华为组网:核心交换机旁挂防火墙,基于ACL重定向配置实验

亦良Cool2024-03-16 21:57

如图所示,由于业务需要,用户有访问Internet的需求。

用户通过接入层交换机SwitchB和核心层交换机SwitchA以及接入网关Router与Internet进行通信。为了保证数据和网络的安全性,用户希望保证Internet到服务器全部流量的安全性,配置重定向将外网到内网的全部流量送至防火墙进行安全过滤。

配置思路

  • 出于安全性考虑,在SwitchA上旁挂一台核心防火墙Firewall,对流量进行安全过滤。
  • 由于进入防火墙的流量是二层流量,因此通过重定向到接口将来自Internet的所有流量重定向到防火墙进行安全过滤。
  • 为了防止出现环路,在SwitchA与防火墙相连的接口上配置端口隔离,并配置禁止MAC地址学习防止MAC漂移。

SwitchB

创建VLAN并配置各接口,保证二层互通,在SwitchB上创建VLAN100和VLAN200。

bash 复制代码 
sysname SwitchB
#
vlan batch 100 200        

interface Ethernet0/0/1        
 port link-type trunk        
 port trunk allow-pass vlan 2 to 4094        
#
interface Ethernet0/0/2        
 port link-type access        
 port default vlan 200        
#
interface Ethernet0/0/3        
 port link-type access        
 port default vlan 100

SwitchA

配置SwitchA上接口GE0/0/1、GE0/0/2、GE0/0/3和GE0/0/4接口类型为Trunk,允许VLAN100和VLAN200通过。将接口GE0/0/3和GE0/0/4加入同一个端口隔离组,配置接口GE0/0/4禁止MAC地址学习防止MAC漂移。

bash 复制代码 
sysname SwitchA          
#
vlan batch 100 200          

interface GigabitEthernet0/0/1          
 port link-type trunk          
 port trunk allow-pass vlan 2 to 4094          
#
interface GigabitEthernet0/0/2          # 
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094           
#
interface GigabitEthernet0/0/3                    
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094#              
 port-isolate enable group 1     //加入同一个端口隔离组         
#
interface GigabitEthernet0/0/4              
 mac-address learning disable          //禁止MAC地址学习防止MAC漂移
 port link-type trunk              
 port trunk allow-pass vlan 2 to 4094                 
 port-isolate enable group 1       //加入同一个端口隔离组

配置基于ACL的重定向实现防火墙流量过滤

配置基本ACL匹配所有允许通过的报文。

bash 复制代码 
acl number 4001       
 rule 5 permit vlan-id 100       
 rule 10 permit vlan-id 200

在SwitchA的GigabitEthernet0/0/1入方向配置重定向报文到指定接口。

bash 复制代码 
interface GigabitEthernet0/0/1        
 traffic-redirect inbound acl 4001 interface GigabitEthernet0/0/3

验证配置

bash 复制代码 
[SwitchA]display traffic-applied interface gigabitethernet 0/0/1 inbound
-----------------------------------------------------------
ACL applied inbound interface GigabitEthernet0/0/1

ACL 4001
 rule 5 permit vlan-id 100
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------

ACL 4001
 rule 10 permit vlan-id 200
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------
相关推荐
mounter6257 小时前
【硬核前沿】CXL 深度解析:重塑数据中心架构的“高速公路”,Linux 内核如何应对挑战?-- CXL 协议详解与 LSF/MM 最新动态
linux·服务器·网络·架构·kernel
autumn20059 小时前
Flutter 框架跨平台鸿蒙开发 - 虚拟纪念馆
flutter·华为·harmonyos
ACP广源盛139246256739 小时前
破局 Type‑C 切换器痛点@ACP#GSV6155+LH3828/GSV2221+LH3828 黄金方案
c语言·开发语言·网络·人工智能·嵌入式硬件·计算机外设·电脑
2301_8227032010 小时前
渐变壁纸生成:基于鸿蒙Flutter的跨平台壁纸创建工具
flutter·华为·harmonyos·鸿蒙
人间打气筒(Ada)10 小时前
「码动四季·开源同行」HarmonyOS应用开发:常见组件
华为·开源·harmonyos·组件·布局·鸿蒙开发
嵌入式小企鹅10 小时前
蓝牙学习系列(八):BLE L2CAP 协议详解
网络·学习·蓝牙·ble·协议栈·l2cap
三声三视11 小时前
ArkTS 自定义组件完全指南:@Builder、@Extend、@Styles 实战解析
华为·harmonyos
广州灵眸科技有限公司12 小时前
为RK3588注入澎湃算力:RK1820 AI加速卡完整适配与评测指南
linux·网络·人工智能·物联网·算法
byoass12 小时前
csdn_upload_005
网络·安全·云计算
IT WorryFree12 小时前
飞塔防火墙与第三方设备进行IPSEC故障诊断期间,用户可能会观察到以下错误:
linux·服务器·网络
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南04VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)05OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程06实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了07CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南08AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析09免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手10Oh My Codex 快速使用指南