所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R010C00 配置指南-IP单播路由

本文档介绍了设备支持的IP单播路由相关配置。主要内容包括IP路由概述,静态路由、RIP、RIPng、OSPF、OSPFv3、IS-IS(IPv4)、IS-IS(IPv6)、BGP、路由策略以及策略路由的基本原理和配置过程,并提供相关的配置案例。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置策略路由(引流到旁挂防火墙)示例

配置策略路由(引流到旁挂防火墙)示例

为了保证企业内网的安全,通过配置策略路由将外网到内网的全部流量引流防火墙进行安全检测。

组网需求

图1所示,某公司由于业务需要,用户有访问Internet的需求。用户通过核心交换机SwitchA以及接入网关Router与Internet进行通信。

为了保证公司网络的安全性,将所有进入公司内网的流量引入到旁挂防火墙进行安全检测后再进入公司内部网络。

图13-3  配置策略路由(引流到旁挂防火墙)组网图

配置思路

  • 配置各接口IP地址,并在交换机和防火墙之间配置路由协议,保证路由可达。
  • SwitchA上配置策略路由,将所有外网进入内网的流量重定向到防火墙上进行安全检测。
说明:

本案例只介绍交换机的配置,防火墙的配置请参见相关手册。

操作步骤

  1. 配置SwitchA和防火墙各接口IP地址和路由

    # 配置SwitchA各接口IP地址。缺省情况下,交换机的接口为二层接口,在配置IP地址之前,请先使用undo portswitch命令将接口切换为三层接口。

    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] undo portswitch
    [SwitchA-GigabitEthernet0/0/1] ip address 10.1.1.2 24
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] undo portswitch
    [SwitchA-GigabitEthernet0/0/2] ip address 10.1.20.1 24
    [SwitchA-GigabitEthernet0/0/2] quit
    [SwitchA] interface gigabitethernet 0/0/3
    [SwitchA-GigabitEthernet0/0/3] undo portswitch
    [SwitchA-GigabitEthernet0/0/3] ip address 10.1.10.6 24
    [SwitchA-GigabitEthernet0/0/3] quit
    [SwitchA] interface gigabitethernet 0/0/4
    [SwitchA-GigabitEthernet0/0/4] undo portswitch
    [SwitchA-GigabitEthernet0/0/4] ip address 10.1.11.6 24
    [SwitchA-GigabitEthernet0/0/4] quit
    

    # 在SwitchA上配置路由协议,保证三层互通,这里选取OSPF协议。

    防火墙上一般会配置两个OSPF进程分别发布上行和下行的网段,所以在SwitchA上也需要配置两个OSPF进程。

    [SwitchA] ospf 100
    [SwitchA-ospf-100] area 0       
    [SwitchA-ospf-100-area-0.0.0.0] network 10.1.1.0 0.0.0.255 
    [SwitchA-ospf-100-area-0.0.0.0] network 10.1.10.0 0.0.0.255
    [SwitchA-ospf-100-area-0.0.0.0] quit
    [SwitchA-ospf-100] quit 
    [SwitchA] ospf 200
    [SwitchA-ospf-200] area 0  
    [SwitchA-ospf-200-area-0.0.0.0] network 10.1.11.0 0.0.0.255 
    [SwitchA-ospf-200-area-0.0.0.0] network 10.1.20.0 0.0.0.255
    [SwitchA-ospf-200-area-0.0.0.0] quit
    [SwitchA-ospf-200] quit

  2. SwitchA上配置策略路由,将所有外网进入内网的流量重定向到防火墙进行安全检测

    # 配置流分类,匹配所有流量。
    [SwitchA] traffic classifier c1
    [SwitchA-classifier-c1] if-match any
    [SwitchA-classifier-c1] quit
    
    # 配置流行为,将匹配到的流量重定向到防火墙,下一跳IP地址为10.1.10.5。
    [SwitchA] traffic behavior b1
    [SwitchA-behavior-b1] redirect ip-nexthop 10.1.10.5
    [SwitchA-behavior-b1] quit
    
    # 配置流策略。
    [SwitchA] traffic policy p1
    [SwitchA-trafficpolicy-p1] classifier c1 behavior b1
    [SwitchA-trafficpolicy-p1] quit
    
    # 在SwitchA的GigabitEthernet0/0/1入方向应用流策略。
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] traffic-policy p1 inbound
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] quit
    

  3. 验证配置结果

    # 查看流分类的配置信息。

    <SwitchA> display traffic classifier user-defined c1
      User Defined Classifier Information:                                          
       Classifier: c1                                                               
        Operator: AND                                                               
        Rule(s) : if-match any          

    # 查看流行为的配置信息。

    <SwitchA> display traffic behavior user-defined b1
      User Defined Behavior Information:                                            
        Behavior: b1                                                                
          Redirect: no forced                                                       
            Redirect ip-nexthop                                                     
            10.1.10.5                    

    # 查看流策略的配置信息。

    <SwitchA> display traffic policy user-defined p1
      User Defined Traffic Policy Information:                                      
      Policy: p1                                                                    
       Classifier: c1                                                               
        Operator: AND                                                               
         Behavior: b1                                                               
          Redirect: no forced                                                       
            Redirect ip-nexthop                                                     
            10.1.10.5                                           

    # 查看流策略的应用信息。

    <SwitchA> display traffic-policy applied-record
    #                                                                               
    -------------------------------------------------                               
      Policy Name:   p1                                                             
      Policy Index:  0                                                              
         Classifier:c1     Behavior:b1                                               
    -------------------------------------------------                               
     *interface GigabitEthernet0/0/1     
        traffic-policy p1 inbound                                                   
          slot 0    :  success                                                      
    -------------------------------------------------                               
      Policy total applied times: 1.                                                
    # 
    

配置文件

SwitchA的配置文件

#
sysname SwitchA
#
traffic classifier c1 operator and
 if-match any
#
traffic behavior b1
 redirect ip-nexthop 10.1.10.5
#
traffic policy p1 match-order config
 classifier c1 behavior b1 
#
interface GigabitEthernet0/0/1
 undo portswitch                                                                
 ip address 10.1.1.2 255.255.255.0                                              
 traffic-policy p1 inbound            
#
interface GigabitEthernet0/0/2
 undo portswitch                                                                
 ip address 10.1.20.1 255.255.255.0  
#
interface GigabitEthernet0/0/3
 undo portswitch                                                                
 ip address 10.1.10.6 255.255.255.0  
#
interface GigabitEthernet0/0/4
 undo portswitch                                                                
 ip address 10.1.11.6 255.255.255.0  
#                                                                               
ospf 100                                                                        
 area 0.0.0.0                                                                   
  network 10.1.1.0 0.0.0.255
  network 10.1.10.0 0.0.0.255                                                  
#                                                                               
ospf 200                                                                        
 area 0.0.0.0                                                                   
  network 10.1.11.0 0.0.0.255
  network 10.1.20.0 0.0.0.255                                                   
#                                              
return
翻译
下载文档
更新时间:2019-04-17

文档编号:EDOC1000141402

浏览量:22006

下载量:1340

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页