华为组网:核心交换机旁挂防火墙,基于ACL重定向配置实验

亦良Cool2024-03-16 21:57

如图所示,由于业务需要,用户有访问Internet的需求。

用户通过接入层交换机SwitchB和核心层交换机SwitchA以及接入网关Router与Internet进行通信。为了保证数据和网络的安全性,用户希望保证Internet到服务器全部流量的安全性,配置重定向将外网到内网的全部流量送至防火墙进行安全过滤。

配置思路

  • 出于安全性考虑,在SwitchA上旁挂一台核心防火墙Firewall,对流量进行安全过滤。
  • 由于进入防火墙的流量是二层流量,因此通过重定向到接口将来自Internet的所有流量重定向到防火墙进行安全过滤。
  • 为了防止出现环路,在SwitchA与防火墙相连的接口上配置端口隔离,并配置禁止MAC地址学习防止MAC漂移。

SwitchB

创建VLAN并配置各接口,保证二层互通,在SwitchB上创建VLAN100和VLAN200。

bash 复制代码 
sysname SwitchB
#
vlan batch 100 200        

interface Ethernet0/0/1        
 port link-type trunk        
 port trunk allow-pass vlan 2 to 4094        
#
interface Ethernet0/0/2        
 port link-type access        
 port default vlan 200        
#
interface Ethernet0/0/3        
 port link-type access        
 port default vlan 100

SwitchA

配置SwitchA上接口GE0/0/1、GE0/0/2、GE0/0/3和GE0/0/4接口类型为Trunk,允许VLAN100和VLAN200通过。将接口GE0/0/3和GE0/0/4加入同一个端口隔离组,配置接口GE0/0/4禁止MAC地址学习防止MAC漂移。

bash 复制代码 
sysname SwitchA          
#
vlan batch 100 200          

interface GigabitEthernet0/0/1          
 port link-type trunk          
 port trunk allow-pass vlan 2 to 4094          
#
interface GigabitEthernet0/0/2          # 
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094           
#
interface GigabitEthernet0/0/3                    
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094#              
 port-isolate enable group 1     //加入同一个端口隔离组         
#
interface GigabitEthernet0/0/4              
 mac-address learning disable          //禁止MAC地址学习防止MAC漂移
 port link-type trunk              
 port trunk allow-pass vlan 2 to 4094                 
 port-isolate enable group 1       //加入同一个端口隔离组

配置基于ACL的重定向实现防火墙流量过滤

配置基本ACL匹配所有允许通过的报文。

bash 复制代码 
acl number 4001       
 rule 5 permit vlan-id 100       
 rule 10 permit vlan-id 200

在SwitchA的GigabitEthernet0/0/1入方向配置重定向报文到指定接口。

bash 复制代码 
interface GigabitEthernet0/0/1        
 traffic-redirect inbound acl 4001 interface GigabitEthernet0/0/3

验证配置

bash 复制代码 
[SwitchA]display traffic-applied interface gigabitethernet 0/0/1 inbound
-----------------------------------------------------------
ACL applied inbound interface GigabitEthernet0/0/1

ACL 4001
 rule 5 permit vlan-id 100
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------

ACL 4001
 rule 10 permit vlan-id 200
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------
相关推荐
万亿少女的梦16812 分钟前
高校网络安全存在的问题与对策研究
java·开发语言·前端·网络·数据库·python
JasonYin~1 小时前
HarmonyOS NEXT 实战之元服务:静态案例效果---音乐排行榜
java·华为·harmonyos
hao_wujing1 小时前
云计算时代携程的网络架构变迁
网络·架构·云计算
IT 古月方源2 小时前
关于 VRRP的详解
运维·网络·tcp/ip·网络安全·智能路由器
2301_801074152 小时前
ArkTs组件(2)
开发语言·前端·华为·harmonyos
网安kk4 小时前
2025年三个月自学手册 网络安全(黑客技术)
linux·网络·python·安全·web安全·网络安全·密码学
沐芊屿5 小时前
IPsec VPN配置实验(固定地址)
网络
静心观复6 小时前
TCP的三次握手与四次挥手
网络·网络协议·tcp/ip
dot.Net安全矩阵6 小时前
.NET | 剖析通过 TcpClient 实现内网端口转发
服务器·网络·tcp/ip·安全·.net
Hacker_xingchen8 小时前
网络安全笔记
网络·笔记·web安全
热门推荐
01新手学习VR全景需要知道的几个问题02组基轨迹建模 GBTM的介绍与实现(Stata 或 R)03玄机平台应急响应—webshell查杀04docker安装启动问题解决排查05【一文读懂】NTN(非地面网络)技术介绍06HCIA-datacom数通题库和录播视频资料07Gitlab ci/cd08RAG 实践- Ollama+RagFlow 部署本地知识库09优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间10【漏洞复现】CVE-2015-3337 Arbitrary File Reading