×

#2022争霸赛X干货满满#防火墙主备双机旁挂核心策略路由引流配置案例
  

kmyd 22674人觉得有帮助

{{ttag.title}}
一、项目背景
客户购买了二台AF做为数据中心防火墙,防护业务系统的安全,业务系统部署在虚拟化平台上面,并且虚拟化的物理服务器的所有线缆全部直连核心,为了不改变目前虚拟化服务器的物理结构,尽量不影响业务的情况下,决定采用旁挂在核心交换机的方式部署,实现对业务系统的安全防护,防火墙做路由模式双机部署,通过策略路由引流方式把访问业务系统的流量引到防火墙进行安全检测。
二、部署方案
地地规划:
本端设备
VLANIF
本端地址
本端端口
对端设备
对端地址
对端端口
核心交换机
3001
10.X.X.9/30
XG1/0/17
数据中心防火墙01
10.X.X.10/30
ETH17
XG1/0/19
数据中心防火墙02
ETH17
3002
10.X.X.13/30
XG1/0/18
数据中心防火墙01
10.X.X.14/30
ETH18
XG1/0/20
数据中心防火墙02
ETH18
1、防火墙配置二个安全区域,内网区域和服务器区域,配置二个三层接口,核心上面配置二个Vlanif
2、PC访问服务器,流量到了核心,核心通过策略路由将流量转发给防火墙,防火墙通过静态路由把流量回注给核心的vlanif,服务器回包流量同理。
3、核心策略路由的ACL写二条,一条是匹配PC访问服务器的流量,下一跳指向防火墙内网区接口的IP,一条是匹配服务器的回包流量或服务器主动访问的流量,下一跳指向服务器区域接口的IP
4、防火墙配置安全区域,接口IP,默认路由及访问服务器的静态路由,接口联动等。
三、具体配置步骤
1、核心交换机配置部分(H3C
1) 配置VLANIF和接口
配置与防火墙互联的VLANIF
interface Vlan-interface3001
ip address 10.X.X.9 255.255.255.252
interface Vlan-interface3002
ip address 10.X.X.13 255.255.255.252
配置与数据中心防火墙01互联的接口
interface Ten-GigabitEthernet1/0/17
port link-mode bridge
description To_Sangfor_AF-2000-FH2102A-01_ETH17
port access vlan 3001
undo stp enable
interface Ten-GigabitEthernet1/0/18
port link-mode bridge
description To_Sangfor_AF-2000-FH2102A-01_ETH18
port access vlan 3002
undo stp enable
配置与数据中心防火墙02互联的接口
interface Ten-GigabitEthernet1/0/19
port link-mode bridge
description To_Sangfor_AF-2000-FH2102A-02_ETH17
port access vlan 3001
undo stp enable
interface Ten-GigabitEthernet1/0/20
port link-mode bridge
description To_Sangfor_AF-2000-FH2102A-02_ETH18
port access vlan 3002
undo stp enable
2) 配置策略路由
配置PC访问服务器流量的ACL
acl number 3001
rule permit ip destination 10.X.0.0 0.0.0.255
rule permit ip destination 10.X.1.0 0.0.0.255
配置服务器的回包流量或服务器主动访问流量的ACL
acl number 3002
rule permit ip source 10.X.0.0 0.0.0.255
rule permit ip source 10.X.1.0 0.0.0.255
配置策略路由,匹配PC访问服务器的ACL 3001的流量,下一跳指向 10.X.X.10
policy-based-route pbr permit node 10
if-match acl 3001
apply next-hop 10.X.X.10
配置策略路由,匹配服务器的回包流量或服务器主动访问流量的ACL 3002的流量,下一跳指向 10.X.X.14
policy-based-route pbr permit node 20
if-match acl 3002
apply next-hop 10.X.X.14
VLANIF接口下面调用策略路由
interface Vlan-interface5    //PC网段
ip address 10.X.5.254 255.255.255.0
ip policy-based-route pbr
interface Vlan-interface10    //服务器网段
ip address 10.X.0.254 255.255.255.0
ip policy-based-route pbr
interface Vlan-interface11    //服务器网段
ip address 10.X.1.254 255.255.255.0
ip policy-based-route pbr
2、防火墙部分配置
1) 双机的配置
创建安全区域
二条双机心跳线做聚合
配置双机热备,运行模式主备备份,镜像模式(备机配置同理,注意优先级)
2) 配置接口地址
配置接口联动
3) 配置静态路由,去往服务器网段下一跳指向10.X.X.13,默认路由指向10.X.X.9
4) 应用控制策略、安全策略和普通的配置一样,这里就不截图
四、测试结果
通过tracert服务器的流量,可以看到访问服务器的流量会转发到防火墙在回到交换机

防火墙主备双机旁挂核心策略路由引流配置案例.pdf

445.7 KB, 下载次数: 38

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

339015 发表于 2022-10-9 19:36
  
感谢楼主分享,文章记录了一次AF单臂双机部署的配置案例,整体步骤比较清晰,期待楼主带来更多案例分享
平凡的小网工 发表于 2022-10-4 09:12
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
Mr程 发表于 2022-10-4 12:00
  

楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
沧海 发表于 2022-10-4 17:37
  
感谢楼主分享,学习一下
一个无趣的人 发表于 2022-10-6 14:40
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
钉子户 发表于 2022-10-8 09:57
  
你这个环境下,备机如何直接管理,备机接口ip都是不通的,单独配置了带外管理口?
天堂之龙 发表于 2022-10-10 10:02
  
每天学习一点,每天进步一点。
蟲爺 发表于 2023-4-8 01:11
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
技术笔记
新版本体验
功能体验
产品连连看
技术咨询
GIF动图学习
2023技术争霸赛专题
标准化排查
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人