#2022争霸赛X干货满满#防火墙主备双机旁挂核心策略路由引流配置案例

一、项目背景

客户购买了二台AF做为数据中心防火墙，防护业务系统的安全，业务系统部署在虚拟化平台上面，并且虚拟化的物理服务器的所有线缆全部直连核心，为了不改变目前虚拟化服务器的物理结构，尽量不影响业务的情况下，决定采用旁挂在核心交换机的方式部署，实现对业务系统的安全防护，防火墙做路由模式双机部署，通过策略路由引流方式把访问业务系统的流量引到防火墙进行安全检测。

二、部署方案

地地规划：

本端设备	VLANIF	本端地址	本端端口	对端设备	对端地址	对端端口
核心交换机	3001	10.X.X.9/30	XG1/0/17	数据中心防火墙01	10.X.X.10/30	ETH17
			XG1/0/19	数据中心防火墙02		ETH17
	3002	10.X.X.13/30	XG1/0/18	数据中心防火墙01	10.X.X.14/30	ETH18
			XG1/0/20	数据中心防火墙02		ETH18

1、防火墙配置二个安全区域，内网区域和服务器区域，配置二个三层接口，核心上面配置二个Vlanif。

2、PC访问服务器，流量到了核心，核心通过策略路由将流量转发给防火墙，防火墙通过静态路由把流量回注给核心的vlanif，服务器回包流量同理。

3、核心策略路由的ACL写二条，一条是匹配PC访问服务器的流量，下一跳指向防火墙内网区接口的IP，一条是匹配服务器的回包流量或服务器主动访问的流量，下一跳指向服务器区域接口的IP。

4、防火墙配置安全区域，接口IP，默认路由及访问服务器的静态路由，接口联动等。

三、具体配置步骤

1、核心交换机配置部分（H3C）

1) 配置VLANIF和接口

配置与防火墙互联的VLANIF

interface Vlan-interface3001

ip address 10.X.X.9 255.255.255.252

interface Vlan-interface3002

ip address 10.X.X.13 255.255.255.252

配置与数据中心防火墙01互联的接口

interface Ten-GigabitEthernet1/0/17

port link-mode bridge

description To_Sangfor_AF-2000-FH2102A-01_ETH17

port access vlan 3001

undo stp enable

interface Ten-GigabitEthernet1/0/18

port link-mode bridge

description To_Sangfor_AF-2000-FH2102A-01_ETH18

port access vlan 3002

undo stp enable

配置与数据中心防火墙02互联的接口

interface Ten-GigabitEthernet1/0/19

port link-mode bridge

description To_Sangfor_AF-2000-FH2102A-02_ETH17

port access vlan 3001

undo stp enable

interface Ten-GigabitEthernet1/0/20

port link-mode bridge

description To_Sangfor_AF-2000-FH2102A-02_ETH18

port access vlan 3002

undo stp enable

2) 配置策略路由

配置PC访问服务器流量的ACL

acl number 3001

rule permit ip destination 10.X.0.0 0.0.0.255

rule permit ip destination 10.X.1.0 0.0.0.255

配置服务器的回包流量或服务器主动访问流量的ACL

acl number 3002

rule permit ip source 10.X.0.0 0.0.0.255

rule permit ip source 10.X.1.0 0.0.0.255

配置策略路由，匹配PC访问服务器的ACL 3001的流量，下一跳指向 10.X.X.10

policy-based-route pbr permit node 10

if-match acl 3001

apply next-hop 10.X.X.10

配置策略路由，匹配服务器的回包流量或服务器主动访问流量的ACL 3002的流量，下一跳指向 10.X.X.14

policy-based-route pbr permit node 20

if-match acl 3002

apply next-hop 10.X.X.14

在VLANIF接口下面调用策略路由

interface Vlan-interface5    //PC网段

ip address 10.X.5.254 255.255.255.0

ip policy-based-route pbr

interface Vlan-interface10    //服务器网段

ip address 10.X.0.254 255.255.255.0

ip policy-based-route pbr

interface Vlan-interface11    //服务器网段

ip address 10.X.1.254 255.255.255.0

ip policy-based-route pbr

2、防火墙部分配置

1) 双机的配置

创建安全区域

二条双机心跳线做聚合

配置双机热备，运行模式主备备份，镜像模式（备机配置同理，注意优先级）

2) 配置接口地址

配置接口联动

3) 配置静态路由，去往服务器网段下一跳指向10.X.X.13，默认路由指向10.X.X.9

4) 应用控制策略、安全策略和普通的配置一样，这里就不截图

四、测试结果

通过tracert服务器的流量，可以看到访问服务器的流量会转发到防火墙在回到交换机

感谢楼主分享，文章记录了一次AF单臂双机部署的配置案例，整体步骤比较清晰，期待楼主带来更多案例分享

感谢分享

每天学习一点，每天进步一点。

你这个环境下，备机如何直接管理，备机接口ip都是不通的，单独配置了带外管理口？

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢楼主分享，学习一下

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~