华为CE交换机配置策略路由重定向到防火墙

适用产品和版本

CE12800/CE6800/CE5800系列产品V100R001C00或更高版本，CE12800E系列产品V200R002C50或更高版本，CE7800系列产品V100R003C00或者更高版本，CE8800系列产品V100R006C00或者更高版本。

组网需求

如图2-47所示，某公司由于业务需要，业务区的服务器有访问Internet的需求。业务区的数据服务器和视频服务器通过接入层交换机SwitchB和核心层交换机SwitchA接入出口网关Router与Internet进行通信。

为了保证服务器到Internet和Internet到服务器的流量的安全性，在核心交换机SwitchA旁挂一个防火墙，将所有流经SwitchA的流量通过策略路由重定向到防火墙，防火墙对流量进行过滤从而保证公司内外网络的安全性。

图2-47配置策略路由的组网图

表2-7列出了图2-47上设备的基本网络规划情况。

需求分析

出于安全性考虑，在SwitchA上旁挂一台核心防火墙USG，对流量进行安全过滤。

对服务器到Internet的流量和Internet到服务器的流量分别进行安全过滤。

操作步骤

SwitchB的配置，以CE5800系列为例

system-view

[~HUAWEI] sysname SwitchB //修改设备名称为SwitchB

[~HUAWEI] commit

[~SwitchB] vlan batch 100 200 //在SwitchB上创建VLAN100和VLAN200

[~SwitchB] commit

[~SwitchB] interface 10ge 1/0/1 //进入SwitchB与SwitchA相连接口的视图

[~SwitchB-10GE1/0/1] port link-type trunk //配置接口类型为Trunk

[~SwitchB-10GE1/0/1] port trunk allow-pass vlan 100 200 //将接口加入VLAN100和VLAN200，使VLAN100、VLAN200的报文都能通过

[~SwitchB-10GE1/0/1] quit

[~SwitchB] interface GE 1/0/2 //进入SwitchB与Data Server相连的接口的视图

[~SwitchB-GE1/0/2] port default vlan 100 //接口类型缺省为Access，允许VLAN100的报文通过

[~SwitchB-GE1/0/2] quit

[~SwitchB] interface GE 1/0/3 //进入SwitchB与Video Server相连的接口的视图

[~SwitchB-GE1/0/3] port default vlan 200 //接口类型缺省为Access，允许VLAN200的报文通过

[~SwitchB-GE1/0/3] quit

[~SwitchB] commit

SwitchA的配置，以CE12800系列为例

system-view

[~HUAWEI] sysname SwitchA //修改设备名称为SwitchA

[~HUAWEI] commit

[~SwitchA] vlan batch 100 200 300 400 500 //在SwitchA上创建VLAN100、VLAN200、VLAN300、VLAN400和VLAN500

[~SwitchA] commit

[~SwitchA] interface 10ge 1/0/1 //进入SwitchA与SwitchB相连接口的视图

[~SwitchA-10GE1/0/1] port link-type trunk //配置接口类型为Trunk

[~SwitchA-10GE1/0/1] port trunk allow-pass vlan 100 200 //将接口加入VLAN100和VLAN200，使VLAN100、VLAN200的报文都能通过

[~SwitchA-10GE1/0/1] quit

[~SwitchA] interface 10ge 1/0/2 //进入SwitchA与Router相连的接口的视图

[~SwitchA-10GE1/0/2] port default vlan 500 //接口默认为Access类型，将接口加入VLAN500

[~SwitchA-10GE1/0/2] quit

[~SwitchA] interface 10ge 1/0/3 //进入SwitchA与核心防火墙相连的其中一个接口的视图

[~SwitchA-10GE1/0/3] port default vlan 300 //接口默认为Access类型，将接口加入VLAN300

[~SwitchA-10GE1/0/3] quit

[~SwitchA] interface 10ge 1/0/4 //进入SwitchA与核心防火墙相连的另一个接口的视图

[~SwitchA-10GE1/0/4] port default vlan 400 //接口默认为Access类型，将接口加入VLAN400

[~SwitchA-10GE1/0/4] quit

[~SwitchA] commit

[~SwitchA] interface vlanif 100

[~SwitchA-Vlanif100] ip address 192.168.1.1 24 //配置VLANIF100的IP地址为192.168.1.1，掩码为24

[~SwitchA-Vlanif100] quit

[~SwitchA] interface vlanif 200

[~SwitchA-Vlanif200] ip address 192.168.2.1 24 //配置VLANIF200的IP地址为192.168.2.1，掩码为24

[~SwitchA-Vlanif200] quit

[~SwitchA] interface vlanif 300

[~SwitchA-Vlanif300] ip address 192.168.3.1 24 //配置VLANIF300的IP地址为192.168.3.1，掩码为24

[~SwitchA-Vlanif300] quit

[~SwitchA] interface vlanif 400

[~SwitchA-Vlanif400] ip address 192.168.4.1 24 //配置VLANIF400的IP地址为192.168.4.1，掩码为24

[~SwitchA-Vlanif400] quit

[~SwitchA] interface vlanif 500

[~SwitchA-Vlanif500] ip address 192.168.10.1 24 //配置VLANIF500的IP地址为192.168.10.1，掩码为24

[~SwitchA-Vlanif500] quit

[~SwitchA] commit

[~SwitchA] ip route-static 0.0.0.0 0.0.0.0 192.168.10.2 //配置缺省路由，使服务器能正常访问Internet

[~SwitchA] commit

[~SwitchA] acl 3001 //创建ACL3001

[~SwitchA-acl4-advance-3001] rule 5 permit ip source 192.168.1.2 24 //配置ACL3001中的规则:源网段为192.168.1.0

[~SwitchA-acl4-advance-3001] rule 10 permit ip source 192.168.2.2 24 //配置ACL3001中的规则:源网段为192.168.2.0

[~SwitchA-acl4-advance-3001] commit

[~SwitchA-acl4-advance-3001] quit

[~SwitchA] traffic classifier c1 //创建流分类c1

[~SwitchA-classifier-c1] if-match acl 3001 //匹配ACL3001的规则，匹配原网段为192.168.1.0或192.168.2.0网段内的所有报文，即所有从服务器到Internet的报文

[~SwitchA-classifier-c1] quit

[~SwitchA] commit

[~SwitchA] traffic behavior b1 //创建流行为b1

[~SwitchA-behavior-b1] redirect nexthop 192.168.3.2 //对匹配的报文重定向到192.168.3.2，即重定向到核心防火墙USG

[~SwitchA-behavior-b1] quit

[~SwitchA] commit

[~SwitchA] traffic policy p1 //创建流策略p1

[~SwitchA-trafficpolicy-p1] classifier c1 behavior b1 //在流策略p1中绑定流分类c1和流行为b1，即将所有从服务器到Internet的报文重定向到核心防火墙USG

[~SwitchA-trafficpolicy-p1] quit

[~SwitchA] commit

[~SwitchA] interface 10ge 1/0/1 //进入SwitchA与SwitchB相连接口的视图

[~SwitchA-10GE1/0/1] traffic-policy p1 inbound //将流策略p1应用在SwitchA与SwitchB相连接口的入方向上，对从服务器到Internet的报文进行安全过滤

[~SwitchA-10GE1/0/1] quit

[~SwitchA] commit

[~SwitchA] acl 3002 //创建ACL3002

[~SwitchA-acl4-advance-3002] rule 5 permit ip destination 192.168.1.2 24 //配置ACL3002中的规则:目的网段为192.168.1.0

[~SwitchA-acl4-advance-3002] rule 10 permit ip destination 192.168.2.2 24 //配置ACL3002中的规则:目的网段为192.168.2.0

[~SwitchA-acl4-advance-3002] commit

[~SwitchA-acl4-advance-3002] quit

[~SwitchA] traffic classifier c2 //创建流分类c2

[~SwitchA-classifier-c2] if-match acl 3002 //匹配ACL3002的规则，匹配目的网段为192.168.1.0或192.168.2.0网段内的所有报文，即所有从Internet到服务器的报文

[~SwitchA-classifier-c2] quit

[~SwitchA] commit

[~SwitchA] traffic behavior b2 //创建流行为b2

[~SwitchA-behavior-b2] redirect nexthop 192.168.3.2 //对匹配的报文重定向到192.168.3.2，即重定向到核心防火墙USG

[~SwitchA-behavior-b2] quit

[~SwitchA] commit

[~SwitchA] traffic policy p2 //创建流策略p2

[~SwitchA-trafficpolicy-p2] classifier c2 behavior b2 //在流策略p1中绑定流分类c2和流行为b2，即将所有从Internet到服务器的报文重定向到核心防火墙USG

[~SwitchA-trafficpolicy-p2] quit

[~SwitchA] commit

[~SwitchA] interface 10ge 1/0/2 //进入SwitchA与Router相连接口的视图

[~SwitchA-10GE1/0/2] traffic-policy p1 inbound //将流策略p1应用在SwitchA与Router相连接口的入方向上，对从Internet到服务器的报文进行安全过滤

[~SwitchA-10GE1/0/2] quit

[~SwitchA] commit

防火墙的配置，以USG系列为例

system-view

[USG] interface GigabitEthernet 1/0/3 //进入USG与SwitchA与相连的其中一个接口的视图

[USG-GigabitEthernet1/0/3] ip address 192.168.3.2 24 //配置接口的IP地址

[USG-GigabitEthernet1/0/3] quit

[USG] interface GigabitEthernet 1/0/4 //进入USG与SwitchA与相连的另外一个接口的视图

[USG-GigabitEthernet1/0/4] ip address 192.168.4.2 24 /配置接口的IP地址

[USG-GigabitEthernet1/0/4] quit

[USG] firewall zone trust //进入Trust安全区域视图

[USG-zone-trust] add interface GigabitEthernet 1/0/3 //将接口GigabitEthernet 1/0/3加入Trust安全区域

[USG-zone-trust] quit

[USG] firewall zone untrust //进入untrust安全区域视图

[USG-zone-untrust] add interface GigabitEthernet 1/0/4 //将接口GigabitEthernet 1/0/4加入untrust安全区域

[USG-zone-untrust] quit

[USG] policy interzone trust untrust outbound //进入Trust-Untrust域间安全策略视图

[USG-policy-interzone-trust-untrust-outbound] policy 1 //创建安全策略，并进入策略ID视图

[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255 //指定源地址为192.168.1.0/24的流量通过

[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.2.0 0.0.0.255 //指定源地址为192.168.2.0/24的流量通过

[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.1.0 0.0.0.255 //指定目的地址为192.168.1.0/24的流量通过

[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.2.0 0.0.0.255 //指定目的地址为192.168.2.0/24的流量通过

[USG-policy-interzone-trust-untrust-outbound-1] action permit //配置对匹配流量的包过滤动作为允许通过

[USG-policy-interzone-trust-untrust-outbound-1] quit

[USG-policy-interzone-trust-untrust-outbound] quit

[USG] firewall blacklist enable //开启黑名单功能

[USG] firewall defend ip-sweep enable //开启IP地址扫描攻击防范功能

[USG] firewall defend ip-spoofing enable //开启IP Spoofing攻击防范功能

[USG] ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 //配置路由，下一跳为SwitchA的vlanif 400的接口地址，不管是从服务器到Internet的流量，还是从Internet到服务器的流量都是从防火墙的GigabitEthernet 1/0/4到SwitchA

验证

在SwitchA上使用display traffic policy命令，检查回显信息，看流策略中的信息是否配置正确。

display traffic policy

Traffic Policy Information:

Policy: p1

Classifier: c1

Type: OR

Behavior: b1

Redirect:

Redirect nexthop

192.168.3.2

Policy: p2

Classifier: c2

Type: OR

Behavior: b2

Redirect:

Redirect nexthop

192.168.3.2

Total policy number is 2

在SwitchA上使用display traffic classifier命令，检查回显信息，看流分类中的信息是否配置正确。

display traffic classifier

Traffic Classifier Information:

Classifier: c1

Type: OR

Rule(s):

if-match acl 3001

Classifier: c2

Type: OR

Rule(s):

if-match acl 3002

Total classifier number is 2

在SwitchA上使用display traffic behavior命令，检查回显信息，看流行为中的信息是否配置正确。

display traffic behavior

Traffic Behavior Information:

Behavior: b1

Redirect:

Redirect nexthop

192.168.3.2

Behavior: b2

Redirect:

Redirect nexthop

192.168.3.2

Total behavior number is 2

在SwitchA上使用display traffic-policy applied-record命令，检查State字段，如果是success则表示流策略应用成功。

display traffic-policy applied-record

Total records : 2

-------------------------------------------------------------------------------

Policy Name Apply Parameter Slot State

-------------------------------------------------------------------------------

p1 10GE1/0/1 inbound 1 success

-------------------------------------------------------------------------------

p2 10GE1/0/2 inbound 1 success

-------------------------------------------------------------------------------

总结与建议

在本示例中配置重定向到防火墙，对于服务器到Internet和Internet到服务器的流量，都是从SwitchA的10GE1/0/3接口出，10GE1/0/4接口回，这样可能会造成带宽利用率降低。建议根据实际应用场景灵活部署。

如果策略路由失效，那么报文会按照配置的缺省路由进行转发。

V100R200C00版本及以后，可以通过undo portswitch将二层接口切换为三层主接口，在三层主接口上进行IP地址等三层配置。

在对报文进行流分类时，若匹配规则为ACL，且ACL中对某规则报文进行deny，那么直接丢弃这类报文。

示例中仅开启了防火墙的黑名单、IP地址扫描攻击防范、IP Spoofing攻击防范功能，用户可以根据不同需求开启防火墙的不同功能，对流量进行安全过滤。

‍