配置步骤如下:
1. 规划与地址分配:在核心交换机上为不同用户或业务划分不同的VLAN和IP网段,这是实施策略路由的基础。
2. 配置默认路由:在核心交换机上配置两条默认路由,分别指向两个防火墙的接口IP。
ip route-static 0.0.0.0 0 <H3C防火墙接口IP>
ip route-static 0.0.0.0 0 <深信服防火墙接口IP> preference 70
*将指向次要出口(如1000M线路)的路由优先级(preference)调高(如70),使其作为备份。*
3. 配置ACL匹配流量:创建高级ACL(如3000),基于源IP地址匹配需要从特定出口出去的流量。
acl advanced 3000
rule 5 permit ip source <VLAN_A网段> 0
4. 配置策略路由:创建策略路由节点,将匹配ACL的流量重定向到主用出口的下一跳(即主用防火墙接口IP)。
policy-based-route PBR permit node 10
if-match acl 3000
apply next-hop <H3C防火墙接口IP>
5. 应用策略路由:在核心交换机连接内网用户的VLAN接口或物理接口入方向应用策略路由。
interface Vlan-interface 10
ip policy-based-route PBR
关键点:
未匹配策略路由的流量(如其他VLAN的用户)将根据路由表走备份默认路由(即深信服出口)。
此方案实现了出向流量的分流。对于入向流量(从互联网返回),由于两条宽带同网段,运营商的回包路径可能随机,存在不对称路由风险。建议在防火墙上开启会话保持或状态检测以应对此情况。
操作前请备份设备配置。
需要补充的信息:请提供具体的VLAN规划、内网网段和两个防火墙对接核心交换机的接口IP地址,以便给出更精确的ACL规则和下一跳配置。
vlan虚接口可以,核心上有50多vlan
通过策略路由(PBR),根据内网流量的源IP地址段,将其强制导向指定的防火墙出口。
核心交换机职责:在核心交换机上配置策略路由,根据内网流量的源IP地址,将流量分别送往不同的防火墙。
防火墙职责:在防火墙上配置:
连接内网的接口IP(如10.3.1.1/24对应H3C,10.3.2.1/24对应深信服)
默认路由指向运营商网关(30.3.3.3)
源NAT将内网IP转换为防火墙WAN口公网IP
安全策略放行流量
链路检测保障故障切换
H3C防火墙侧配置
假设H3C防火墙的内网口IP为10.3.1.1/24,WAN口IP为30.3.3.1/24,网关为30.3.3.3。
1. 接口配置
[H3C-GigabitEthernet1/0/1] quit
[H3C] interface GigabitEthernet 1/0/2 # 连接运营商
[H3C-GigabitEthernet1/0/2] ip address 30.3.3.1 24
[H3C-GigabitEthernet1/0/2] quit
2. 静态默认路由
[H3C-acl-ipv4-basic-2000] quit
[H3C] interface GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2] nat outbound 2000
[H3C-GigabitEthernet1/0/2] quit
4. 安全策略
[H3C-security-zone-Trust] quit
[H3C] security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
[H3C-security-zone-Untrust] quit
[H3C] rule 0 name permit_internet
[H3C-rule-0] source-zone Trust
[H3C-rule-0] destination-zone Untrust
[H3C-rule-0] action pass [H3C-rule-0] quit
5. 链路检测(可选,用于故障切换)
假设深信服防火墙内网口IP为10.3.2.1/24,WAN口IP为30.3.3.5/24,网关为30.3.3.3。
1. 接口配置
在Web界面 「网络」→「接口」 中配置:
内网口(eth1):IP 10.3.2.1/24,区域 Trust
外网口(eth2):IP 30.3.3.5/24,区域 Untrust,网关 30.3.3.3
2. 静态默认路由
在 「网络」→「路由」→「静态路由」 中添加:目标 0.0.0.0/0,下一跳 30.3.3.3,出接口为 eth2。
3. 源NAT配置
在 「网络」→「NAT」→「源NAT」 中新增:
源区域:Trust
目的区域:Untrust
源地址:10.3.2.0/24
转换方式:出接口地址
4. 安全策略
在 「策略」→「安全策略」 中新增:源区域 Trust,目的区域 Untrust,动作允许,放行内网上网流量。
5. 链路检测
在 「网络」→「路由」→「链路检测」 中配置,对网关 30.3.3.3 进行可达性检测,以便在链路故障时自动切换。
核心交换机配置(最关键)
核心交换机需要根据内网流量的源IP地址,通过策略路由将流量分别送往不同的防火墙。
假设内网有两个业务网段:
VLAN 10(10.10.10.0/24)→ 经 H3C防火墙(下一跳 10.3.1.1)走500M宽带
VLAN 20(10.10.20.0/24)→ 经 深信服防火墙(下一跳 10.3.2.1)走1000M宽带
1. 创建ACL匹配VLAN 10和VLAN 20
[H3C-acl-ipv4-adv-3000] rule permit ip source 10.10.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3000] quit
[H3C] acl advanced 3001
[H3C-acl-ipv4-adv-3001] rule permit ip source 10.10.20.0 0.0.0.255
[H3C-acl-ipv4-adv-3001] quit
2. 创建策略路由
[H3C-pbr-dual-internet-5] apply next-hop 10.3.1.1 # H3C防火墙内网口IP
[H3C-pbr-dual-internet-5] quit
[H3C] policy-based-route dual-internet node 10
[H3C-pbr-dual-internet-10] if-match acl 3001
[H3C-pbr-dual-internet-10] apply next-hop 10.3.2.1 # 深信服防火墙内网口IP
[H3C-pbr-dual-internet-10] quit
3. 在内网接口应用策略路由
[H3C-Vlan-interface10] quit
[H3C] interface Vlan-interface 20 # VLAN 20的网关接口
[H3C-Vlan-interface20] ip policy-based-route dual-internet
[H3C-Vlan-interface20] quit
4. 配置防火墙的回程路由
两台防火墙上都需要配置到各内网网段的路由,指向核心交换机:
[H3C] ip route-static 10.10.20.0 24 10.3.1.2
# 深信服防火墙
[Sanfor] ip route-static 10.10.10.0 24 10.3.2.2 # 10.3.2.2为核心交换机与深信服互联接口IP
[Sanfor] ip route-static 10.10.20.0 24 10.3.2.2
终端网关都在hx交换机上
终端网关都在hx交换机上
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
vlan虚接口可以,核心上有50多vlan