此部署好处如下: a)只引流需要防护的流量即可,如果是透明模式部署,可能所有经过的流量都需要防护 b)不用做网络改造,特别是对于直连核心的网络设备。 讯享网
二、部署方案
1、业务流量从各业务服务器业务网段进入核心交换机上行端口
2、进入核心交换机内部的业务流量经策略路由引导从核心交换机的防火墙接入端口(LAN口)进入防火墙
-
讯享网
2.1、如果防火墙无异常则业务流量正常进入防火墙 -
2.2、如果防火墙接入端口无法接通则业务流量经缺省路由直接导向核心交换机的流量出口
3、业务流量经接入端口进入防火墙后,由防火墙过滤异常流量
4、经防火墙过滤后的业务流量根据防火墙路由表由防火墙的接出端口(WAN口)到达核心交换机
5、经防火墙过滤后的业务流量进入核心交换机后,经过路由转发和数据交换机后到达各个接入交换机。
6、客户端访问业务的流量则反过来,先从防火墙WAN口进,然后从LAN口出去到核心交换机。
四、具体配置(策略路由配置)
1.核心交换机部分
核心CORE交换机接WAN口的接口
interface GigabitEthernet 0/0/1
ip address 10.1.1.1 255.255.255.0
核心CORE 交换机LAN口的接口
interface GigabitEthernet 0/0/2
ip address 10.1.2.1 255.255.255.0
b)流量重定向设置(配置流策略,服务器出去(用户访问服务器的回包流量)的流量重定向到防火墙):
#创建ACL
ACL number 3010
Rule 5 permit ip source 192.168.0.0 0.0.255.255
#配置流策略
traffic classifier G1 operator or precedence 10
if-match acl 3010
配置流行为,将流量重定向到防火墙LAN口。
traffic behavior tofire01
permit
Redirect ip-nexthop 10.1.1.2
配置流策略并应用到接口的入方向上。
interface Eth-Trunk1 (内网所在接口)
Port link-type trunk
Port trunk allow-pass vlan 2 to 4094
traffic-policy F1 inbound
c)流量重定向设置(配置流策略, 用户主动访问服务器的流量重定向到防火墙):
创建ACL。
配置流分类。
配置流行为,将流量重定向到防火墙WAN口。
Traffic behavior tofire02
permit
redirect ip-nexthop 10.1.2.2
配置流策略并应用到接口的入方向上。
Interface vlan1000 (核心上联口)
ip address 192.168.200.1 255.255.255.0
traffic-policy F2 inbound
五、NQA配置
[CORE]nqa test-instance admin01 F1_icmp //创建一个nqa测试实例,测试管理账户名为admin01,测试实例名称为F1_icmp
[CORE-nqa-admin01-F1_icmp] test-type icmp //测试类型为icmp协议测试
[CORE-nqa-admin01-F1_icmp] frequency 10 //指定连续两次探测时间间隔为10s
[CORE-nqa-admin01-F1_icmp] probe-count 2 //指定一次探测进行的测试次数
[CORE-nqa-admin01-F1_icmp] Destination-address ipv4 10.1.1.2 //要测试的对端ip地址
[CORE-nqa-admin01-F1_icmp] start now //启动当前测试例
[CORE-nqa-admin01-F1_icmp] quit
在配置流行为设置下一跳,并配置NQA检测
traffic behavior tofire01
permit
Redirect ip-nexthop 10.1.1.2 track nqa admin01 F1_icmp
[CORE] ip route-static 0.0.0.0 0.0.0.0 192.168.200.2
配置除了策略路由未匹配的流量的路由;走默认路由
并当策略路由失效的时候,所有流量将通过默认路由走出去,起到冗余作用
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/125451.html