华为策略路由引流旁挂防火墙

拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域

项目要求:

1.外网访问内网流量需要通过防火墙过滤再进入内网;

2.内网访问外网流量直接出站无需过滤。

配置思路:

1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议;

2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。

配置开始:

1.配通底层:

SW1上:

AR1上: 

 

AR2上(模拟防火墙设备): 

 AR3上(模拟外网用户):

 2.PBR配置:此处演示以VLAN2网段为例其他网段同理

acl 3001

rule 0 permit ip destination 172.16.0.0   0.0.0.255   // //acl抓取172.16.0.0 24 网段流量

traffice classifier AR3_PC1 operator or   // //创建名称为AR3_PC1流量分类器,匹配条件之间为或的关系

traffice behavior AR3_PC1    // // 创建名称为AR3_PC1流量行为

redirect ip-nexthop 10.0.0.6   // //重定向下一跳为10.0.0.6

traffice police AR3_PC1 // //创建名称为AR3_PC1策略路由

classifier AR3_PC1 behavior AR3_PC1 // // 将流量分类器与流量行为加入策略路由

interface g0/0/2

traffice-police AR3_PC1 inbound

3.验证配置:

 AR3上(模拟外网用户):

tracert 172.16.0.253   // //跟踪PC1地址

PC1上:

AR2上抓包(模拟防火墙设备):

使用PC1 ping AR3上loopback0口1.1.1.1

 抓包发现只有1.1.1.1-----172.16.0.253 replay回复的包过墙了   172.16.0.253-----1.1.1.1请求的包直接通过SW1-AR1-AR3走了

验证完成

总结:

1.AR2模拟防火墙设备,如若是真实防火墙设备需要将接口加入安全区域,放通安全策略,如果是双向保文都过墙需要关闭防火墙会话表(或者放通两个区域互访)。

2.如果需要流量出的包和入的包都过防火墙则需要在AR1-AR2之间建立两条物理直连链路,一条为入流量一条为出流量,否则一条链路会导致报文三层环路,数据包在AR1-AR2之间循环直至耗费完TTL丢包。

 

  • 3
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 3
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值