×

#2022争霸赛X干货满满#防火墙主备双机旁挂核心策略路由引流配置案例
  

kmyd 1993人觉得有帮助

{{ttag.title}}
一、项目背景
客户购买了二台AF做为数据中心防火墙,防护业务系统的安全,业务系统部署在虚拟化平台上面,并且虚拟化的物理服务器的所有线缆全部直连核心,为了不改变目前虚拟化服务器的物理结构,尽量不影响业务的情况下,决定采用旁挂在核心交换机的方式部署,实现对业务系统的安全防护,防火墙做路由模式双机部署,通过策略路由引流方式把访问业务系统的流量引到防火墙进行安全检测。
二、部署方案
2538633ad87319fb6.png
地地规划:
本端设备
VLANIF
本端地址
本端端口
对端设备
对端地址
对端端口
核心交换机
3001
10.X.X.9/30
XG1/0/17
数据中心防火墙01
10.X.X.10/30
ETH17
XG1/0/19
数据中心防火墙02
ETH17
3002
10.X.X.13/30
XG1/0/18
数据中心防火墙01
10.X.X.14/30
ETH18
XG1/0/20
数据中心防火墙02
ETH18
1、防火墙配置二个安全区域,内网区域和服务器区域,配置二个三层接口,核心上面配置二个Vlanif
2、PC访问服务器,流量到了核心,核心通过策略路由将流量转发给防火墙,防火墙通过静态路由把流量回注给核心的vlanif,服务器回包流量同理。
3、核心策略路由的ACL写二条,一条是匹配PC访问服务器的流量,下一跳指向防火墙内网区接口的IP,一条是匹配服务器的回包流量或服务器主动访问的流量,下一跳指向服务器区域接口的IP
4、防火墙配置安全区域,接口IP,默认路由及访问服务器的静态路由,接口联动等。
三、具体配置步骤
1、核心交换机配置部分(H3C
1) 配置VLANIF和接口
配置与防火墙互联的VLANIF
interface Vlan-interface3001
ip address 10.X.X.9 255.255.255.252
interface Vlan-interface3002
ip address 10.X.X.13 255.255.255.252
配置与数据中心防火墙01互联的接口
interface Ten-GigabitEthernet1/0/17
port link-mode bridge
description To_Sangfor_AF-2000-FH2102A-01_ETH17
port access vlan 3001
undo stp enable
interface Ten-GigabitEthernet1/0/18
port link-mode bridge
description To_Sangfor_AF-2000-FH2102A-01_ETH18
port access vlan 3002
undo stp enable
配置与数据中心防火墙02互联的接口
interface Ten-GigabitEthernet1/0/19
port link-mode bridge
description To_Sangfor_AF-2000-FH2102A-02_ETH17
port access vlan 3001
undo stp enable
interface Ten-GigabitEthernet1/0/20
port link-mode bridge
description To_Sangfor_AF-2000-FH2102A-02_ETH18
port access vlan 3002
undo stp enable
2) 配置策略路由
配置PC访问服务器流量的ACL
acl number 3001
rule permit ip destination 10.X.0.0 0.0.0.255
rule permit ip destination 10.X.1.0 0.0.0.255
配置服务器的回包流量或服务器主动访问流量的ACL
acl number 3002
rule permit ip source 10.X.0.0 0.0.0.255
rule permit ip source 10.X.1.0 0.0.0.255
配置策略路由,匹配PC访问服务器的ACL 3001的流量,下一跳指向 10.X.X.10
policy-based-route pbr permit node 10
if-match acl 3001
apply next-hop 10.X.X.10
配置策略路由,匹配服务器的回包流量或服务器主动访问流量的ACL 3002的流量,下一跳指向 10.X.X.14
policy-based-route pbr permit node 20
if-match acl 3002
apply next-hop 10.X.X.14
VLANIF接口下面调用策略路由
interface Vlan-interface5    //PC网段
ip address 10.X.5.254 255.255.255.0
ip policy-based-route pbr
interface Vlan-interface10    //服务器网段
ip address 10.X.0.254 255.255.255.0
ip policy-based-route pbr
interface Vlan-interface11    //服务器网段
ip address 10.X.1.254 255.255.255.0
ip policy-based-route pbr
2、防火墙部分配置
1) 双机的配置
创建安全区域
97894633ad8b99fd7c.png
二条双机心跳线做聚合
29489633ad8c383505.png
配置双机热备,运行模式主备备份,镜像模式(备机配置同理,注意优先级)
21142633ad8cc9e1a1.png
2) 配置接口地址
32136633ad8d3e9b0d.png
配置接口联动
50871633ad8da77a26.png
3) 配置静态路由,去往服务器网段下一跳指向10.X.X.13,默认路由指向10.X.X.9
71106633ad8e143d73.png
4) 应用控制策略、安全策略和普通的配置一样,这里就不截图
四、测试结果
通过tracert服务器的流量,可以看到访问服务器的流量会转发到防火墙在回到交换机
81818633ada4c72042.png

防火墙主备双机旁挂核心策略路由引流配置案例.pdf

445.7 KB, 下载次数: 4

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

339015 发表于 2022-10-9 19:36
  
感谢楼主分享,文章记录了一次AF单臂双机部署的配置案例,整体步骤比较清晰,期待楼主带来更多案例分享
平凡的小网工 发表于 2022-10-4 09:12
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
Mr程 发表于 2022-10-4 12:00
  

楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
沧海 发表于 2022-10-4 17:37
  
感谢楼主分享,学习一下
一个无趣的人 发表于 2022-10-6 14:40
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
钉子户 发表于 2022-10-8 09:57
  
你这个环境下,备机如何直接管理,备机接口ip都是不通的,单独配置了带外管理口?
天堂之龙 发表于 2022-10-10 10:02
  
每天学习一点,每天进步一点。
发表新帖
热门标签
全部标签>
每日一问
产品连连看
技术笔记
GIF动图学习
信服课堂视频
干货满满
新版本体验
「智能机器人」
技术咨询
技术争霸赛
畅聊IT
技术圆桌
功能体验
专家分享
标准化排查
答题自测
专家问答
安装部署配置
安全攻防
每日一记
信服圈儿
S豆商城资讯
运维工具
SANGFOR资讯
SDP百科
排障笔记本
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任

本版版主

396
126
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人