华三防火墙旁路部署三种方式之子接口旁路

最新推荐文章于 2024-05-30 10:56:16 发布
最新推荐文章于 2024-05-30 10:56:16 发布
阅读量8.8k 收藏 8
点赞数 3
分类专栏: H3C
解不开的未知数
本文链接:https://blog.csdn.net/qq_33819574/article/details/104842983
版权

为什么需要旁路部署:原有组网复杂

好处:物理上的旁路,逻辑上的串联

1.防火墙子接口形式旁路部署

配置原理:

loo0是为了方便测试使用,实际组网此处是属于公网。

需要实现的目的:让进来的流量先经过防火墙再回到交换机,出去的流量先流经防火墙,再经过交换机上行出去,同时如果防火墙故障或者损坏,可以利用在路由器或者交换机上设置NQA来实现路由切换达到防火墙损坏不影响整体网络。

主要用到的技术:NQA+track。

1.防火墙基本配置,此处只做实验演示,实际放行可根据需要设置。

安全策略截图:

子接口详情:

通过静态路由控制流量进出方向;

墙上基本配置就这些;

2.路由器配置,路由器配置基本上和正常配置无区别,只要不同就是入方向下一跳指向防火墙,另外需要注意,如果防火墙旁挂在核心交换机上,即使防火墙接口down了,路由器这边也是感知不到,路由仍然会有效,最好的方式就是设置NQA检测,track+静态路由来控制,同时写一条备用的路由优先级略低即可。

路由器重要配置部分截图:

nqa截图:

和交换机互联地址:

vlan20互联

两条路由:第一条下一跳指向防火墙互联地址,第二条备用指向核心交换机

3.核心交换机配置;防火墙和交换机互联接口可以走TRUNK,防火墙侧可以使用子接口,类似于单臂路由。因为核心交换机这边我使用vlan10互联,网关在核心交换机上,所以我这边也使用NQA检测。

和防火墙互联端口:

路由情况:

最后附上此次配置和实验打包:

路由器:

[H3C]dis current-configuration
#
 version 7.1.075, Alpha 7571
#
 sysname H3C
#
track 1 nqa entry admin ping192.168.20.20 reaction 1
#
 system-working-mode standard
 xbar load-single
 password-recovery enable
 lpu-type f-series
#
vlan 1
#
nqa entry admin ping192.168.20.20
 type icmp-echo
  destination ip 192.168.20.20
  frequency 100
  next-hop ip 192.168.20.254
  reaction 1 checked-element probe-fail threshold-type consecutive 5 ac                                                                                                                      tion-type trigger-only
#
 nqa schedule admin ping192.168.20.20 start-time now lifetime forever
#
interface Serial1/0
#
interface Serial2/0
#
interface Serial3/0
#
interface Serial4/0
#
interface NULL0
#
interface LoopBack1
 ip address 10.1.1.1 255.255.255.252
#
interface GigabitEthernet0/0
 port link-mode route
 combo enable copper
 ip address 192.168.20.30 255.255.255.0
#
interface GigabitEthernet0/1
 port link-mode route
 combo enable copper
#
interface GigabitEthernet0/2
 port link-mode route
 combo enable copper
#
interface GigabitEthernet5/0
 port link-mode route
 combo enable copper
#
interface GigabitEthernet5/1
 port link-mode route
 combo enable copper
#
interface GigabitEthernet6/0
 port link-mode route
 comb
最低0.47元/天 解锁文章
解不开的未知数
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全学习笔记1】防火墙分类以及各自优缺点
suancaiyufei的博客
11-12 4121
一、防火墙是什么? 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。——搜狗百科 通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具
H3C华三旁挂防火墙
weixin_45457085的博客
12-09 9469
适用场景: 旁挂防火墙部署 注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径一致 3.汇聚与核心之间可以不通过OSPF,直接指静态路由,接入端VLAN比较多还是推荐动态协议比较方便。 配置思路: 1.首先配置接入与汇聚,打通二层。 2.配置防火墙与汇聚的互联与起网关 3.配通汇聚与接入OSPF 4.测试配置 配置开始 接入交换机上: vlan 2...
安全设备接入网络部署方式——以防火墙为例
呦菜呦爱玩的博客
03-10 4343
## 一、串联 1. 路由模式 把防火墙当作路由器来用,与交换路由的配置没有区别。 若用户原本网络中没有防火墙,接入需要改变原本的地址规划。比如:原本出口设备与核心交换机串联,使用的接口地址是同一网段,现加入防火墙,原接口地址需要更换成不同网段的。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/0acc5e29e3f042a7af630a1fd28d31c3.png) 2. 透明模式 在防火墙上做网桥,将流量进出端口加入网桥。 接入用户网络时,进出流量
网络安全设备常见部署模式介绍
最新发布
LongL_GuYu的博客
05-30 1197
网络安全设备主要部署模式介绍
防火墙知识
asdfghhklxm的博客
03-30 1440
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系 统就认为这种行为是入侵,误用检测模型也称为特征检测(Signature-based detection)。防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补。nat其实就是对数据包做一次大的手术,地址的转换,校验重新计算,多通道协议的分析,动态生成一个返回的映射,工作繁重。防火墙是针对黑客攻击的一种被动的防御,旨在保护;
华为防火墙策略路由旁路部署
解不开的未知数
04-17 1万+
配置策略路由(引流到旁挂防火墙)示例 为了保证企业内网的安全,通过配置策略路由将外网到内网的全部流量引流防火墙进行安全检测。 组网需求 如图1所示,某公司由于业务需要,用户有访问Internet的需求。用户通过核心交换机SwitchA以及接入网关Router与Internet进行通信。 为了保证公司网络的安全性,将所有进入公司内网的流量引入到旁挂防火墙进行安全检测后再进入公司内部网络。...
【新华三】冗余口、冗余组、备份组
五大连池的镜子
07-12 1556
1.冗余口和冗余组结合使用,如果只配置冗余组没配置冗余口,其实冗余组的配置没什么意义。2.备份组,如果配置了备份组,建议将冗余口和冗余组都配置上,这是标准组网推荐。3.会话同步,开启会话同步必须要配置备份组,否则会话无法同步,如果没有备份组,防火墙不知道会话应该往哪里进行同步。
华三防火墙快速入门教程
11-16
H3C V5 V7版本的命令行配置和web配置都有,让你快速上手华三防火墙基本配置,成为优秀的系统集成工程师
华三交换机配置端口聚合之三层端口配置静态和动态聚合
08-17
华三交换机配置端口聚合是一种常见的网络配置方式,通过将多个物理端口组合成一个逻辑端口,提高网络的可靠性和传输速度。在本文中,我们将详细介绍华三交换机配置端口聚合之三层端口配置静态和动态聚合的过程。 一...
华三F50X0 v7系列防火墙mib文件OID
04-17
华三F50X0 v7系列防火墙mib文件OID 需要自己在zabbix 添加监控项,可以查询此文件,无需专业软件打开,txt文件,建议用文本编辑软件打开,如notepad++
华三防火墙配置生成脚本
02-03
华三防火墙配置生成脚本
全面解析防火墙基本分类以及优缺点综述
10-25
网络安全成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。而这篇文章就是给大家讲述了防火墙工 ..
H3C无线 V7 WX系列产品旁挂部署无线开局配置案例(WEB版).docx
12-24
H3C无线 V7 WX系列产品旁挂部署无线开局配置案例(WEB版)
华为防火墙主备模式工作原理
weixin_67050107的博客
06-28 1004
防火墙主备模式下,备墙的工作状态
ASA防火墙的冗余接口和以太信道配置
Stephen_jj的博客
05-11 1514
ASA防火墙的冗余接口和以太信道配置 冗余配置实例 需求:如上图所示,在ASA与SW1之间配置接口的冗余,使得即使ASA的e0接口down掉,G2也能够使用,确保R3可以时刻访问R1。 配置如下: 基础IP配置及路由需配置,在不考虑ASA的情况下,须保证全网通信。配置省略。 先将对应的接口开启,配置省略。 配置接口冗余。 ciscoasa(config)# int redundant 1 ciscoasa(config-if)# member-interface e0 ciscoasa(config-i
防火墙基础之H3C防火墙和三层交换机链路聚合的配置
晚风挽着浮云的博客
10-01 4478
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理​与筛选的软件和硬件​设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
华为防火墙与三层交换机对接配置VLAN上网设置
一直被模仿,从未被超越
01-06 9442
华为防火墙与三层交换机对接配置VLAN上网设置
企业中深信服防火墙旁挂部署
qq_17202735的博客
07-22 3461
一、方案背景因为现在所在的企业中原网络架构中无防火墙,出于网络安全考虑。现增加一台深信服防火墙实现安全防护功能,最小改动现在网络情况下,于是采取防火墙旁挂方法,通过引流的方式把要防护的流量引流到防火墙防火墙做路由部署模式,进出的流量在防火墙上过滤一遍之后再进入互联网或内网中。二、部署方案1、业务流量从各业务服务器业务网段进入核心交换机上行端口2、进入核心交换机内部的业务流量经策略路由引导从核心交换机的防火墙接入端口(LAN口)进入防火墙2.1、如果防火墙无异常则业务流量正常进入防火墙。.........
华三防火墙安全策略配置
热门推荐
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
华三防火墙使用固定IP地址方式上网
07-28
华三防火墙使用固定IP地址方式上网的配置步骤如下: 1. 在对象设置中,新建一个特定内网地址对象,将其设为名称为16,IP地址为192.168.200.16,该对象用于表示内网主机。 2. 在策略设置中,新建一个NAT策略,命名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值