Hi,大家好,我是编程小6,很荣幸遇见你,我把这些年在开发过程中遇到的问题或想法写出来,今天说一说防火墙旁路部署参考配置[亲测有效],希望能够帮助你!!!。
防火墙旁路部署拓扑:
拓扑描述:
防火墙使用万兆口xgbe21来做业务口,旁路部署到核心路由器,两端建立EBGP或者IBGP的邻居关系。防火墙通过宣告32位主机路由,把本地服务器的流量引入到防火墙中。防火墙对业务流清洗过后,继续使用xgbe21回注给核心路由器。为防止发生路由环路,需要配置回注策略,应用在核心路由器的XG0/0/1接口的入方向下,将回注流量转发至汇聚/网关路由器。
核心路由器与防火墙建立BGP的互联地址为172.16.10.0/30,防火墙地址为172.16.10.2,核心路由器地址为172.16.10.1.核心路由器和防火墙AS号根据实际业务需求可以不一致或者保持一致以下配置假定统一使用AS号为65530.
核心路由器配置:
1、配置与KFW-12000互联端口的地址,及BGP协议。
华为路由器配置参考:
提示符命令与描述
<quidway>system//进入系统视图
[quidway]vlan 100
[quidway-vlan100]interface vlan 100
[quidway-Vlanif100]ip address 172.16.10.1 255.255.255.252
[quidway-Vlanif100]quit
[quidway]interface XG0/0/1 //进入接口视图
[quidway- XG0/0/1]port link-type access
[quidway- XG0/0/1]port default vlan 100
[quidway- XG0/0/1]quit
[quidway]bgp 65530
[quidway-bgp]peer 172.16.10.2 as-number 65530
[quidway-bgp]ipv4-family unicast
[quidway-bgp-af-ipv4]peer 172.16.10.2 enable
华三路由器BGP配置参考:
提示符命令与描述
<H3C>syssystem//进入系统视图
[H3C]vlan 100
[H3C-vlan100]interface vlan 100
[H3C-Vlan-interface100]ip address 172.16.10.1 255.255.255.252
[H3C-Vlan-interface100]quit
[H3C]interface XG0/0/1 //进入接口视图
[H3C-XG0/0/1]port link-type access
[H3C-XG0/0/1]port default vlan 100
[H3C-XG0/0/1]quit
[H3C]
bgp 65530//进入bgp视图
[H3C-bgp]peer 172.16.10.2 as-number 65530
[H3C-bgp]address-familyipv4 unicast
[H3C-bgp-default-ipv4]peer 172.16.10.2 enable //激活BGP邻居
思科BGP配置指导:
提示符命令与描述
<Cisco>en//进入系统视图
Cisco#conf t
Cisco(config)#vlan 100
Cisco(config-vlan)#interface vlan 100
Cisco(config-vlan)#ip address 172.16.10.1 255.255.255.252
Cisco(config-vlan)#exit
Cisco(config-if)#interface XG0/0/1 //进入接口视图
Cisco(config-if)#switchport mode access
Cisco(config-if)#switchportaccessvlan 100
Cisco(config-if)#exit
Cisco(config)#router bgp 65530 //进入BGP视图
Cisco(config-router)#neighbor 172.16.10.2 remote-as 65530
2、配置PBR策略:
防火墙在对流量进行过滤后,将流量回注给核心路由器。在采用源口回注时,需要在核心路由器连接防火墙接口的入方向应用PBR策略路由,匹配到防火墙回注的流量直接转发至汇聚/网关路由器。如果不添加PBR策略,回注的流量会再次被牵引到防火墙中,形成环路。
需要注意的是,PBR的ACL中不建议使用permit any选项来匹配所有,可能会导致验证数据包无法到达客户端。
华为路由器PBR配置参考:
提示符命令与描述
<Huawei>system-view
[Huawei]acl number 3000
[Huawei-acl-adv-3000]rule permit ip destination 172.16.1.0 0.0.0.255
rule permit ipdestination 172.16.2.0 0.0.0.255
…...
//创建acl,匹配所有目地IP为本地服务器的流量,所有服务器地址段都需要配置,如有遗漏在对遗漏的地址进行清洗时会发生环路。
[Huawei-acl-adv-3000]quit
[Huawei]traffic classifier Huizhu //创建流分类
[Huawei-classifier-Huizhu]if-match acl 3000
[Huawei-classifier-Huizhu]quit
<Huawei>traffic behavior Huizhu //创建流行为
[Huawei-behavior-Huizhu]redirect ip-nexthop x.x.x.x//设置下一跳
[Huawei-classifier-Huizhu]quit
<Huawei>traffic policyHuizhu //创建策略
[Huawei-trafficpolicy-Huizhu]classifier Huizhu behavior Huizhu
[Huawei-classifier-Huizhu]quit
[Huawei]interface XGigabitEthernet 0/0/0 //在接口入方向下应用策略
[Huawei-GigabitEthernet0/0/0]traffic-policy Huizhu inbound
华三路由器PBR策略路由参考:
提示符命令与描述
<H3C>system
[H3C]acl number 3000
[H3C-acl-ipv4-adv-3000]rule 5 permit ip destination 172.16.1.0 0.0.0.255
rule 10 permit ip destination 172.16.2.0 0.0.0.255
……
//创建acl,匹配所有目地IP为本地服务器的流量,所有服务器地
址段都需要配置,如有遗漏在对遗漏的地址进行清洗时会发生环路。
[H3C-acl-ipv4-adv-3000]quit
[H3C]policy-based-route Huizhu permit node 5 //创建策略路由Huizhu
[H3C-pbr-huizhu-5]if-match acl 3000
[H3C-pbr-huizhu-5]apply ip-address next-hop x.x.x.x //下一跳ip地址
[H3C]interface XGigabitEthernet 1/0/1 //在接口下应用PBR
[H3C-GigabitEthernet1/0/1]ip policy-based-route Huizhu
思科策略路由参考如下:
提示符命令与描述
Router>enable
Router#configure terminal
Router(config)#
access-list 100 permit ip 0.0.0.0 0.0.0.0 172.16.1.0 0.0.0.255
access-list 100 permit ip 0.0.0.0 0.0.0.0 172.16.2.0 0.0.0.255
……
//创建acl,匹配所有目地IP为本地服务器的流量,所有服务器地址段都需要配置,如有遗漏在对遗漏的地址进行清洗时会发生环路。
Router(config)#route-map Huizhu permit 10 //创建route-map
Router(config-route-map)#match ip address 100
Router(config-route-map)#set ip next-hop x.x.x.x//设置下一跳
Router(config)#interface XGigabitEthernet0/0/1 //在接口下调用策略路由
Router(config-if)#ip policy route-map Huizhu
上一篇
已是最后文章
下一篇
已是最新文章