华为组网:核心交换机旁挂防火墙,基于ACL重定向配置实验

亦良Cool2024-03-16 21:57

如图所示,由于业务需要,用户有访问Internet的需求。

用户通过接入层交换机SwitchB和核心层交换机SwitchA以及接入网关Router与Internet进行通信。为了保证数据和网络的安全性,用户希望保证Internet到服务器全部流量的安全性,配置重定向将外网到内网的全部流量送至防火墙进行安全过滤。

配置思路

  • 出于安全性考虑,在SwitchA上旁挂一台核心防火墙Firewall,对流量进行安全过滤。
  • 由于进入防火墙的流量是二层流量,因此通过重定向到接口将来自Internet的所有流量重定向到防火墙进行安全过滤。
  • 为了防止出现环路,在SwitchA与防火墙相连的接口上配置端口隔离,并配置禁止MAC地址学习防止MAC漂移。

SwitchB

创建VLAN并配置各接口,保证二层互通,在SwitchB上创建VLAN100和VLAN200。

bash 复制代码 
sysname SwitchB
#
vlan batch 100 200        

interface Ethernet0/0/1        
 port link-type trunk        
 port trunk allow-pass vlan 2 to 4094        
#
interface Ethernet0/0/2        
 port link-type access        
 port default vlan 200        
#
interface Ethernet0/0/3        
 port link-type access        
 port default vlan 100

SwitchA

配置SwitchA上接口GE0/0/1、GE0/0/2、GE0/0/3和GE0/0/4接口类型为Trunk,允许VLAN100和VLAN200通过。将接口GE0/0/3和GE0/0/4加入同一个端口隔离组,配置接口GE0/0/4禁止MAC地址学习防止MAC漂移。

bash 复制代码 
sysname SwitchA          
#
vlan batch 100 200          

interface GigabitEthernet0/0/1          
 port link-type trunk          
 port trunk allow-pass vlan 2 to 4094          
#
interface GigabitEthernet0/0/2          # 
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094           
#
interface GigabitEthernet0/0/3                    
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094#              
 port-isolate enable group 1     //加入同一个端口隔离组         
#
interface GigabitEthernet0/0/4              
 mac-address learning disable          //禁止MAC地址学习防止MAC漂移
 port link-type trunk              
 port trunk allow-pass vlan 2 to 4094                 
 port-isolate enable group 1       //加入同一个端口隔离组

配置基于ACL的重定向实现防火墙流量过滤

配置基本ACL匹配所有允许通过的报文。

bash 复制代码 
acl number 4001       
 rule 5 permit vlan-id 100       
 rule 10 permit vlan-id 200

在SwitchA的GigabitEthernet0/0/1入方向配置重定向报文到指定接口。

bash 复制代码 
interface GigabitEthernet0/0/1        
 traffic-redirect inbound acl 4001 interface GigabitEthernet0/0/3

验证配置

bash 复制代码 
[SwitchA]display traffic-applied interface gigabitethernet 0/0/1 inbound
-----------------------------------------------------------
ACL applied inbound interface GigabitEthernet0/0/1

ACL 4001
 rule 5 permit vlan-id 100
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------

ACL 4001
 rule 10 permit vlan-id 200
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------
相关推荐
IP老炮不瞎唠29 分钟前
批量任务vs持续监控:不同市场调研场景下的配置策略
大数据·网络·网络协议
TheSumSt35 分钟前
日常教程丨远程串流打游戏方法介绍(Parsec/Tailscale+Headscale+DERP+Sunshine&Moonlight)
linux·网络·经验分享·nginx·开源·玩游戏
ICT系统集成阿祥37 分钟前
防火墙威胁告警溯源源 IP 完整方法(华为 USG / 华三 SecPath 通用)
网络·tcp/ip·华为
KaMeidebaby41 分钟前
卡梅德生物技术快报|组蛋白乙酰化修饰调控动脉粥样硬化的分子机制及中药表观干预研究
网络·人工智能·网络协议·tcp/ip·算法
念恒123061 小时前
进程间通信
linux·服务器·网络
24zhgjx-fuhao1 小时前
IS-IS认证
网络
AI2中文网1 小时前
App Inventor 2 鸿蒙先行版开发进展:从 Android 到 HarmonyOS 的积木编程迁移实录
android·低代码·华为·harmonyos·app inventor
nashane1 小时前
HarmonyOS 6学习:DevEco Studio跨平台开发环境深度排障指南
学习·华为·harmonyos
计算机安禾1 小时前
【算法分析与设计】第38篇:最近点对与分治在几何中的应用
java·服务器·网络·数据库·算法
老高学长1 小时前
电脑监控软件有哪些实用功能?信企卫电脑监控软件五大功能详解,保存不亏
网络·电脑
热门推荐
012026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04Codex 下载安装指南:Windows 和 macOS 官方版下载05【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08CC-Switch & Claude 基于 Linux 服务器安装使用指南09Codex 接入 DeepSeek API 完整配置文档10几个好用的ip纯净度检测网站