当前位置: 首页 > news >正文

华为组网:核心交换机旁挂防火墙,基于ACL重定向配置实验

news 2025/8/28 16:09:56

如图所示,由于业务需要,用户有访问Internet的需求。
用户通过接入层交换机SwitchB和核心层交换机SwitchA以及接入网关Router与Internet进行通信。为了保证数据和网络的安全性,用户希望保证Internet到服务器全部流量的安全性,配置重定向将外网到内网的全部流量送至防火墙进行安全过滤。

在这里插入图片描述

配置思路

  • 出于安全性考虑,在SwitchA上旁挂一台核心防火墙Firewall,对流量进行安全过滤。
  • 由于进入防火墙的流量是二层流量,因此通过重定向到接口将来自Internet的所有流量重定向到防火墙进行安全过滤。
  • 为了防止出现环路,在SwitchA与防火墙相连的接口上配置端口隔离,并配置禁止MAC地址学习防止MAC漂移。

SwitchB

创建VLAN并配置各接口,保证二层互通,在SwitchB上创建VLAN100和VLAN200。

sysname SwitchB
#
vlan batch 100 200        interface Ethernet0/0/1        port link-type trunk        port trunk allow-pass vlan 2 to 4094        
#
interface Ethernet0/0/2        port link-type access        port default vlan 200        
#
interface Ethernet0/0/3        port link-type access        port default vlan 100

SwitchA

配置SwitchA上接口GE0/0/1、GE0/0/2、GE0/0/3和GE0/0/4接口类型为Trunk,允许VLAN100和VLAN200通过。将接口GE0/0/3和GE0/0/4加入同一个端口隔离组,配置接口GE0/0/4禁止MAC地址学习防止MAC漂移。

sysname SwitchA          
#
vlan batch 100 200          interface GigabitEthernet0/0/1          port link-type trunk          port trunk allow-pass vlan 2 to 4094          
#
interface GigabitEthernet0/0/2          # port link-type trunk           port trunk allow-pass vlan 2 to 4094           
#
interface GigabitEthernet0/0/3                    port link-type trunk           port trunk allow-pass vlan 2 to 4094#              port-isolate enable group 1     //加入同一个端口隔离组         
#
interface GigabitEthernet0/0/4              mac-address learning disable          //禁止MAC地址学习防止MAC漂移port link-type trunk              port trunk allow-pass vlan 2 to 4094                 port-isolate enable group 1       //加入同一个端口隔离组

配置基于ACL的重定向实现防火墙流量过滤
配置基本ACL匹配所有允许通过的报文。

acl number 4001       rule 5 permit vlan-id 100       rule 10 permit vlan-id 200

在SwitchA的GigabitEthernet0/0/1入方向配置重定向报文到指定接口。

interface GigabitEthernet0/0/1        traffic-redirect inbound acl 4001 interface GigabitEthernet0/0/3

验证配置

[SwitchA]display traffic-applied interface gigabitethernet 0/0/1 inbound
-----------------------------------------------------------
ACL applied inbound interface GigabitEthernet0/0/1ACL 4001rule 5 permit vlan-id 100
ACTIONS:redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------ACL 4001rule 10 permit vlan-id 200
ACTIONS:redirect interface GigabitEthernet0/0/3
-----------------------------------------------------------
http://www.lryc.cn/news/321269.html

相关文章:

  • HarmonyOS NEXT应用开发—投票动效实现案例
  • 服务器端(Debian 12)配置jupyter与R 语言的融合
  • C语言---指针的两个运算符:点和箭头
  • Linux 发布项目到OpenEuler虚拟机
  • 相机与相机模型(针孔/鱼眼/全景相机)
  • ARM32day4
  • 从零开始写 Docker(六)---实现 mydocker run -v 支持数据卷挂载
  • 网站引用图片但它域名被墙了或者它有防盗链,我们想引用但又不能显示,本文附详细的解决方案非常简单!
  • Java八股文(RabbitMQ)
  • 科研学习|论文解读——一种用于短文本消息中的释义检测的深度网络模型(IPM, 2018)
  • 鸿蒙Harmony应用开发—ArkTS声明式开发(基础手势:Web)下篇
  • 3月19日做题
  • Java8中Stream流API最佳实践Lambda表达式使用示例
  • 构建Helm chart和chart使用管道与函数简介
  • 深入理解OnCalculate函数的运行机制
  • 快速从0-1完成聊天室开发——环信ChatroomUIKit功能详解
  • nginx实现多个域名和集群
  • C. Left and Right Houses
  • 缓存与内存:加速你的Python应用
  • Go语言之函数、方法、接口
  • 【Week Y2】使用自己的数据集训练YOLO-v5s
  • 蓝桥杯--基础(哈夫曼)
  • 【Redis内存数据库】NoSQL的特点和应用场景
  • JavaScript基础知识2
  • Linux之线程同步
  • 03 龙芯平台openstack部署搭建-keystone部署
  • 定义了服务器的端口号和Servlet的上下文路径
  • AI论文速读 | UniST:提示赋能通用模型用于城市时空预测
  • rabbitmq-spring-boot-start配置使用手册
  • 操作系统知识-操作系统作用+进程管理-嵌入式系统设计师备考笔记