【交换机在江湖】实战案例二十五 NGFW Module配置示例

[复制链接]
发表于 : 2015-6-11 19:13:01 最新回复:2017-07-11 23:35:51
5134 5
交换机在江湖
交换机在江湖 官方号

1.1 NGFW Module简介

在交换机上安装了NGFW Module以后,您可以根据业务需要,将指定的流量重定向到NGFW Module上去处理。以1为例,您可以将企业办公区和外网访问服务器区的流量重定向到NGFW Module去做安全检测。

1 根据业务需要调整业务流径

【交换机在江湖】实战案例二十五  NGFW Module配置示例-1331285-1

NGFW Module提供了CLI界面和简单易用的Web UI

NGFW Module还支持通过SNMP协议与标准网管进行通信,接受网管的集中管理。  

1.1.1 NGFW Module的外观

NGFW Module是一款单板形态的下一代防火墙产品,可以应用于华为S7700S9700S12700系列交换机,为IP网络迅速灵活地整合防火墙、NATVPN等安全功能。

2 NGFW Module外观结构

【交换机在江湖】实战案例二十五  NGFW Module配置示例-1331285-2

                               【交换机在江湖】实战案例二十五  NGFW Module配置示例-1331285-3

 

1.1.2 NGFW Module支持的主要功能

【交换机在江湖】实战案例二十五  NGFW Module配置示例-1331285-4

 

1.1.3 NGFW Module与交换机的连接

NGFW Module和交换机之间通过220GE内部以太网链路相连,您可以把NGFW Module看作一台通过内部以太网接口与交换机直连的防火墙设备。

NGFW模块侧,两个内部以太网接口的编号固定为GE1/0/0GE1/0/1

在交换机侧,内部以太网接口的编号由NGFW Module安装的槽位号决定。例如,当NGFW Module安装在交换机的1号槽位时,如3所示,交换机侧的两个内部以太网接口编号为XGE1/0/0XGE1/0/1

3 内部以太网接口的编号规则

【交换机在江湖】实战案例二十五  NGFW Module配置示例-1331285-5 

 

1.2 NGFW Module配置示例

本示例重点展示如何配置NGFW Module与交换机之间的接口连接以及流量重定向。如果想获得更多精细的安全策略配置,请参考HUAWEI USG6000系列 & NGFW Module V100R001 管理员指南》。 

 

配置注意事项

【交换机在江湖】实战案例二十五  NGFW Module配置示例-1331285-6

 

组网需求

在大型园区出口,通常核心交换机上行通过路由器访问外网,防火墙做外网访问控制。

通过在核心交换机上插NGFW板卡实现防火墙功能,并对VLAN 301VLAN 302之间的流量做安全检测。

为提高安全设备可靠性,在核心交换机上部署2NGFW板卡组成双机热备(负载分担模式)。2NGFW板卡同时转发流量,当其中一块NGFW板卡故障时,业务可以平滑切换到另一块NGFW板卡。

4 NGFW Module的双机热备组网图

 【交换机在江湖】实战案例二十五  NGFW Module配置示例-1331285-7

4右侧部分所示,为了提高带宽和链路可靠性,可以将交换机和NGFW Module的内部以太网接口捆绑为Eth-Trunk接口。交换机侧通过Eth-Trunk接口将流量转发给NGFW Module处理。

 

两块NGFW Module安装在交换机的1号槽位和2号槽位。为了便于理解,4中交换机与NGFW Module之间的连接图可以转化为图5

5 NGFW Module负载分担逻辑组网图

【交换机在江湖】实战案例二十五  NGFW Module配置示例-1331285-8

配置思路

采用如下思路配置交换机和NGFW

1.       在交换上配置交换机与NGFW之间的接口和流量通路。

2.       在交换机上配置重定向(策略路由),将流量转发到NGFW进行安全检测。

3.       NGFW上配置NGFW与交换机之间的接口和流量通路。

4.       NGFW上配置双机热备。

5.       NGFW上配置安全策略。

 

操作步骤

                            步骤 1     交换机:创建VLANVLANIF接口,并配置VLANIF接口的IP地址。

<HUAWEI> system-view

[HUAWEI] vlan batch 301 302 303 304

[HUAWEI] interface GigabitEthernet 3/0/1  // GE3/0/1作为交换机连接业务网络1的接口。

[HUAWEI-GigabitEthernet3/0/1] port link-type trunk

[HUAWEI-GigabitEthernet3/0/1] port trunk allow-pass vlan 301

[HUAWEI-GigabitEthernet3/0/1] quit

[HUAWEI] interface vlanif301  // vlanif301作为交换机下行网关,连接10.10.10.0网段。

[HUAWEI-vlanif301] ip address 10.10.10.1 24

[HUAWEI-vlanif301] quit

[HUAWEI] interface GigabitEthernet 3/0/0  // GE3/0/0作为交换机连接业务网络2的接口。

[HUAWEI-GigabitEthernet3/0/0] port link-type trunk

[HUAWEI-GigabitEthernet3/0/0] port trunk allow-pass vlan 302

[HUAWEI-GigabitEthernet3/0/0] quit

[HUAWEI] interface vlanif302  // vlanif302作为交换机下行网关,,连接10.10.20.0网段。

[HUAWEI-vlanif302] ip address 10.10.20.1 24

[HUAWEI-vlanif302] quit

[HUAWEI] interface vlanif303  // vlanif303作为交换机与NGFW Module VRRP系统中虚拟地址通信的接口。

[HUAWEI-vlanif303] ip address 10.10.1.5 24

[HUAWEI-vlanif303] quit

[HUAWEI] interface vlanif304  // vlanif304作为交换机与NGFW Module VRRP系统中虚拟地址通信的接口。

[HUAWEI-vlanif304] ip address 10.10.2.5 24

[HUAWEI-vlanif304] quit

 

                                      步骤 2     交换机:配置交换机与NGFW Module之间连接的内部Eth-Trunk接口。

[HUAWEI] interface Eth-Trunk 1  // XGE1/0/0和XGE1/0/1作为连接NGFW Module 1的接口,加入Eth-Trunk1。

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 1/0/0

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 1/0/1

[HUAWEI-Eth-Trunk1] port link-type trunk

[HUAWEI-Eth-Trunk1] port trunk allow-pass vlan 301 302 303 304  // Eth-Trunk1透传VLAN301-304的流量。

[HUAWEI-Eth-Trunk1] quit

[HUAWEI] interface Eth-Trunk 2  // XGE2/0/0和XGE2/0/1作为连接NGFW Module 2的接口,加入Eth-Trunk2。

[HUAWEI-Eth-Trunk2] trunkport XGigabitEthernet 2/0/0

[HUAWEI-Eth-Trunk2] trunkport XGigabitEthernet 2/0/1

[HUAWEI-Eth-Trunk2] port link-type trunk

[HUAWEI-Eth-Trunk2] port trunk allow-pass vlan 301 302 303 304  // Eth-Trunk2透传VLAN301-304的流量。

[HUAWEI-Eth-Trunk2] quit

 

                           步骤 3     交换机:配置流策略,将VLAN 301VLAN 302之间的流量重定向到NGFW Module

# 创建ACL。

[HUAWEI] acl 3001  // acl3001定义为从业务网络1到业务网络2 的流量。

[HUAWEI-acl-adv-3001] rule permit ip source 10.10.10.0 0.0.0.255 destination 10.10.20.0 0.0.0.255

[HUAWEI-acl-adv-3001] quit

[HUAWEI] acl 3002  // acl3002定义为从业务网络2到业务网络1 的流量。

[HUAWEI-acl-adv-3002] rule permit ip source 10.10.20.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

[HUAWEI-acl-adv-3002] quit

 

# 配置流分类。

[HUAWEI] traffic classifier classifier1

[HUAWEI-classifier-classifier1] if-match acl 3001

[HUAWEI-classifier-classifier1] quit

[HUAWEI] traffic classifier classifier2

[HUAWEI-classifier-classifier2] if-match acl 3002

[HUAWEI-classifier-classifier2] quit

 

# 配置流行为,将流量重定向到NGFW Module两个VRRP备份组提供的虚拟IP地址。

[HUAWEI] traffic behavior behavior1 // 将流量重定向到双机热备的两个虚拟IP地址10.10.1.1(NGFW Module1)和10.10.1.2(NGFW Module2)。

[HUAWEI-behavior-behavior1] redirect ip-multihop nexthop 10.10.1.1 nexthop 10.10.1.2

[HUAWEI-behavior-behavior1] quit

[HUAWEI] traffic behavior behavior2  // 将流量重定向到双机热备的两个虚拟IP地址10.10.2.1(NGFW Module1)和10.10.2.2(NGFW Module2)。

[HUAWEI-behavior-behavior1] redirect ip-multihop nexthop 10.10.2.1 nexthop 10.10.2.2

[HUAWEI-behavior-behavior1] quit

 

# 配置流策略并应用到接口的入方向上。

[HUAWEI] traffic policy policy1  // 来自业务网络1的流量重定向到双机热备的两个虚拟IP地址10.10.1.1(NGFW Module1)和10.10.1.2(NGFW Module2)。

[HUAWEI-trafficpolicy-policy1] classifier classifier1 behavior behavior1

[HUAWEI-trafficpolicy-policy1] quit

[HUAWEI] traffic policy policy2  // 来自业务网络2的流量重定向到双机热备的两个虚拟IP地址10.10.2.1(NGFW Module1)和10.10.2.2(NGFW Module2)。

[HUAWEI-trafficpolicy-policy2] classifier classifier2 behavior behavior2

[HUAWEI-trafficpolicy-policy2] quit

[HUAWEI] interface GigabitEthernet 3/0/1  // 在连接业务网络1的接口入方向应用policy1。

[HUAWEI-GigabitEthernet3/0/1] traffic-policy policy1 inbound

[HUAWEI-GigabitEthernet3/0/1] quit

[HUAWEI] interface GigabitEthernet 3/0/0  // 在连接业务网络2的接口入方向应用policy2。

[HUAWEI-GigabitEthernet3/0/0] traffic-policy policy2 inbound

[HUAWEI-GigabitEthernet3/0/0] quit

 

                           步骤 4    从交换机登录NGFWCLI界面

# 从交换机登录NGFW Module 1。

[HUAWEI] connect slot 1

******************************************************

*              Slot  1 output to mainboard           *

******************************************************

Press Ctrl+D to quit

按下“Enter”键,系统重定向到NGFW Module的CLI界面。

 

                           步骤 5     NGFW Module:内部以太网接口捆绑为Eth-Trunk接口并创建两个三层子接口,分别用于dot1q终结VLAN 303VLAN 304,并加入安全域。

# 两块NGFW Module的配置除IP地址外完全相同,下面仅提供NGFW Module1的配置步骤用于示例。

# 创建Eth-Trunk接口。

<sysname> system-view

[sysname] interface Eth-Trunk 1  // GE1/0/0和GE1/0/1作为连接交换机的内部接口,加入Eth-Trunk1。

[sysname-Eth-Trunk1] quit

[sysname] interface GigabitEthernet 1/0/0

[sysname-GigabitEthernet1/0/0] Eth-Trunk 1

[sysname-GigabitEthernet1/0/0] quit

[sysname] interface GigabitEthernet 1/0/1

[sysname-GigabitEthernet1/0/1] Eth-Trunk 1

[sysname-GigabitEthernet1/0/1] quit

 

# 配置Eth-Trunk子接口。

说明:

从VLAN 301进入交换机的报文,首先查找路由表,根据路由表修改报文的VLAN标签为303,再转发给NGFW Module。报文经过NGFW Module处理后再回送给交换机,同样要先查找路由表。因此,Eth-Trunk1.1要终结的VLAN为303,Eth-Trunk1.2要终结的VLAN为304。

[sysname] interface Eth-Trunk 1.1  // Eth-Trunk1.1连接交换机的vlanif303,并终结VLAN303。

[sysname-Eth-Trunk1.1] vlan-type dot1q 303

[sysname-Eth-Trunk1.1] ip address 10.10.1.3 24

[sysname-Eth-Trunk1.1] quit

[sysname] interface Eth-Trunk 1.2  // Eth-Trunk1.2连接交换机的vlanif304,并终结VLAN304。

[sysname-Eth-Trunk1.2] vlan-type dot1q 304

[sysname-Eth-Trunk1.2] ip address 10.10.2.3 24

[sysname-Eth-Trunk1.2] quit

 

# 将Eth-Trunk子接口分别加入Trust域和Untrust域。

[sysname] firewall zone Trust  // 将Eth-Trunk1.1接口加入Trust区域。

[sysname-zone-trust] add interface Eth-Trunk 1.1

[sysname-zone-trust] quit

[sysname] firewall zone Untrust  // 将Eth-Trunk1.2接口加入Untrust区域。

[sysname-zone-untrust] add interface Eth-Trunk 1.2

[sysname-zone-untrust] quit

 

                           步骤 6     NGFW Module:配置静态路由。

# 在两块NGFW Module上分别配置两条静态路由,使NGFW Module上的流量转发回交换机。

[sysname] ip route-static 10.10.10.0 24 10.10.1.5  // 目的IP是10.10.10.0的报文下一跳配置为交换机的vlanif303接口。

[sysname] ip route-static 10.10.20.0 24 10.10.2.5  // 目的IP是10.10.20.0的报文下一跳配置为交换机的vlanif304接口。

 

                           步骤 7     NGFW Module:配置负载分担形式的VRRP备份组。

# 在NGFW Module1上配置两个VRRP备份组,将下行接口Eth-Trunk 1.1加入这两个VRRP备份组。NGFW Module 1在备份组VRID1中作为active,在备份组VRID2中作为standby。

[sysname] interface Eth-Trunk 1.1 

[sysname-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 10.10.1.1 active

[sysname-Eth-Trunk1.1] vrrp vrid 2 virtual-ip 10.10.1.2 standby

[sysname-Eth-Trunk1.1] quit

 

# 在NGFW Module1上配置两个VRRP备份组,将上行接口Eth-Trunk 1.2加入这两个VRRP备份组。NGFW Module 1在备份组VRID3中作为active,在备份组VRID4中作为standby。

[sysname] interface Eth-Trunk 1.2

[sysname-Eth-Trunk1.1] vrrp vrid 3 virtual-ip 10.10.2.1 active

[sysname-Eth-Trunk1.1] vrrp vrid 4 virtual-ip 10.10.2.2 standby

[sysname-Eth-Trunk1.1] quit

 

# 在NGFW Module2上配置两个VRRP备份组,将下行接口Eth-Trunk 1.1加入这两个VRRP备份组。NGFW Module 2在备份组VRID1中作为standby,在备份组VRID2中作为active。

[sysname] interface Eth-Trunk 1.1

[sysname-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 10.10.1.1 standby

[sysname-Eth-Trunk1.1] vrrp vrid 2 virtual-ip 10.10.1.2 active

[sysname-Eth-Trunk1.1] quit

 

# 在NGFW Module2上配置两个VRRP备份组,将上行接口Eth-Trunk 1.2加入这两个VRRP备份。NGFW Module 2在备份组VRID3中作为standby,在备份组VRID4中作为active。

[sysname] interface Eth-Trunk 1.2

[sysname-Eth-Trunk1.1] vrrp vrid 3 virtual-ip 10.10.2.1 standby

[sysname-Eth-Trunk1.1] vrrp vrid 4 virtual-ip 10.10.2.2 active

[sysname-Eth-Trunk1.1] quit

 

                           步骤 8     NGFW Module:配置心跳接口。

说明:

两块NGFW Module的心跳口IP地址必须在同一个网段。

两块NGFW Module的Eth-Trunk接口的成员接口必须完全相同。

# 在NGFW Module1上配置心跳口。这里以两个接口捆绑为例。

[sysname] interface Eth-Trunk 0  //将NGFW Module1面板上的GE0/0/1和GE0/0/2捆绑为Eth-Trunk接口,作为心跳口和备份通道。

[sysname-Eth-Trunk0] ip address 192.168.10.1 24

[sysname-Eth-Trunk0] quit

[sysname] interface GigabitEthernet 0/0/1

[sysname-GigabitEthernet0/0/1] Eth-Trunk 0

[sysname-GigabitEthernet0/0/1] quit

[sysname] interface GigabitEthernet 0/0/2

[sysname-GigabitEthernet0/0/2] Eth-Trunk 0

[sysname-GigabitEthernet0/0/2] quit

 

# 在NGFW Module2上配置心跳口。

[sysname] interface Eth-Trunk 0  //将NGFW Module2面板上的GE0/0/1和GE0/0/2捆绑为Eth-Trunk接口,作为心跳口和备份通道。

[sysname-Eth-Trunk0] ip address 192.168.10.2 24

[sysname-Eth-Trunk0] quit

[sysname] interface GigabitEthernet 0/0/1

[sysname-GigabitEthernet0/0/1] Eth-Trunk 0

[sysname-GigabitEthernet0/0/1] quit

[sysname] interface GigabitEthernet 0/0/2

[sysname-GigabitEthernet0/0/2] Eth-Trunk 0

[sysname-GigabitEthernet0/0/2] quit

 

# 在两块NGFW Module上分别进行以下配置,将心跳接口加入DMZ域。

[sysname] firewall zone DMZ

[sysname-zone-dmz] add interface Eth-Trunk 0

[sysname-zone-dmz] quit

 

# 在两块NGFW Module上分别进行以下配置,指定心跳接口。

[sysname] hrp interface Eth-Trunk 0

 

                           步骤 9    NGFW Module:在两块NGFW Module上分别进行以下配置,启用负载分担形式的双机热备。

[sysname] hrp loadbalance-device

[sysname] hrp enable

说明:

如果NGFW Module启用NAT,则还需要在两块NGFW Module上分别配置hrp nat ports-segment primaryhrp nat ports-segment secondary,以避免端口冲突。

 

                           步骤 10     NGFW Module:配置安全策略。

说明:

·        启用双机热备以后,两块NGFW Module之间的配置可以自动备份到对端。因此,只需要在一块NGFW Module上配置安全策略即可。

·        为便于验证部署结果,此处以允许VLAN 301和VLAN 302之间的所有流量为例介绍配置方法。请在验证结束后配置更精细的安全策略,配置可参考《NGFW 典型配置案例》。

[sysname] security-policy

[sysname-policy-security] rule name policy1

[sysname-policy-security-rule-policy1] source-zone trust

[sysname-policy-security-rule-policy1] destination-zone untrust

[sysname-policy-security-rule-policy1] action permit

[sysname-policy-security-rule-policy1] quit

[sysname-policy-security] rule name policy2

[sysname-policy-security-rule-policy2] source-zone untrust

[sysname-policy-security-rule-policy2] destination-zone trust

[sysname-policy-security-rule-policy2] action permit

[sysname-policy-security-rule-policy2] quit

[sysname-policy-security] quit

----结束

 

后续处理

1 执行Ping测试,确认网络通畅。如有异常,请检查配置。

2 NGFW Module上执行shutdown命令关闭Eth-Trunk接口,检查双机状态和业务状态。检查后恢复接口。

3 根据业务需求,配置精细化的安全策略,配置业务。

 

1.3 案例小结

部署NGFW Module需要考虑三个因素:交换机的引流方式、NGFW Module上用来互通的接口以及NGFW Module的工作模式。

 

交换机引流方式

要使用NGFW Module实现安全功能,必须首先将流量引导到NGFW Module,实现交换机与NGFW Module的数据连通。

 

l   划分VLAN引流:交换机和NGFW Module之间通过VLAN方式组网,将有互通需求的接口划分在同一个VLAN内实现二层的互通。

 

l   重定向引流:交换机上配置流策略,将需要检测的流量重定向到NGFW Module的接口上,实现流量二层互通。在NGFW Module上完成安全检测以后,再通过接口对回注到交换机。

 

l   策略路由引流:交换机上配置策略路由,将需要检测的流量下一跳重定向到NGFW Module,实现流量三层互通。在NGFW Module上完成安全检测以后,再通过静态路由回注到交换机。

 

接口选择

您可以使用NGFW Module的主接口或者子接口与交换机互通。NGFW Module支持报文从同一个接口进出。

 

为了提高接口带宽和链路可靠性,建议您将内部以太网接口捆绑成Eth-Trunk接口,使用Eth-Trunk接口或者Eth-Trunk子接口与交换机互通。

 

NGFW Module的工作方式

NGFW Module有两种工作模式:

l   路由模式,接口工作在三层。

l   接口对模式,接口工作在二层,组成接口对。报文从一个接口进入后,从其对应的另一个接口出去,不再查找MAC转发表。

 

更多NGFW Module的部署方式请参见《HUAWEI NGFW Module V100R001 部署指南》。 

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
kmyd
kmyd  大师 发表于 2015-6-11 21:49:51 已赞(0) 赞(0)

好资料,感谢分享!!

  • x
  • 常规:

点评 回复

kaixiao
kaixiao   发表于 2015-9-13 11:53:15 已赞(0) 赞(0)

感谢分享!

  • x
  • 常规:

点评 回复

WSD17
WSD17   发表于 2015-10-2 21:15:44 已赞(0) 赞(0)

非常不错,支持一下
  • x
  • 常规:

点评 回复

wei.yan
wei.yan  新锐 发表于 2017-7-4 10:35:21 已赞(0) 赞(0)

1.第二块防火墙单板的接口应该是G2/0/0,G2/0/1吧
2.交换机eth接口没有必要透传VLAN301,VLAN302吧;
理解:
1..通过配置了多个下一跳,可以实现设备按照等价路由负载分担方式对报文进行重定向转发。
2.使用重定向到多下一跳的正常转发过程中,如果当前下一跳对应的出接口状态突然为Down,或路由突然发生了改变,设备可将链路快速切换到当前可用的某个下一跳对应的出接口上。如果配置的多个下一跳均不可用,设备按报文原来的目的地址转发。
3.执行redirect ip-multihop命令最多可以配置4个下一跳IP地址。如果设备上没有命令中下一跳IP地址对应的ARP表项,使用此命令能配置成功,但重定向不能生效,设备仍按报文原来的目的地址转发,直到设备上有对应的ARP表项。
4.静态路由没有下一跳的ARP信息的时候依然存在。
  • x
  • 常规:

点评 回复

唯美
唯美   发表于 2017-7-11 23:35:51 已赞(0) 赞(0)

wei.yan 发表于 2017-07-04 10:35 1.第二块防火墙单板的接口应该是G2/0/0,G2/0/1吧2.交换机eth接口没有必要透传VLAN301,VLAN302吧;理解: ...
1.第二块防火墙单板的接口应该是G2/0/0,G2/0/1吧
# 你的意思是说 防火墙内部和交换机互联的端口序号,和防火墙单板所在槽位号相关联吗?
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录