拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域
项目要求:
1.外网访问内网流量需要通过防火墙过滤再进入内网;
2.内网访问外网流量直接出站无需过滤。
配置思路:
1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议;
2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。
配置开始:
1.配通底层:
SW1上:
AR1上:
AR2上(模拟防火墙设备):
AR3上(模拟外网用户):
2.PBR配置:此处演示以VLAN2网段为例其他网段同理
acl 3001
rule 0 permit ip destination 172.16.0.0 0.0.0.255 // //acl抓取172.16.0.0 24 网段流量
traffice classifier AR3_PC1 operator or // //创建名称为AR3_PC1流量分类器,匹配条件之间为或的关系
traffice behavior AR3_PC1 // // 创建名称为AR3_PC1流量行为
redirect ip-nexthop 10.0.0.6 // //重定向下一跳为10.0.0.6
traffice police AR3_PC1 // //创建名称为AR3_PC1策略路由
classifier AR3_PC1 behavior AR3_PC1 // // 将流量分类器与流量行为加入策略路由
interface g0/0/2
traffice-police AR3_PC1 inbound
3.验证配置:
AR3上(模拟外网用户):
tracert 172.16.0.253 // //跟踪PC1地址
PC1上:
AR2上抓包(模拟防火墙设备):
使用PC1 ping AR3上loopback0口1.1.1.1
抓包发现只有1.1.1.1-----172.16.0.253 replay回复的包过墙了 172.16.0.253-----1.1.1.1请求的包直接通过SW1-AR1-AR3走了
验证完成
总结:
1.AR2模拟防火墙设备,如若是真实防火墙设备需要将接口加入安全区域,放通安全策略,如果是双向保文都过墙需要关闭防火墙会话表(或者放通两个区域互访)。
2.如果需要流量出的包和入的包都过防火墙则需要在AR1-AR2之间建立两条物理直连链路,一条为入流量一条为出流量,否则一条链路会导致报文三层环路,数据包在AR1-AR2之间循环直至耗费完TTL丢包。
