华为组网:核心交换机旁挂防火墙,基于ACL重定向配置实验

亦良Cool2024-03-16 21:57

如图所示,由于业务需要,用户有访问Internet的需求。

用户通过接入层交换机SwitchB和核心层交换机SwitchA以及接入网关Router与Internet进行通信。为了保证数据和网络的安全性,用户希望保证Internet到服务器全部流量的安全性,配置重定向将外网到内网的全部流量送至防火墙进行安全过滤。

配置思路

  • 出于安全性考虑,在SwitchA上旁挂一台核心防火墙Firewall,对流量进行安全过滤。
  • 由于进入防火墙的流量是二层流量,因此通过重定向到接口将来自Internet的所有流量重定向到防火墙进行安全过滤。
  • 为了防止出现环路,在SwitchA与防火墙相连的接口上配置端口隔离,并配置禁止MAC地址学习防止MAC漂移。

SwitchB

创建VLAN并配置各接口,保证二层互通,在SwitchB上创建VLAN100和VLAN200。

bash 复制代码 
sysname SwitchB
#
vlan batch 100 200        

interface Ethernet0/0/1        
 port link-type trunk        
 port trunk allow-pass vlan 2 to 4094        
#
interface Ethernet0/0/2        
 port link-type access        
 port default vlan 200        
#
interface Ethernet0/0/3        
 port link-type access        
 port default vlan 100

SwitchA

配置SwitchA上接口GE0/0/1、GE0/0/2、GE0/0/3和GE0/0/4接口类型为Trunk,允许VLAN100和VLAN200通过。将接口GE0/0/3和GE0/0/4加入同一个端口隔离组,配置接口GE0/0/4禁止MAC地址学习防止MAC漂移。

bash 复制代码 
sysname SwitchA          
#
vlan batch 100 200          

interface GigabitEthernet0/0/1          
 port link-type trunk          
 port trunk allow-pass vlan 2 to 4094          
#
interface GigabitEthernet0/0/2          # 
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094           
#
interface GigabitEthernet0/0/3                    
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094#              
 port-isolate enable group 1     //加入同一个端口隔离组         
#
interface GigabitEthernet0/0/4              
 mac-address learning disable          //禁止MAC地址学习防止MAC漂移
 port link-type trunk              
 port trunk allow-pass vlan 2 to 4094                 
 port-isolate enable group 1       //加入同一个端口隔离组

配置基于ACL的重定向实现防火墙流量过滤

配置基本ACL匹配所有允许通过的报文。

bash 复制代码 
acl number 4001       
 rule 5 permit vlan-id 100       
 rule 10 permit vlan-id 200

在SwitchA的GigabitEthernet0/0/1入方向配置重定向报文到指定接口。

bash 复制代码 
interface GigabitEthernet0/0/1        
 traffic-redirect inbound acl 4001 interface GigabitEthernet0/0/3

验证配置

bash 复制代码 
[SwitchA]display traffic-applied interface gigabitethernet 0/0/1 inbound
-----------------------------------------------------------
ACL applied inbound interface GigabitEthernet0/0/1

ACL 4001
 rule 5 permit vlan-id 100
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------

ACL 4001
 rule 10 permit vlan-id 200
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------
相关推荐
你怎么睡得着的!1 小时前
【护网行动-红蓝攻防】第一章-红蓝对抗基础 认识红蓝紫
网络·安全·web安全·网络安全
anddddoooo6 小时前
域内证书维权
服务器·网络·网络协议·安全·网络安全·https·ssl
Long._.L6 小时前
OpenSSL实验
网络·密码学
Dyan_csdn6 小时前
【Python项目】基于Python的Web漏洞挖掘系统
网络·python·安全·web安全
shaodong11237 小时前
鸿蒙系统-同应用跨设备数据同步(分布式功能)
分布式·华为·harmonyos
okok__TXF7 小时前
Rpc导读
网络·网络协议·rpc
陈无左耳、7 小时前
HarmonyOS学习第3天: 环境搭建开启鸿蒙开发新世界
学习·华为·harmonyos
&向上8 小时前
RK3588配置成为路由器
网络·智能路由器·rk3588
猫猫的小茶馆8 小时前
【网络编程】UDP协议
linux·服务器·网络·网络协议·ubuntu·udp
热门推荐
01太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)02DeepSeek各版本说明与优缺点分析03如何在WPS和Word/Excel中直接使用DeepSeek功能04本地部署DeepSeek教程(Mac版本)05本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程06DeepSeek本地部署详细指南07DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具08Page Assist - 本地Deepseek模型 Web UI 的安装和使用09DeepSeek r1本地安装全指南10本地部署DeepSeek后的调用与删除全攻略