防火墙旁挂(VRF&VFW)

最新推荐文章于 2024-05-13 15:20:30 发布
最新推荐文章于 2024-05-13 15:20:30 发布
阅读量1.2k 收藏 14
点赞数 11
分类专栏: 防火墙随记 文章标签: 网络 华为 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43311721/article/details/135471385
版权

VRF方式

允许PC1和PC2访问AR1
在这里插入图片描述

1、将SW下联PC接口与旁挂防火墙的下行口划分至VPN实例(LT),其中SW与FW创建链路聚合
2、SW配置去往Internet的VRF默认路由送达FW1

ip route-static vpn-instance LT 0.0.0.0 0 10.1.12.2

3、FW1收到报文配置默认路由从上行口送往SW

ip route-static 0.0.0.0 0 10.1.11.1

4、SW配置默认路由送往AR1(Internet)
5、AR1配置回程路由去往SW
6、SW配置回程路由去往PC送达上行口到FW
7、FW配置回程路由去往PC送达下行口到SW
8、PC收到回程报文

VRF+VFW方式

允许PC1和PC2通过FW访问AR1
允许PC1与PC2通过FW互访
在这里插入图片描述

0)SW按照要求创建VLAN和VLANIF,并将不同的PC分别划分进不同的VPN实例(LT / XC)。其中SW与FW创建链路聚合,同时FW按要求划分两个VFW(LT / XC)

[S1]display ip vpn-instance interface 
 Total VPN-Instances configured : 2

 VPN-Instance Name and ID : LT, 1
  Interface Number : 2 
  Interface list : Vlanif10, 
                   Vlanif204

 VPN-Instance Name and ID : XC, 2
  Interface Number : 2 
  Interface list : Vlanif20, 
                   Vlanif202


[S1]display eth-trunk 10
Eth-Trunk10's state information is:
Local:
LAG ID: 10                  WorkingMode: STATIC                               
Preempt Delay: Disabled     Hash arithmetic: According to SIP-XOR-DIP         
System Priority: 32768      System ID: 4c1f-cca0-1725                         
Least Active-linknumber: 1  Max Active-linknumber: 8                          
Operate status: up          Number Of Up Port In Trunk: 2                     
--------------------------------------------------------------------------------
ActorPortName          Status   PortType PortPri PortNo PortKey PortState Weight
GigabitEthernet0/0/3   Selected 1GE      32768   4      2609    10111100  1     
GigabitEthernet0/0/4   Selected 1GE      32768   5      2609    10111100  1     


[FW1]display ip vpn-instance interface 
2024-01-08 06:59:12.250 
 Total VPN-Instances configured      : 3

 VPN-Instance Name and ID : LT, 1
  Interface Number : 3 
  Interface list : Virtual-if1, 
                   Vlanif203, 
                   Vlanif204

 VPN-Instance Name and ID : XC, 2
  Interface Number : 3 
  Interface list : Vlanif201, 
                   Virtual-if2, 
                   Vlanif202

1)允许PC1与PC2通过FW互访

a.SW配置去往不同PC的VRF静态路由,将VPN流量送往FW1。

SW
ip route-static vpn-instance LT 10.1.2.0 255.255.255.0 10.1.204.2
ip route-static vpn-instance XC 10.1.1.0 255.255.255.0 10.1.202.2

b.由于FW1配置了两个VFW(LT / XC),不同的VFW接收VPN流量后,通过配置两个VRF静态路由使两个VFW可以直接互访;

FW-Public
ip route-static vpn-instance LT 10.1.2.0 255.255.255.0 vpn-instance XC
ip route-static vpn-instance XC 10.1.1.0 255.255.255.0 vpn-instance LT

c.VPN流量进入不同的VFW后,配置去往各自纳管PC的网段

FW-VFW-XC
ip route-static 10.1.2.0 255.255.255.0 10.1.202.1

FW-VFW-LT
ip route-static 10.1.1.0 255.255.255.0 10.1.204.1

d.PC互访的流量从VFW到达SW后通过各自的VRF表即可完成转发

2)允许PC1和PC2通过FW访问AR1

a.在第2步基础上,为SW中不同的VPN实例(LT / XC)配置不同的VRF默认路由,将去往Internet流量送往FW

SW
ip route-static vpn-instance LT 0.0.0.0 0.0.0.0 10.1.204.2
ip route-static vpn-instance XC 0.0.0.0 0.0.0.0 10.1.202.2

b.FW的VFW收到后,同样在不同的VFW上配置去往SW的默认路由

VFW-LT
ip route-static 0.0.0.0 0.0.0.0 Vlanif203 10.1.203.1

VFW-XC
ip route-static 0.0.0.0 0.0.0.0 Vlanif201 10.1.201.1

c.去往Internet的流量到达PC后,SW配置默认路由去往AR1,通过查找全局路由表达到AR1

SW
ip route-static 0.0.0.0 0.0.0.0 202.100.1.2

d.AR1配置回程路由

ip route-static 10.1.1.0 255.255.255.0 202.100.1.1
ip route-static 10.1.2.0 255.255.255.0 202.100.1.1

e.AR1的回程路由到达SW后,将回程流量送往不同的VPN实例

SW
ip route-static 10.1.1.0 255.255.255.0 vpn-instance LT 10.1.204.2
ip route-static 10.1.2.0 255.255.255.0 vpn-instance XC 10.1.202.2
无中无
关注
  • 11
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙旁挂,策略路由引流
weixin_34001430的博客
04-04 1万+
1、案例拓扑图 2、核心设备AR2的主要配置 2.1AR2#acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 //匹配需要过滤的路由#traffic classifier liu operator orif-match acl 2000#traffic behavior liuredirect ip-nexthop 2.1.1...
华为策略路由应用<场景:防火墙旁挂>
weixin_34191734的博客
02-23 4362
华为策略路由的配置及应用方式,一般用于重定向的场景下,例:防火墙旁挂于核心交换机,需将业务流量重定向到防火墙。环境描述:操作步骤:1、在S12708上配置策略路由,将业务段重定向至防火墙;2、在防火墙上配置回程路由即可。 策略路由配置方式:1、配置业务网段ACLacl 3000 ####此处必须先匹配内网段之间业务互访,不将流量重定向至防火墙,若重定向后,可...
防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)
jiyue112的博客
03-31 2846
企业有出口网关【USG】、接入交换机(POE1-3)、AC和AP设备,部署内外无线网络,为员工提供无线上网服务。
旁挂防火墙 —— 初级
2401_84389418的博客
04-15 361
防火墙旁挂配置
防火墙学习3---防火墙旁挂交换机,交换机静态路由引流(主备部署)
最新发布
weixin_48030849的博客
05-13 1136
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。
关于防火墙旁挂的问题
luoyunjie123456789的博客
01-07 9248
实验拓扑: 实验环境: PC1: IP:192.168.1.1 网关地址:192.168.1.254 PC2: IP:192.168.2.2 网关地址:192.168.2.254 R1: G0/0/0:192.168.1.254 G0/0/1:192.168.2.254 g0/0/2:12.1.1.1 g4/0/0::13.1.1.1 FW3:g0/0/0:12.1.1....
H3C华三旁挂防火墙
weixin_45457085的博客
12-09 9387
适用场景: 旁挂防火墙部署 注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径一致 3.汇聚与核心之间可以不通过OSPF,直接指静态路由,接入端VLAN比较多还是推荐动态协议比较方便。 配置思路: 1.首先配置接入与汇聚,打通二层。 2.配置防火墙与汇聚的互联与起网关 3.配通汇聚与接入OSPF 4.测试配置 配置开始 接入交换机上: vlan 2...
旁挂防火墙(USG6000V)实验
weixin_72910567的博客
06-09 2419
本实验通过配置旁挂防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙的安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对旁挂防火墙的理解和应用,提高了网络安全性。
家装零售VRF设计软件.rar
04-23
《家装零售VRF设计软件详解》 在现代家居装饰领域,高效、节能的空调系统设计是不可或缺的一部分。VRF(Variable Refrigerant Flow)系统,即变冷媒流量系统,因其灵活、节能的特点,在家装零售市场中越来越受到...
虚拟路由转发VRF技术简介及不同环境的创建.doc
06-15
虚拟路由转发VRF技术简介及不同环境的创建.doc
安博通防火墙配置知道文档
04-11
安博通防火墙
VRF实现互通的两种方式
04-08
VRF实现互通的两种方式
capability_vrf-lite的作用
08-16
OSPF vrf-lite OSPF vrf-lite OSPF vrf-lite OSPF vrf-lite
vrf-tutorial-oss.pdf
06-09
linux vrf是linux 新的内核支持的属性,用于支持用户组合隔离,或者网络隔离使用,该文档为英文文档,欢迎下载。
HCIE-Security Day17:防火墙双机热备实验(五):防火墙旁挂交换机,交换机静态路由引流
热门推荐
小梁的博客
02-19 1万+
双机热备比较常见的是旁挂部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。 目录 旁挂组网的优点 实验五:防火墙旁挂交换机,交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分 3、核心交换部分 4、汇聚交换部分 5、接入交换部分 验证和分析 旁挂组网的优点 1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署到网络中。 2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行...
网络安全--防火墙旁挂部署方式和高可靠性技术
weixin_65685029的博客
09-25 2557
防火墙防火墙部署方式,防火墙高可靠技术,配置VRRP双机备份
网络技术】防火墙配置单机旁挂模式
XMWS-IT
05-23 1539
用户在客户端输入账号密码发起身份认证请求,如果用户输入的账号密码是存储在Agile Controller中的,则直接在Agile Controller中完成认证;在Agile Controller上完成用户认证的场景,当业务控制器检测到Agile Controller存活数小于配置的最小值时,开启逃生通道。# 配置无代理Web认证。# 启用服务器组,使FW立即连接Agile Controller发送联动请求,连接成功后,设备可以接收到Agile Controller下发的角色和角色规则。
企业网络中的防火墙旁挂实例
weixin_30752699的博客
01-24 2189
最近由于工作原因,按照客户的需求需要将防火墙旁挂,并将部门流量引流到防火墙上。本文章将讲述基本术语、原理、实验(可下载) 基础介绍: PE和CE BGP/MPLS IP VPN的基本模型由三部分组成:CE、PE和P。 CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商网络相连。CE可以是路由器或交换机,也可以是一台主机。通常情况下,CE“感...
防火墙双机设备(旁挂组网),HRP双主原因
weixin_46639226的博客
10-25 1590
防火墙双机热备配置、HRP双主
奇安信防火墙 VRF
11-03
奇安信防火墙 VRF是指在奇安信云平台核心交换机上为每个VPC划分不同的VRF,实现VPC之间网络空间隔离。在核心交换机旁挂防火墙上,为每个单位划分虚拟防火墙,这样各单位的业务就可以完全隔离。核心交换机旁挂防火墙,通过一虚多为每个VPC创建不同的vFWvFWVRF一一对应,为VPC提供虚拟网络流量隔离与访问控制。同时,可以通过分布式vFW或安全组对VM进一步进行隔离,实现同一子网内不同安全属性VM之间的隔离与访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值