零基础学网络-交换机策略引流实操（交换网络配置实例）

零基础学网络-交换机策略引流实操（交换网络配置实例）

随着信息化安全形势的严峻，许多单位都对网络安全提高了重视程度。为了保障数据安全和业务安全，会首先考虑对业务前置区进行安全加固，采购比如防火墙、IPS等安全设备部署至服务器前置区，但是在实施过程中发现原有网络架构设计时并没有设计服务器汇聚交换机，如果想要将安全设备直接串接入网需要对现网进行改造，这会面临着较长时间的业务中断，在一些行业是不能被接受的，既要实现安全设备串接的效果，又不需要改变现有网络架构导致的长时间中断业务，这时候我们会用到安全设备旁路部署，通过策略引流的方式实现安全设备的串接。

此篇文章中将会使用下图为例，对交换机（华为品牌）策略引流的方式进行配置实操。此图为实际交付场景的逻辑图，如下：

图-1

1、需求描述

如上图-1所示，所有客户端原来通过核心交换机与服务器群直接通讯，采购防火墙后需要所有客户端访问服务器的流量都要经过防火墙再转发到服务器群区域，为了保障防火墙杀毒模块和IPS模块发挥更好的效果需要服务器群对客户端的回包也要经过防火墙到客户端。

客户端网段：192.172.16.0/24,192.172.17.0/24

服务器网段：192.172.18.0/24,192.172.19.0/24

防火墙地址：77.77.77.2/30，88.88.88.2/30

交换机地址：77.77.77.1/30，88.88.88.1/30

服务器vlan：vlan 18，vlan 19

客户端vlan：vlan 16，vlan17

2、配置分析

在此场景下我们可以用一根线缆将防火墙连接至核心交换机采用单臂模式进行引流，也可以采用两根线缆连接至核心交换机采用一进一出的方式进行引流，此篇文章中采用的是防火墙两根线缆连接至核心交换机做的示例。

3、具体配置

3.1、定义ACL控制列表

acl number 2100    --定义目标地址到服务器网段的控制列表

rule 5 permit ip destination 192.172.18.0 0.0.0.255

rule 10 permit ip destination 192.172.19.0 0.0.0.255

acl number 2200   --定义源地址是服务器网段的控制列表

rule 5 permit ip source 192.172.18.0 0.0.0.255

rule 10 permit ip source 192.172.19.0 0.0.0.255

3.2、定义数据流分类

定义流分类名为c1的匹配到目标地址网段为服务器地址的控制列表

traffic classifier c1 operator or precedence 5

if-match acl 2100

定义流分类名为c2的匹配源地址为服务器网地址的控制列表

traffic classifier c2 operator or precedence 10

if-match acl 2200

3.3、定义行为流分类

定义流行为名为b1，并将关联b1的数据报文抛给防火墙

traffic behavior b1

permit

redirect ip-nexthop 77.77.77.2

定义流行名为b2，并将关联b2的数据报文抛给防火墙

traffic behavior b2

permit

redirect ip-nexthop 88.88.88.2

3.4、数据流和行为流进行匹配形成流策略

配置流策略p1，绑定目标地址到服务器的报文的流量重定向到防火墙

traffic policy p1 match-order config

classifier c1 behavior b1

配置流策略p2，绑定源地址是服务器网段的报文流量重定向到防火墙

traffic policy p2 match-order config

classifier c2 behavior b2

3.5、配置核心交换机与防火墙互联口

交换机路由口配置

[xiaozc] interface GigabitEthernet0/0/1

[xiaozc-GigabitEthernet0/0/1] undo portswitch

[xiaozc-GigabitEthernet0/0/1] ip address 77.77.77.1 255.255.255.252

[xiaozc] interface GigabitEthernet0/0/2

[xiaozc-GigabitEthernet0/0/1] undo portswitch

[xiaozc-GigabitEthernet0/0/1] ip address 88.88.88.1 255.255.255.252

防火墙路由口配置

[Firewall] interface GigabitEthernet0/0/1

[Firewall-GigabitEthernet0/0/1] undo shutdown

[Firewall-GigabitEthernet0/0/1] ip address 77.77.77.2 255.255.255.252

[Firewall] interface GigabitEthernet0/0/2

[Firewall-GigabitEthernet0/0/2] undo shutdown

[Firewall-GigabitEthernet0/0/2] ip address 88.88.88.2 255.255.255.252

3.6、防火墙添加路由

配置防火墙路由，保证核心交换机将报文给防火墙后，防火墙还可以将数据报文转发回核心交换机

[Firewall]  ip route-static 192.172.16.0 255.255.255.0 77.77.77.1

[Firewall]  ip route-static 192.172.17.0 255.255.255.0 77.77.77.1

[Firewall]  ip route-static 192.172.18.0 255.255.255.0 88.88.88.1

[Firewall]  ip route-static 192.172.19.0 255.255.255.0 88.88.88.1

3.7、相应接口下应用流策略

在接口下调用策略路由，实现客户端到服务器的交互流量都要经过防火墙进行清洗，保障服务器区域的安全

[xiaozc] inter vlan16

[xiaozc-Vlanif16] traffic-policy p1 inbound

[xiaozc] inter vlan17

[xiaozc-Vlanif17] traffic-policy p1 inbound

[xiaozc] inter vlan18

[xiaozc-Vlanif18] traffic-policy p2 inbound

[xiaozc] inter vlan19

[xiaozc-Vlanif19] traffic-policy p2 inbound

3.8、验证数据流走向

通过tracert命令追踪到服务器区域的IP地址，发现数据流经过了防火墙，如图：

而且登录防火墙也会看到相应的会话以及流量，至此交换机策略引流配置成功完成。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。