防火墙旁挂，策略路由引流

1、案例拓扑图

2、核心设备AR2的主要配置

2.1
AR2
#
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255 //匹配需要过滤的路由
#
traffic classifier liu operator or
if-match acl 2000
#
traffic behavior liu
redirect ip-nexthop 2.1.1.6
#
traffic policy liu
classifier liu behavior liu

interface GigabitEthernet0/0/0
ip address 1.1.1.5 255.255.255.252
traffic-policy liu inbound //策略应用在数据的入方向
2.2
关键点，困扰了我很久（如果不下发默认路由，会导致两个ospf进程，相互学习不到对方的业务地址）
ospf 1
default-route-advertise always //都要下发一条默认路由
ospf 2
default-route-advertise always //都要下发一条默认路由

3、防火墙关键配置

3.1
安全策略
#
security-policy
rule name trust-local
source-zone trust
destination-zone local
action permit
rule name local-trust
source-zone local
destination-zone trust
action permit
rule name untrust-local
source-zone untrust
destination-zone local
action permit
rule name local-untrust
source-zone local
destination-zone untrust
action permit
rule name pc-server
source-address 192.168.1.1 mask 255.255.255.255
destination-address 10.1.1.1 mask 255.255.255.255
action permit
3.2
防火墙接口安全区域

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0

4、验证pc1---> server 是否经过防火墙
查看防火墙的session table

防火墙上查看session列表，说明策略生效

<FW01>display firewall session table
2019-04-04 14:48:43.930
Current Total Sessions : 6
icmp ×××: public --> public 192.168.1.1:18713 --> 10.1.1.1:2048
icmp ×××: public --> public 192.168.1.1:20249 --> 10.1.1.1:2048
icmp ×××: public --> public 192.168.1.1:19225 --> 10.1.1.1:2048
icmp ×××: public --> public 192.168.1.1:19993 --> 10.1.1.1:2048
icmp ×××: public --> public 192.168.1.1:18969 --> 10.1.1.1:2048
icmp ×××: public --> public 192.168.1.1:19481 --> 10.1.1.1:2048

转载于:https://blog.51cto.com/1823203/2374467

防火墙旁挂，策略路由引流相关推荐

企业中深信服防火墙旁挂部署
一.方案背景因为现在所在的企业中原网络架构中无防火墙,出于网络安全考虑.现增加一台深信服防火墙实现安全防护功能,最小改动现在网络情况下,于是采取防火墙旁挂方法,通过引流的方式把要防护的流量引流到防火 ...
企业网络中的防火墙旁挂实例
最近由于工作原因,按照客户的需求需要将防火墙旁挂,并将部门流量引流到防火墙上.本文章将讲述基本术语.原理.实验(可下载) 基础介绍: PE和CE BGP/MPLS IP VPN的基本模型由三部分组成: ...
华为设备配置策略路由引流到旁挂防火墙
配置各接口IP地址和路由 [LSW1]vlan batch 10 20 30 40 [LSW1-GigabitEthernet0/0/2]port link-type trunk [LSW1-Giga ...
华为策略路由引流旁挂防火墙
拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域项目要求: 1.外网访问内网流量需要通过防火墙过滤再进入内网: ...
华为防火墙旁挂，终端区域与服务器区域拓扑总结
客户端与服务器区域拓扑-问题汇总一.拓扑在该拓扑中, 问题:CE1和CE2之间trunk ,但CE1vlanif下地址无法ping CE2vlanif下同一网段Address: 若CE1与CE2之 ...
H3C V7 旁挂防火墙静态路由引流
H3C V7 旁挂防火墙静态路由引流业务需求企业新增防火墙,把防火墙旁挂在核心交换机旁边,需要交换机通过静态路由的方式将业务流量引向防火墙,实现防火墙对网络的保护. 交换机主要配置: dis cu ...
云防火墙如何玩转公有云引流
文章简介:安恒云结合多年在云上最佳安全实践经验,将分别介绍第三方安全厂商的云防火墙如何在阿里云.腾讯云.华为云.百度云.青云.AWS云和Azure云完成引流.(备注:排名不分先后)同时也会介绍如何利用 ...
华为路由器旁挂引流实验（使用流策略）
路由器旁挂引流实验. 实验目的,如图所示,本实验需要将来自地址为10.1.2.1的流量在访问两个PC的时候,将流量牵引到旁挂的AR1设备上,然后AR1设备再回注到AR3设备. 引流的方法根据具体的环境 ...
H3C华三旁挂防火墙
适用场景: 旁挂防火墙部署注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径 ...
在阿里云上做云防火墙引流
详细教你再阿里云上做云防火墙引流前言准备操作结束语前言云防火墙属于软件形式,通过软件算法,这就方便了很多站长和服务器运维人员.提供统一的互联网边界.内网VPC边界.主机边界流量管控与安全防 ...

防火墙旁挂，策略路由引流

防火墙旁挂，策略路由引流相关推荐

最新文章

热门文章