從伺服器到Internet的報文

[~SwitchA-classifier-c1] quit

[~SwitchA] commit

[~SwitchA] traffic behavior b1 //創建流行為b1

[~SwitchA-behavior-b1] redirect nexthop 192.168.3.2 //對匹配的報文重定向到192.168.3.2，即重定向到核心防火牆USG

[~SwitchA-behavior-b1] quit

[~SwitchA] commit

[~SwitchA] traffic policy p1 //創建流策略p1

[~SwitchA-trafficpolicy-p1] classifier c1 behavior b1 //在流策略p1中綁定流分類c1和流行為b1，即將所有從伺服器到Internet的報文重定向到核心防火牆USG

[~SwitchA-trafficpolicy-p1] quit

[~SwitchA] commit

[~SwitchA] interface 10ge 1/0/1 //進入SwitchA與SwitchB相連介面的視圖

[~SwitchA-10GE1/0/1] traffic-policy p1 inbound //將流策略p1應用在SwitchA與SwitchB相連介面的入方向上，對從伺服器到Internet的報文進行安全過濾

[~SwitchA-10GE1/0/1] quit

[~SwitchA] commit

[~SwitchA] acl 3002 //創建ACL3002

[~SwitchA-acl4-advance-3002] rule 5 permit ip destination 192.168.1.2 24 //配置ACL3002中的規則:目的網段為192.168.1.0

[~SwitchA-acl4-advance-3002] rule 10 permit ip destination 192.168.2.2 24 //配置ACL3002中的規則:目的網段為192.168.2.0

[~SwitchA-acl4-advance-3002] commit

[~SwitchA-acl4-advance-3002] quit

[~SwitchA] traffic classifier c2 //創建流分類c2

[~SwitchA-classifier-c2] if-match acl 3002 //匹配ACL3002的規則，匹配目的網段為192.168.1.0或192.168.2.0網段內的所有報文，即所有從Internet到伺服器的報文

[~SwitchA-classifier-c2] quit

[~SwitchA] commit

[~SwitchA] traffic behavior b2 //創建流行為b2

[~SwitchA-behavior-b2] redirect nexthop 192.168.3.2 //對匹配的報文重定向到192.168.3.2，即重定向到核心防火牆USG

[~SwitchA-behavior-b2] quit

[~SwitchA] commit

[~SwitchA] traffic policy p2 //創建流策略p2

[~SwitchA-trafficpolicy-p2] classifier c2 behavior b2 //在流策略p1中綁定流分類c2和流行為b2，即將所有從Internet到伺服器的報文重定向到核心防火牆USG

[~SwitchA-trafficpolicy-p2] quit

[~SwitchA] commit

[~SwitchA] interface 10ge 1/0/2 //進入SwitchA與Router相連介面的視圖

[~SwitchA-10GE1/0/2] traffic-policy p1 inbound //將流策略p1應用在SwitchA與Router相連介面的入方向上，對從Internet到伺服器的報文進行安全過濾

[~SwitchA-10GE1/0/2] quit

[~SwitchA] commit

防火牆的配置，以USG系列為例

system-view

[USG] interface GigabitEthernet 1/0/3 //進入USG與SwitchA與相連的其中一個介面的視圖

[USG-GigabitEthernet1/0/3] ip address 192.168.3.2 24 //配置介面的IP地址

[USG-GigabitEthernet1/0/3] quit

[USG] interface GigabitEthernet 1/0/4 //進入USG與SwitchA與相連的另外一個介面的視圖

[USG-GigabitEthernet1/0/4] ip address 192.168.4.2 24 /配置介面的IP地址

[USG-GigabitEthernet1/0/4] quit

[USG] firewall zone trust //進入Trust安全區域視圖

[USG-zone-trust] add interface GigabitEthernet 1/0/3 //將介面GigabitEthernet 1/0/3加入Trust安全區域

[USG-zone-trust] quit

[USG] firewall zone untrust //進入untrust安全區域視圖

[USG-zone-untrust] add interface GigabitEthernet 1/0/4 //將介面GigabitEthernet 1/0/4加入untrust安全區域

[USG-zone-untrust] quit

[USG] policy interzone trust untrust outbound //進入Trust-Untrust域間安全策略視圖

[USG-policy-interzone-trust-untrust-outbound] policy 1 //創建安全策略，並進入策略ID視圖

[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255 //指定源地址為192.168.1.0/24的流量通過

[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.2.0 0.0.0.255 //指定源地址為192.168.2.0/24的流量通過

[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.1.0 0.0.0.255 //指定目的地址為192.168.1.0/24的流量通過

[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.2.0 0.0.0.255 //指定目的地址為192.168.2.0/24的流量通過

[USG-policy-interzone-trust-untrust-outbound-1] action permit //配置對匹配流量的包過濾動作為允許通過

[USG-policy-interzone-trust-untrust-outbound-1] quit

[USG-policy-interzone-trust-untrust-outbound] quit

[USG] firewall blacklist enable //開啟黑名單功能

[USG] firewall defend ip-sweep enable //開啟IP地址掃描攻擊防範功能

[USG] firewall defend ip-spoofing enable //開啟IP Spoofing攻擊防範功能

[USG] ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 //配置路由，下一跳為SwitchA的vlanif 400的介面地址，不管是從伺服器到Internet的流量，還是從Internet到伺服器的流量都是從防火牆的GigabitEthernet 1/0/4到SwitchA

驗證

在SwitchA上使用display traffic policy命令，檢查回顯信息，看流策略中的信息是否配置正確。

display traffic policy

Traffic Policy Information:

Policy: p1

Classifier: c1

Type: OR

Behavior: b1

Redirect:

Redirect nexthop

192.168.3.2

Policy: p2

Classifier: c2

Type: OR

Behavior: b2

Redirect:

Redirect nexthop

192.168.3.2

Total policy number is 2

在SwitchA上使用display traffic classifier命令，檢查回顯信息，看流分類中的信息是否配置正確。

display traffic classifier

Traffic Classifier Information:

Classifier: c1

Type: OR

Rule(s):

if-match acl 3001

Classifier: c2

Type: OR

Rule(s):

if-match acl 3002

Total classifier number is 2

在SwitchA上使用display traffic behavior命令，檢查回顯信息，看流行為中的信息是否配置正確。

display traffic behavior

Traffic Behavior Information:

Behavior: b1

Redirect:

Redirect nexthop

192.168.3.2

Behavior: b2

Redirect:

Redirect nexthop

192.168.3.2

Total behavior number is 2

在SwitchA上使用display traffic-policy applied-record命令，檢查State欄位，如果是success則表示流策略應用成功。

display traffic-policy applied-record

Total records : 2

-------------------------------------------------------------------------------

Policy Name Apply Parameter Slot State

-------------------------------------------------------------------------------

p1 10GE1/0/1 inbound 1 success

-------------------------------------------------------------------------------

p2 10GE1/0/2 inbound 1 success

-------------------------------------------------------------------------------

總結與建議

在本示例中配置重定向到防火牆，對於伺服器到Internet和Internet到伺服器的流量，都是從SwitchA的10GE1/0/3介面出，10GE1/0/4介面回，這樣可能會造成帶寬利用率降低。建議根據實際應用場景靈活部署。

如果策略路由失效，那麼報文會按照配置的預設路由進行轉發。

V100R200C00版本及以後，可以通過undo portswitch將二層介面切換為三層主介面，在三層主介面上進行IP地址等三層配置。

在對報文進行流分類時，若匹配規則為ACL，且ACL中對某規則報文進行deny，那麼直接丟棄這類報文。

示例中僅開啟了防火牆的黑名單、IP地址掃描攻擊防範、IP Spoofing攻擊防範功能，用戶可以根據不同需求開啟防火牆的不同功能，對流量進行安全過濾。

?

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！