当前位置: 首页 > article >正文

华为组网:核心交换机旁挂防火墙,基于ACL重定向配置实验

如图所示,由于业务需要,用户有访问Internet的需求。
用户通过接入层交换机SwitchB和核心层交换机SwitchA以及接入网关Router与Internet进行通信。为了保证数据和网络的安全性,用户希望保证Internet到服务器全部流量的安全性,配置重定向将外网到内网的全部流量送至防火墙进行安全过滤。

在这里插入图片描述

配置思路

  • 出于安全性考虑,在SwitchA上旁挂一台核心防火墙Firewall,对流量进行安全过滤。
  • 由于进入防火墙的流量是二层流量,因此通过重定向到接口将来自Internet的所有流量重定向到防火墙进行安全过滤。
  • 为了防止出现环路,在SwitchA与防火墙相连的接口上配置端口隔离,并配置禁止MAC地址学习防止MAC漂移。

SwitchB

创建VLAN并配置各接口,保证二层互通,在SwitchB上创建VLAN100和VLAN200。

sysname SwitchB
#
vlan batch 100 200        

interface Ethernet0/0/1        
 port link-type trunk        
 port trunk allow-pass vlan 2 to 4094        
#
interface Ethernet0/0/2        
 port link-type access        
 port default vlan 200        
#
interface Ethernet0/0/3        
 port link-type access        
 port default vlan 100        

SwitchA

配置SwitchA上接口GE0/0/1、GE0/0/2、GE0/0/3和GE0/0/4接口类型为Trunk,允许VLAN100和VLAN200通过。将接口GE0/0/3和GE0/0/4加入同一个端口隔离组,配置接口GE0/0/4禁止MAC地址学习防止MAC漂移。

sysname SwitchA          
#
vlan batch 100 200          

interface GigabitEthernet0/0/1          
 port link-type trunk          
 port trunk allow-pass vlan 2 to 4094          
#
interface GigabitEthernet0/0/2          # 
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094           
#
interface GigabitEthernet0/0/3                    
 port link-type trunk           
 port trunk allow-pass vlan 2 to 4094#              
 port-isolate enable group 1     //加入同一个端口隔离组         
#
interface GigabitEthernet0/0/4              
 mac-address learning disable          //禁止MAC地址学习防止MAC漂移
 port link-type trunk              
 port trunk allow-pass vlan 2 to 4094                 
 port-isolate enable group 1       //加入同一个端口隔离组            

配置基于ACL的重定向实现防火墙流量过滤
配置基本ACL匹配所有允许通过的报文。

acl number 4001       
 rule 5 permit vlan-id 100       
 rule 10 permit vlan-id 200       

在SwitchA的GigabitEthernet0/0/1入方向配置重定向报文到指定接口。

interface GigabitEthernet0/0/1        
 traffic-redirect inbound acl 4001 interface GigabitEthernet0/0/3

验证配置

[SwitchA]display traffic-applied interface gigabitethernet 0/0/1 inbound
-----------------------------------------------------------
ACL applied inbound interface GigabitEthernet0/0/1

ACL 4001
 rule 5 permit vlan-id 100
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------

ACL 4001
 rule 10 permit vlan-id 200
ACTIONS:
 redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------

http://www.kler.cn/a/274294.html

相关文章:

  • 边缘智能网关助力打造建筑智慧消防物联网
  • Activiti开启流程实例
  • nodejs利用子进程child_process执行命令及child.stdout输出数据
  • ROS1入门教程3:自定义消息
  • 【游戏设计原理】20 - 囚徒困境
  • 2024年12月陪玩系统-仿东郊到家约玩系统是一种新兴的线上预约线下社交、陪伴系统分享-优雅草央千澈-附带搭建教程
  • Maven项目如何导入依赖包
  • Nginx安装教程
  • Springboot+Redis:实现缓存 减少对数据库的压力
  • fastjson反序列化攻略
  • 解决重装系统之后,开始菜单找不到Anaconda3相关图标
  • 快速从0-1完成聊天室开发——环信ChatroomUIKit功能详解
  • Java-SpringAop 编程式事物实现
  • 如何在三个简单步骤中为对象检测标注图像
  • C语言---指针的两个运算符:点和箭头
  • Java 多线程(抢CPU)
  • 面试算法-51-翻转二叉树
  • 【C语言进阶篇】自定义类型:结构体(上)
  • 堆排序(数据结构)
  • SpringBoot项目串口通讯之jSerialComm
  • 什么是多模态学习?
  • 代码随想录|Day21|回溯01|77.组合
  • 面试算法-47-有效的括号
  • 基于”Python+”多技术融合在蒸散发与植被总初级生产力估算中的应用教程
  • Unity类银河恶魔城学习记录11-2 p104 Inventoty源代码
  • C++ Qt开发:QUdpSocket网络通信组件