设备旁挂--策略路由引流

最新推荐文章于 2025-09-20 00:13:42 发布
原创 最新推荐文章于 2025-09-20 00:13:42 发布 · 2.4k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #华为

文章详细描述了如何通过华为设备的配置,利用策略路由技术,将192.168.1.0/24网段访问10.10.10.10/24的流量引导至防火墙,同时保证其他流量直接走直连链路。文中涉及了VLAN配置、ACL、流分类、流行为和安全策略的设置。

防火墙旁挂通过策略路由引流

网络拓扑结

在这里插入图片描述

实验任务:

192.168.1.0/24网段访问10.10.10.10/24的流量通过策略路由引流至防火墙。访问20.20.20.20/24网段的流量走直连线路
192.168.2.0/24网段访问10.10.10.10/24和20.20.20.20/24的流量走直连链路

具体设备配置

1 交换机配置:

//创建vlan,绑定对应端口
vlan batch 10 20 30
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
interface Ethernet0/0/2
 port link-type access
 port default vlan 20
interface Ethernet0/0/3
 port link-type access
 port default vlan 30
 //配置指向外网的路由
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

2 R1配置

//配置接口ip地址
interface GigabitEthernet0/0/0
 ip address 1.1.1.2 255.255.255.0 
interface GigabitEthernet0/0/1
 ip address 2.2.2.3 255.255.255.0 
interface GigabitEthernet0/0/2
 ip address 4.4.4.4 255.255.255.0 
interface GigabitEthernet4/0/0
 ip address 3.3.3.4 255.255.255.0 
 //创建acl3001,匹配兴趣流
acl number 3001  
 rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.10 0 
//创建流分类,匹配流量
 traffic classifier zb operator or
 if-match acl 3001
//创建流行为,重定向路由下一跳为防火墙接口
traffic behavior zb
 redirect ip-nexthop 2.2.2.2
//创建流策略,关联流分类和流行为
traffic policy zb
 classifier zb behavior zb
//再入接口的入方向调用策略
 interface GigabitEthernet0/0/0
  traffic-policy zb inbound
  //默认路由
 ip route-static 0.0.0.0 0.0.0.0 2.2.2.2
ip route-static 10.10.10.10 255.255.255.255 4.4.4.1
ip route-static 20.20.20.20 255.255.255.255 4.4.4.1
ip route-static 192.168.1.0 255.255.255.0 1.1.1.1
ip route-static 192.168.2.0 255.255.255.0 1.1.1.1

3 R2配置

//配置接口ip地址和指向内网的路由
interface GigabitEthernet0/0/2
 ip address 4.4.4.1 255.255.255.0 
interface LoopBack1
 ip address 10.10.10.10 255.255.255.0 
interface LoopBack2
 ip address 20.20.20.20 255.255.255.0 
ip route-static 0.0.0.0 0.0.0.0 4.4.4.4

4 防火墙配置

//配置接口IP地址
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 2.2.2.2 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 3.3.3.3 255.255.255.0
 //将接口加入到安全域中
 firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
 //配置路由
ip route-static 0.0.0.0 0.0.0.0 3.3.3.4
ip route-static 192.168.1.0 255.255.255.0 2.2.2.3
ip route-static 192.168.2.0 255.255.255.0 2.2.2.3
//放通内网访问外网的安全策略
security-policy
 rule name TRUST2UNTRUST
  source-zone trust
  destination-zone untrust
  action permit

测试

pc1访问10.10.10.10,流量被重定向到防火墙
在这里插入图片描述pc1和pc2访问20.20.20.20流量没有经过防火墙接口
在这里插入图片描述

知识点补充


策略路由是基于转发平面的技术区别于路由策略,先与路由表查找转发。所以要在在流量的入接口调用。
华为的策略路由分为两种,一种是本地策略路由。本地策略路由只能影响本地设备产生的流量,对转发的流量不起作用。
另一种是接口策略路由,需要在接口下调用,对设备转发的流量有效,对本地流量无效。
冬至zz
关注
锐捷网络极简X SDN——准入管控方案部署:模式
君逍遥o
12-18 2005
1.1 用户上网前,dhcp获取和arp学习1.2 通过二层引流或镜像,在设备上捕获arp/dhcp报文1.3 将捕获到的arp/dhcp报文pack-in给控制器1.4 控制器学习或审批后,下发放通表项1.5 用户发起访问(发出ip报文)1.6 终端访问报文上行到出口1.7 终端访问报文下行返回1.8 在现网网关上配置PBR,强行将下行三层转发流量引流管控设备1.9 根据SDN控制器管控终端放通与否,设备决定是否将下行流量引回网关。
华为策略路由-IPGUARD安全网关
11-23
华为交换机策略路由配置,适合路由器,安全网关等设备
防火墙新型引流方案
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
03-13 5692
核心设备创建多VPN实例隔离不同通信域,在防火墙完成不同VRF路由交叉,完成引流
华为防火墙三层组网
最新发布
qq_29141537的博客
09-20 2174
如图防火墙FW2路由器AR1需求:1.路由器g4/0/1口连接外网ISP1,路由器g4/0/2口连接外网ISP2做MPLS(该需求不在本次实验范围内),路由器g4/0/0口连接内网核心交换机。2.路由器与防火墙做链路聚合,从内网PC机的流量通过核心到路由器上,再由路由器转到防火墙上,最后从防火墙转到路由器上经过g4/0/0口流到外网,反之亦然。3.路由器做DHCP服务器,核心交换机做中继。内网:防火墙
华为策略路由引流防火墙
weixin_45457085的博客
11-08 1万+
拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域 项目要求: 1.外网访问内网流量需要通过防火墙过滤再进入内网; 2.内网访问外网流量直接出站无需过滤。 配置思路: 1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议; 2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。 配置开始: 1.配通底层: SW1上: AR1上: ...
防火墙应用场景
m0_69435261的博客
09-24 782
NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转换,NAPT即转换报文的源地址,又转换源端口。防火墙使用vrrp实现双机热备的时候遇到的问题有:如果主出现问题了就要切到备份的防火墙上,但是会话表有个首包机制,会话表是首包建立起来的,如果切换到备份的防火墙上那么会话表无法起来,这样流量就过不去。NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。
HCIE-Security Day17:防火墙双机热备实验(五):防火墙交换机,交换机静态路由引流
热门推荐
小梁的博客
02-19 1万+
双机热备比较常见的是部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。 目录 组网的优点 实验五:防火墙交换机,交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分 3、核心交换部分 4、汇聚交换部分 5、接入交换部分 验证和分析 组网的优点 1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署到网络中。 2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行...
防火墙拓扑,采用策略路由引流
qq_38847770的博客
09-26 9387
防火墙拓扑,采用策略路由引流 在上面的拓扑中为了来回路径相同,需要在AR1的G0/0/0和G0/0/2两个端口上采用策略重定向 策略路由配置如下: acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 acl number 3001 rule 5 permit ip destination 192.168.1.0 0.0.0....
防火墙策略路由引流
weixin_34001430的博客
04-04 1万+
1、案例拓扑图 2、核心设备AR2的主要配置 2.1AR2#acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 //匹配需要过滤的路由#traffic classifier liu operator orif-match acl 2000#traffic behavior liuredirect ip-nexthop 2.1.1...
精选资源
设备通过策略路由引流
03-08
防火墙、waf等设备。通过策略路由引流,实现安全设备对流量的安全控制与监测。
安全设备通过策略路由实现流量引流与控制
设备通过策略路由引流”是一种在网络架构中广泛应用的安全流量管理技术,主要用于将关键网络流量引导至防火墙、WAF(Web应用防火墙)等安全设备进行深度检测与防护,而不改变原有网络的主路径结构。...
华为设备配置策略路由引流防火墙
Tony_long7483的博客
04-20 5164
华为设备配置策略路由引流防火墙
策略路由配置实例很详细
10-20
要求:网通的用户5.5.5.X 访问1.1.1.1 走网通(R2) 电信的用户55.55.55.X 访问1.1.1.1 走电信(R4) 只能在R3上做配置
华为交换机:配置策略路由,实现引流
Choesn.One
10-22 1万+
记录一下刚刚项目上一些简单需求: 客户在核心交换机上下联一整套虚拟化服务器,上联IP-GUARD网关加密服务器.实现IP-GUARD对一些重要的虚拟化服务器进行加密和管控。 IP-GUARD做路由模式,核心交换机配置策略路由 华为交换机策略路由命令: acl number 3999 #创建ACL(高级3000以上) rule 10 permit ip source any # 所有流量都进行策略路由(或者写需要管控的网段)如果客户有生产办公请不要写any 例如:rule permit I...
华为设备路由策略
weixin_50931715的博客
03-22 2262
路由策略 控制层面——路由信息、路由条目的流量传递层面 数据层面——基于本地路由表发送的数据流量 路由策略:在控制层面对流量进行抓取,之后进行策略修改,最终影响到路由条目的加表,核心目的为干涉选路。 第一步:抓流量 (1) ACL访问控制列表——针对数据层面流量,进行访问控制 主要作用:在路由器接口上对进出的数据层面流量进行限制 次要作用:为控制层面的路由策略抓取流量 因为ACL仅匹配一个范围的地址,不关注数据包中的子网掩码,故在特定环境下无法精确匹配一个网络号。 (2) 前缀列表——专门抓取控制层面的网络
华为路由引流实验(使用流策略
weixin_45857582的博客
08-07 3389
引流,使用流策略的方式
WLAN式组网,直连转发
weixin_45311986的博客
02-21 1096
测试,连接wifi,访问外网200.1.1.1,抓包即可。配置完,接口dhcp后就AP就可以自动获取ip地址。绑定vap模板A,开启所有radio频道。,作为移动设备网关,分配。设置认证模式为mac认证。
防火墙学习3---防火墙交换机,交换机静态路由引流(主备部署)
weixin_48030849的博客
05-13 4946
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。
路由策略策略路由路由过滤、流量策略、流量过滤之间的详细对比,附带实验
仕别三日的博客
06-26 1895
想精细改路由属性、深度控路由收发→ 选(OSPF/BGP 等协议场景);想强制流量走特定路径,优先级高于路由表→ 选(多出口、流量引流场景);仅需简单过滤路由(收 / 发),不改属性→ 选(轻量化路由过滤场景);既要过滤流量,又要做优化(重定向、限速、改优先级)→ 选(复杂流量管控场景);仅需基础流量 “允许 / 拒绝”,配置越简单越好→ 选(接入层、边界简单过滤场景)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值