防火墙板卡
- 1关注
- 2收藏,2820浏览
问题描述:
A2直接pingB2的IP地址时测试不通,但是防火墙ACL中有匹配命中,各位大哥有知道这个是怎么回事吗
组网及组网描述:
内部网络各业务系统,终端网关处于核心交换机中,核心交换机中配置一块防火墙板卡secblade
现需求是内部网络数据在进行访问的时候,需要防火墙板卡进行检测,并配置安全策略进行阻断等操作
网络拓扑图如下:
配置思路:
核心交换机二层聚合组将需要的vlan流量通过trunk进行透传至防火墙,防火墙三层聚合组,并配置子接口做互联IP
核心交换机去的流量:核心交换机通过 PBR策略路由匹配相应的网段,下一跳为对端防火墙192.168.250.2
防火墙回的流量:防火墙通过默认路由一下跳指定为核心交换机192.168.251.1
核心交换机配置
一:三层网关、三层IP配置(A2网关、B2网关、防火墙互联IP)
二:ACL配置
三:策略路由配置以及三层vlan调用
四:聚合组配置
防火墙配置:
一:三层聚合以及三层子接口IP
二:安全区域 子接口1.250为trust区域,1.251为untrust区域
三:ACL以及策略配置,目前放通所有
问题
- 2021-08-13提问
- 举报
-
(0)
根据描述
初步判断问题在核心侧
另外由于核心pbr部分基本没看到,初步判断为流量来回路径不一致导致。
- 2021-08-13回答
- 评论(2)
- 举报
-
(0)
您看这个配置有什么问题吗
PBR是这样配置的 policy-based-route 1 permit node 10 if-match acl 3000 apply next-hop 192.168.250.2 # policy-based-route 1 permit node 20 if-match acl 3001 apply next-hop 192.168.250.2 interface Vlan-interface10 ip address 192.168.10.1 255.255.255.0 ip policy-based-route 1 # interface Vlan-interface20 ip address 192.168.20.1 255.255.255.0 ip policy-based-route 1
您看这个配置有什么问题吗
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明