適用產品和版本
CE12800/CE6800/CE5800系列產品V100R001C00或更高版本,CE12800E系列產品V200R002C50或更高版本,CE7800系列產品V100R003C00或者更高版本,CE8800系列產品V100R006C00或者更高版本。
組網需求
如圖2-47所示,某公司由於業務需要,業務區的服務器有訪問Internet的需求。業務區的數據服務器和視頻服務器通過接入層交換機SwitchB和核心層交換機SwitchA接入出口網關Router與Internet進行通信。
為了保證服務器到Internet和Internet到服務器的流量的安全性,在核心交換機SwitchA旁掛一個防火牆,將所有流經SwitchA的流量通過策略路由重定向到防火牆,防火牆對流量進行過濾從而保證公司內外網絡的安全性。
圖2-47 配置策略路由的組網圖
表2-7列出了圖2-47上設備的基本網絡規劃情況。
需求分析
- 出於安全性考慮,在SwitchA上旁掛一臺核心防火牆USG,對流量進行安全過濾。
- 對服務器到Internet的流量和Internet到服務器的流量分別進行安全過濾。
操作步驟
- SwitchB的配置,以CE5800系列為例
[~HUAWEI] sysname SwitchB //修改設備名稱為SwitchB
[~HUAWEI] commit
[~SwitchB] vlan batch 100 200 //在SwitchB上創建VLAN100和VLAN200
[~SwitchB] commit
[~SwitchB] interface 10ge 1/0/1 //進入SwitchB與SwitchA相連接口的視圖
[~SwitchB-10GE1/0/1] port link-type trunk //配置接口類型為Trunk
[~SwitchB-10GE1/0/1] port trunk allow-pass vlan 100 200 //將接口加入VLAN100和VLAN200,使VLAN100、VLAN200的報文都能通過
[~SwitchB-10GE1/0/1] quit
[~SwitchB] interface GE 1/0/2 //進入SwitchB與Data Server相連的接口的視圖
[~SwitchB-GE1/0/2] port default vlan 100 //接口類型缺省為Access,允許VLAN100的報文通過
[~SwitchB-GE1/0/2] quit
[~SwitchB] interface GE 1/0/3 //進入SwitchB與Video Server相連的接口的視圖
[~SwitchB-GE1/0/3] port default vlan 200 //接口類型缺省為Access,允許VLAN200的報文通過
[~SwitchB-GE1/0/3] quit
[~SwitchB] commit
SwitchA的配置,以CE12800系列為例
[~HUAWEI] sysname SwitchA //修改設備名稱為SwitchA
[~HUAWEI] commit
[~SwitchA] vlan batch 100 200 300 400 500 //在SwitchA上創建VLAN100、VLAN200、VLAN300、VLAN400和VLAN500
[~SwitchA] commit
[~SwitchA] interface 10ge 1/0/1 //進入SwitchA與SwitchB相連接口的視圖
[~SwitchA-10GE1/0/1] port link-type trunk //配置接口類型為Trunk
[~SwitchA-10GE1/0/1] port trunk allow-pass vlan 100 200 //將接口加入VLAN100和VLAN200,使VLAN100、VLAN200的報文都能通過
[~SwitchA-10GE1/0/1] quit
[~SwitchA] interface 10ge 1/0/2 //進入SwitchA與Router相連的接口的視圖
[~SwitchA-10GE1/0/2] port default vlan 500 //接口默認為Access類型,將接口加入VLAN500
[~SwitchA-10GE1/0/2] quit
[~SwitchA] interface 10ge 1/0/3 //進入SwitchA與核心防火牆相連的其中一個接口的視圖
[~SwitchA-10GE1/0/3] port default vlan 300 //接口默認為Access類型,將接口加入VLAN300
[~SwitchA-10GE1/0/3] quit
[~SwitchA] interface 10ge 1/0/4 //進入SwitchA與核心防火牆相連的另一個接口的視圖
[~SwitchA-10GE1/0/4] port default vlan 400 //接口默認為Access類型,將接口加入VLAN400
[~SwitchA-10GE1/0/4] quit
[~SwitchA] commit
[~SwitchA] interface vlanif 100
[~SwitchA-Vlanif100] ip address 192.168.1.1 24 //配置VLANIF100的IP地址為192.168.1.1,掩碼為24
[~SwitchA-Vlanif100] quit
[~SwitchA] interface vlanif 200
[~SwitchA-Vlanif200] ip address 192.168.2.1 24 //配置VLANIF200的IP地址為192.168.2.1,掩碼為24
[~SwitchA-Vlanif200] quit
[~SwitchA] interface vlanif 300
[~SwitchA-Vlanif300] ip address 192.168.3.1 24 //配置VLANIF300的IP地址為192.168.3.1,掩碼為24
[~SwitchA-Vlanif300] quit
[~SwitchA] interface vlanif 400
[~SwitchA-Vlanif400] ip address 192.168.4.1 24 //配置VLANIF400的IP地址為192.168.4.1,掩碼為24
[~SwitchA-Vlanif400] quit
[~SwitchA] interface vlanif 500
[~SwitchA-Vlanif500] ip address 192.168.10.1 24 //配置VLANIF500的IP地址為192.168.10.1,掩碼為24
[~SwitchA-Vlanif500] quit
[~SwitchA] commit
[~SwitchA] ip route-static 0.0.0.0 0.0.0.0 192.168.10.2 //配置缺省路由,使服務器能正常訪問Internet
[~SwitchA] commit
[~SwitchA] acl 3001 //創建ACL3001
[~SwitchA-acl4-advance-3001] rule 5 permit ip source 192.168.1.2 24 //配置ACL3001中的規則:源網段為192.168.1.0
[~SwitchA-acl4-advance-3001] rule 10 permit ip source 192.168.2.2 24 //配置ACL3001中的規則:源網段為192.168.2.0
[~SwitchA-acl4-advance-3001] commit
[~SwitchA-acl4-advance-3001] quit
[~SwitchA] traffic classifier c1 //創建流分類c1
[~SwitchA-classifier-c1] if-match acl 3001 //匹配ACL3001的規則,匹配原網段為192.168.1.0或192.168.2.0網段內的所有報文,即所有從服務器到Internet的報文
[~SwitchA-classifier-c1] quit
[~SwitchA] commit
[~SwitchA] traffic behavior b1 //創建流行為b1
[~SwitchA-behavior-b1] redirect nexthop 192.168.3.2 //對匹配的報文重定向到192.168.3.2,即重定向到核心防火牆USG
[~SwitchA-behavior-b1] quit
[~SwitchA] commit
[~SwitchA] traffic policy p1 //創建流策略p1
[~SwitchA-trafficpolicy-p1] classifier c1 behavior b1 //在流策略p1中綁定流分類c1和流行為b1,即將所有從服務器到Internet的報文重定向到核心防火牆USG
[~SwitchA-trafficpolicy-p1] quit
[~SwitchA] commit
[~SwitchA] interface 10ge 1/0/1 //進入SwitchA與SwitchB相連接口的視圖
[~SwitchA-10GE1/0/1] traffic-policy p1 inbound //將流策略p1應用在SwitchA與SwitchB相連接口的入方向上,對從服務器到Internet的報文進行安全過濾
[~SwitchA-10GE1/0/1] quit
[~SwitchA] commit
[~SwitchA] acl 3002 //創建ACL3002
[~SwitchA-acl4-advance-3002] rule 5 permit ip destination 192.168.1.2 24 //配置ACL3002中的規則:目的網段為192.168.1.0
[~SwitchA-acl4-advance-3002] rule 10 permit ip destination 192.168.2.2 24 //配置ACL3002中的規則:目的網段為192.168.2.0
[~SwitchA-acl4-advance-3002] commit
[~SwitchA-acl4-advance-3002] quit
[~SwitchA] traffic classifier c2 //創建流分類c2
[~SwitchA-classifier-c2] if-match acl 3002 //匹配ACL3002的規則,匹配目的網段為192.168.1.0或192.168.2.0網段內的所有報文,即所有從Internet到服務器的報文
[~SwitchA-classifier-c2] quit
[~SwitchA] commit
[~SwitchA] traffic behavior b2 //創建流行為b2
[~SwitchA-behavior-b2] redirect nexthop 192.168.3.2 //對匹配的報文重定向到192.168.3.2,即重定向到核心防火牆USG
[~SwitchA-behavior-b2] quit
[~SwitchA] commit
[~SwitchA] traffic policy p2 //創建流策略p2
[~SwitchA-trafficpolicy-p2] classifier c2 behavior b2 //在流策略p1中綁定流分類c2和流行為b2,即將所有從Internet到服務器的報文重定向到核心防火牆USG
[~SwitchA-trafficpolicy-p2] quit
[~SwitchA] commit
[~SwitchA] interface 10ge 1/0/2 //進入SwitchA與Router相連接口的視圖
[~SwitchA-10GE1/0/2] traffic-policy p1 inbound //將流策略p1應用在SwitchA與Router相連接口的入方向上,對從Internet到服務器的報文進行安全過濾
[~SwitchA-10GE1/0/2] quit
[~SwitchA] commit
防火牆的配置,以USG系列為例
[USG] interface GigabitEthernet 1/0/3 //進入USG與SwitchA與相連的其中一個接口的視圖
[USG-GigabitEthernet1/0/3] ip address 192.168.3.2 24 //配置接口的IP地址
[USG-GigabitEthernet1/0/3] quit
[USG] interface GigabitEthernet 1/0/4 //進入USG與SwitchA與相連的另外一個接口的視圖
[USG-GigabitEthernet1/0/4] ip address 192.168.4.2 24 /配置接口的IP地址
[USG-GigabitEthernet1/0/4] quit
[USG] firewall zone trust //進入Trust安全區域視圖
[USG-zone-trust] add interface GigabitEthernet 1/0/3 //將接口GigabitEthernet 1/0/3加入Trust安全區域
[USG-zone-trust] quit
[USG] firewall zone untrust //進入untrust安全區域視圖
[USG-zone-untrust] add interface GigabitEthernet 1/0/4 //將接口GigabitEthernet 1/0/4加入untrust安全區域
[USG-zone-untrust] quit
[USG] policy interzone trust untrust outbound //進入Trust-Untrust域間安全策略視圖
[USG-policy-interzone-trust-untrust-outbound] policy 1 //創建安全策略,並進入策略ID視圖
[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255 //指定源地址為192.168.1.0/24的流量通過
[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.2.0 0.0.0.255 //指定源地址為192.168.2.0/24的流量通過
[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.1.0 0.0.0.255 //指定目的地址為192.168.1.0/24的流量通過
[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.2.0 0.0.0.255 //指定目的地址為192.168.2.0/24的流量通過
[USG-policy-interzone-trust-untrust-outbound-1] action permit //配置對匹配流量的包過濾動作為允許通過
[USG-policy-interzone-trust-untrust-outbound-1] quit
[USG-policy-interzone-trust-untrust-outbound] quit
[USG] firewall blacklist enable //開啟黑名單功能
[USG] firewall defend ip-sweep enable //開啟IP地址掃描攻擊防範功能
[USG] firewall defend ip-spoofing enable //開啟IP Spoofing攻擊防範功能
[USG] ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 //配置路由,下一跳為SwitchA的vlanif 400的接口地址,不管是從服務器到Internet的流量,還是從Internet到服務器的流量都是從防火牆的GigabitEthernet 1/0/4到SwitchA
驗證
在SwitchA上使用display traffic policy命令,檢查回顯信息,看流策略中的信息是否配置正確。
Traffic Policy Information:
Policy: p1
Classifier: c1
Type: OR
Behavior: b1
Redirect:
Redirect nexthop
192.168.3.2
Policy: p2
Classifier: c2
Type: OR
Behavior: b2
Redirect:
Redirect nexthop
192.168.3.2
Total policy number is 2
在SwitchA上使用display traffic classifier命令,檢查回顯信息,看流分類中的信息是否配置正確。
Traffic Classifier Information:
Classifier: c1
Type: OR
Rule(s):
if-match acl 3001
Classifier: c2
Type: OR
Rule(s):
if-match acl 3002
Total classifier number is 2
在SwitchA上使用display traffic behavior命令,檢查回顯信息,看流行為中的信息是否配置正確。
Traffic Behavior Information:
Behavior: b1
Redirect:
Redirect nexthop
192.168.3.2
Behavior: b2
Redirect:
Redirect nexthop
192.168.3.2
Total behavior number is 2
在SwitchA上使用display traffic-policy applied-record命令,檢查State字段,如果是success則表示流策略應用成功。
Total records : 2
-------------------------------------------------------------------------------
Policy Name Apply Parameter Slot State
-------------------------------------------------------------------------------
p1 10GE1/0/1 inbound 1 success
-------------------------------------------------------------------------------
p2 10GE1/0/2 inbound 1 success
-------------------------------------------------------------------------------
總結與建議
在本示例中配置重定向到防火牆,對於服務器到Internet和Internet到服務器的流量,都是從SwitchA的10GE1/0/3接口出,10GE1/0/4接口回,這樣可能會造成帶寬利用率降低。建議根據實際應用場景靈活部署。
如果策略路由失效,那麼報文會按照配置的缺省路由進行轉發。
V100R200C00版本及以後,可以通過undo portswitch將二層接口切換為三層主接口,在三層主接口上進行IP地址等三層配置。
在對報文進行流分類時,若匹配規則為ACL,且ACL中對某規則報文進行deny,那麼直接丟棄這類報文。
示例中僅開啟了防火牆的黑名單、IP地址掃描攻擊防範、IP Spoofing攻擊防範功能,用戶可以根據不同需求開啟防火牆的不同功能,對流量進行安全過濾。
閱讀更多 網絡觀察家 的文章
