随着信息化安全形势的严峻,许多单位都对网络安全提高了重视程度。为了保障数据安全和业务安全,会首先考虑对业务前置区进行安全加固,采购比如防火墙、IPS等安全设备部署至服务器前置区,但是在实施过程中发现原有网络架构设计时并没有设计服务器汇聚交换机,如果想要将安全设备直接串接入网需要对现网进行改造,这会面临着较长时间的业务中断,在一些行业是不能被接受的,既要实现安全设备串接的效果,又不需要改变现有网络架构导致的长时间中断业务,这时候我们会用到安全设备旁路部署,通过策略引流的方式实现安全设备的串接。
此篇文章中将会使用下图为例,对交换机(华为品牌)策略引流的方式进行配置实操。此图为实际交付场景的逻辑图,如下:
图-1
1、需求描述
如上图-1所示,所有客户端原来通过核心交换机与服务器群直接通讯,采购防火墙后需要所有客户端访问服务器的流量都要经过防火墙在到服务器,为了保障防火墙杀毒模块和IPS模块的准确性需要服务器群对客户端的回包也要经过防火墙再到客户端。
客户端网段:192.172.16.0/24,192.172.17.0/24
服务器网段:192.172.18.0/24,192.172.19.0/24
防火墙地址:77.77.77.2/30,88.88.88.2/30
交换机地址:77.77.77.1/30,88.88.88.1/30
服务器vlan:vlan 18,vlan 19
客户端vlan:vlan 16,vlan17
2、配置分析
在此场景下我们可以一根线将防火墙连接至核心交换机采用单臂模式进行引流,也可以采用两根线连接至核心交换机采用一进一出的方式进行引流,此篇文章中采用的是防火墙两根线连接至核心交换机做的示例。
3、具体配置
3.1、定义ACL控制列表
acl number 2100
rule 5 permit ip destination 192.172.18.0 0.0.0.255
rule 10 permit ip destination 192.172.19.0 0.0.0.255
acl number 2200
rule 5 permit ip source 192.172.18.0 0.0.0.255
rule 10 permit ip source 192.172.19.0 0.0.0.255
3.2、定义策略流
traffic classifier c1 operator or precedence 5
if-match acl 2100
traffic classifier c2 operator or precedence 10
if-match acl 2200
3.3、定义行为流
traffic behavior b1
permit
redirect ip-nexthop 77.77.77.2
traffic behavior b2
permit
redirect ip-nexthop 88.88.88.2
3.4、策略流和行为流进行匹配
traffic policy p1 match-order config
classifier c1 behavior b1
traffic policy p2 match-order config
classifier c2 behavior b2
3.5、防火墙添加路由
[Firewall] ip route-static 192.172.16.0 255.255.255.0 77.77.77.1
[Firewall] ip route-static 192.172.17.0 255.255.255.0 77.77.77.1
[Firewall] ip route-static 192.172.18.0 255.255.255.0 88.88.88.1
[Firewall] ip route-static 192.172.19.0 255.255.255.0 88.88.88.1
3.6、相应接口下应用流策略
[xiaozc] inter vlan16
[xiaozc-Vlanif16] traffic-policy p1 inbound
[xiaozc] inter vlan17
[xiaozc-Vlanif17] traffic-policy p1 inbound
[xiaozc] inter vlan18
[xiaozc-Vlanif18] traffic-policy p2 inbound
[xiaozc] inter vlan19
[xiaozc-Vlanif19] traffic-policy p2 inbound
3.7、验证数据流走向
通过tracert命令追踪到服务器区域的IP地址,发现数据流经过了防火墙,而且登录防火墙也会看到相应的会话以及流量。至此交换机策略引流配置完成。