H3C防火墙透明部署二层旁挂技术笔记

不做菜鸟的网工
2 阅读7分钟

防火墙透明部署二层旁挂技术笔记

1. 项目概述

本文档旨在描述三台网络设备(S1交换机、R1路由器、F1防火墙)的配置及其实现的网络功能。主要设计目标包括:

  • 实现R1与S1之间的双链路冗余,提供逃生通道以应对主链路故障。
  • 防火墙F1以透明旁挂模式部署,对Trust与UnTrust进行安全隔离,同时不改变三层拓扑。
  • 通过 静态路由+NQA 结合,确保在故障时快速切换,保障业务连续性。

2. 网络拓扑与IP规划

2.1 设备角色及连接关系

正常流量转发情况 image.png

防火墙故障逃生通道 image.png

  • R1(路由器):作为出口路由器或上行连接,提供与外部网络(如Internet)的互联。连接S1的两条链路。
  • S1(交换机):作为核心交换机,提供VLAN间路由及与R1的互联。下联防火墙F1及可能的内部终端。
  • F1(防火墙):透明模式防火墙,旁挂于核心交换机中,对进出的流量进行访问控制。

2.2 IP地址规划表

设备接口IP地址所属VLAN/网络说明
R1GigabitEthernet0/110.10.10.1/24-连接S1 VLAN20网络(主路径)
R1GigabitEthernet0/210.10.20.1/24-连接S1 GE1/0/3(备份路径)
R1Loopback08.8.8.8/32-管理/标识地址
S1Vlan-interface2010.10.10.2/24VLAN20与R1 GE0/1通信
S1GigabitEthernet1/0/310.10.20.2/24-与R1 GE0/2直连
S1Vlan-interface100172.16.100.254/24VLAN100内部网络网关
S1GigabitEthernet1/0/2-VLAN100连接F1 GE1/0/1 (Untrust)
F1GigabitEthernet1/0/1-VLAN100连接S1,属于Untrust区域
F1GigabitEthernet1/0/2-VLAN100连接内部网络,属于Trust区域
PC1GigabitEthernet0/1172.16.100.1/24VLAN100网关172.16.100.254

3. 设备配置详解

3.1 S1交换机配置要点

  • 基础配置:主机名S1,启用STP全局,配置VLAN 10、20、100。

  • 三层接口

    • VLAN接口20:IP 10.10.10.2/24,用于与R1主路径通信。
    • GE1/0/3:三层路由模式,IP 10.10.20.2/24,连接R1备份路径。
    • VLAN接口100:IP 172.16.100.254/24,作为内部网络网关。

  • 物理接口

    • GE1/0/1:access VLAN 10,连接R1路由器主路径。
    • GE1/0/11:access VLAN 10,连接防火墙F1的Untrust接口。
    • GE1/0/12: access VLAN 20 链接防火墙F1的Trust接口。
    • 其余接口默认bridge模式,未配置。

  • 路由配置

    ip route-static 0.0.0.0 0 10.10.20.1 preference 255
ip route-static 0.0.0.0 0 10.10.10.1

    默认路由两条:下一跳10.10.10.1为主(未指定优先级,默认60),下一跳10.10.20.1为备(优先级255)。主路径指向R1的GE0/1,备份指向R1的GE0/2。

3.2 R1路由器配置要点

  • 基础配置:主机名R1,启用IP unreachables等。

  • 接口

    • GE0/1:10.10.10.1/24,连接S1主路径。
    • GE0/2:10.10.20.1/24,连接S1备份路径。
    • Loopback0:8.8.8.8/32。 用于连通性测试。

  • NQA联动

    nqa entry admin routestatic
 type icmp-echo
  destination ip 10.10.10.2
  frequency 1000
  probe count 2
  probe timeout 500
  reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
nqa schedule admin routestatic start-time now lifetime forever
track 1 nqa entry admin routestatic reaction 1

    创建NQA测试,监控到S1的VLAN20地址10.10.10.2的连通性。连续3次探测失败则触发track 1 down。

  • 路由配置

    ip route-static 172.16.100.0 24 10.10.20.2 preference 255
ip route-static 172.16.100.0 24 10.10.10.2 track 1

    到内网172.16.100.0/24的主路由下一跳10.10.10.2,由track 1监控;备份路由下一跳10.10.20.2,优先级255。当主链路故障时,track down,主路由失效,自动切换到备份路由。

3.3 F1防火墙配置要点

  • 基础配置:主机名F1,透明模式部署。

  • VLAN:创建VLAN 100。

  • 接口

    • GE1/0/1:bridge模式,access VLAN 100,连接S1。
    • GE1/0/2:bridge模式,access VLAN 100,连接内部网络。

  • 安全区域

    • Trust区域:导入接口GE1/0/2及VLAN 100。
    • Untrust区域:导入接口GE1/0/1及VLAN 100。

  • 安全策略

    security-policy ip
 rule 0 name Trust>Untrust
  action pass
  source-zone Trust
  destination-zone Untrust
 rule 5 name Untrust>Trust
  action pass
  source-zone Untrust
  destination-zone Trust
  application ICMP

    策略说明:

    • 允许Trust区域(内部网络)主动访问Untrust区域(连接S1侧)的所有流量。
    • 仅允许ICMP协议从Untrust访问Trust,即外部(S1侧)只能ping通内部网络,其他协议被阻断。

  • 管理配置:启用HTTP/HTTPS,本地用户admin,权限级别3及network-admin等。

4. 冗余与逃生通道机制

4.1 双向链路冗余设计

R1与S1之间部署了两条物理链路,分别承载不同的IP网络:

  • 主路径:R1 GE0/1 (10.10.10.1) ↔ S1 VLAN20 (10.10.10.2)
  • 备份路径:R1 GE0/2 (10.10.20.1) ↔ S1 GE1/0/3 (10.10.20.2)

正常情况下,流量优先通过主路径转发。R1通过NQA实时监控主路径的连通性(检测10.10.10.2)。S1则通过默认路由优先级控制上行流量主备。

4.2 故障切换逻辑

  • 当主路径故障时(如R1 GE0/1到S1的链路中断或S1 VLAN20不可达):
    1. R1的NQA探测连续失败,触发track 1状态变为negative。
    2. 与track关联的主静态路由(下一跳10.10.10.2)失效,从路由表中移除。
    3. R1启用备份静态路由(下一跳10.10.20.2),所有发往172.16.100.0/24的流量切换到备份路径。
    4. 同时,S1的上行默认路由主路径(下一跳10.10.10.1)也可能因链路故障而不可达,但S1有备份默认路由(下一跳10.10.20.1,优先级255)会生效,确保S1访问外部网络的流量也切换到备份链路。
  • 当主路径恢复时:NQA探测成功,track重新变为positive,主路由恢复,流量切回主路径。

此设计实现了双向的逃生通道,确保单一链路故障不会导致网络中断。

5. 安全策略分析

5.1 防火墙透明模式

F1以透明模式部署,所有接口均为二层bridge接口并属于同一VLAN 100。它不参与三层转发,仅对经过的帧进行安全过滤。这种模式无需改变现有网络拓扑,只需将防火墙串接在关键路径上。

5.2 区域与策略

  • Trust区域:内部网络侧(GE1/0/2),代表可信网络。
  • Untrust区域:连接S1侧(GE1/0/1),代表外部或较不可信网络。

策略规则:

  • Trust -> Untrust(规则0):允许所有流量。内部网络可以主动访问外部(如上网、访问S1网关或其他资源)。
  • Untrust -> Trust(规则5):仅允许ICMP协议。外部无法主动发起TCP/UDP连接,只能ping内部进行探测。这有效保护了内部网络免受外部非法访问,同时允许必要的ICMP诊断。

注意:由于防火墙可能具有状态检测功能,实际由内部发起的会话返回流量通常会被自动允许,无需显式规则。但此处配置了仅ICMP允许,若防火墙无状态检测,则内部发起的TCP/UDP返回流量会被阻断,导致通信异常。需根据设备实际行为确认。

6. 测试与验证建议

6.1 连通性测试

  • 从R1 ping 172.16.100.254(S1 VLAN100接口)及内部主机,验证主路径正常。

image.png

  • 从内部主机 ping R1的Loopback 8.8.8.8,验证返回流量。

image.png

6.2 冗余切换测试

  • 手动断开R1 GE0/1与S1主路径之间的链路(或关闭S1对应端口)。
  • 观察R1上路由表变化(主路由消失,备份路由生效)。
  • 持续ping测试,确认丢包不超过NQA检测周期(3秒),验证快速切换。
  • 恢复链路,观察路由回切。

6.3 安全策略验证

  • 从内部主机(Trust侧)主动访问外部(如telnet到R1的某个端口),应成功。
  • 从R1(Untrust侧)主动发起TCP连接到内部主机,应被阻断。
  • 从R1 ping内部主机,应成功(ICMP允许)。
avatar
文章
阅读
粉丝