HUAWEI 防火墙跨三层MAC识别管理的配置
组网需求
现网中FW作为企业的出口网关,核心交换机三层部署,内网用户通过三层交换机与FW相连,并通过FW访问Internet。FW需要以MAC地址为匹配条件精确配置安全策略、策略路由、带宽策略等来控制内网流量。
拓扑说明:
ISP 模拟营运商 LO0模拟外网服务器
FW出口防火墙
SW1核心交换机
配置思路
FW通过三层交换机与内网PC相连,则无法直接获取到内网PC的MAC地址。此时,需要在FW上配置跨三层MAC识别功能,通过SNMP协议学习到交换机的ARP表,获取内网PC的MAC地址。
A.配置交换机SNMP的基本功能。
- 开启SNMP Agent功能。
- 配置SNMP的版本。
- 配置交换机的团体名。
B.配置FW的跨三层MAC识别的功能。
- 配置Local到Trust区域的安全策略,允许防火墙向交换机发送SNMP报文
- 配置跨三层MAC识别。
- 三层交换机需要支持公有MIB节点1.3.6.1.2.1.4.22.1.2。
- 跨三层MAC识别功能不支持跟IP-MAC绑定功能联动。
基础配置
ISP配置
sysname ISP
interface GigabitEthernet0/0/0
ip address 12.0.0.2 255.255.255.252
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
交换机配置
sysname SW1
vlan batch 10 20
dhcp enable
ip pool 10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
dhcp select global
interface Vlanif20
ip address 10.0.0.1 255.255.255.252
interface GigabitEthernet0/0/1
port link-type access
port default vlan 20
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
防火墙基础配置
sysname FW
interface GigabitEthernet1/0/0
ip address 12.0.0.1 255.255.255.252
interface GigabitEthernet1/0/1
ip address 10.0.0.2 255.255.255.252
firewall zone trust
add interface GigabitEthernet1/0/1
firewall zone untrust
add interface GigabitEthernet1/0/0
ip route-static 0.0.0.0 0.0.0.0 12.0.0.2
ip route-static 192.168.10.0 255.255.255.0 10.0.0.1
security-policy
rule name t2u
source-zone trust
destination-zone untrust
service icmp
action permit
//安全策略放行TRUST--UNTRUST的ICMP
nat-policy
rule name t2u
source-zone trust
destination-zone untrust
action source-nat easy-ip
//配置NAT为easyIP模式
基础配置完成后测试全网通达
配置交换机SNMP的基本功能。
snmp-agent
//开启SNMP Agent功能
snmp-agent sys-info version v2c
//配置SNMP的版本
snmp-agent community read 123
//配置交换机的团体名。
交换机配置的团体名需要与FW配置的团体名保持一致。
配置FW的跨三层MAC识别功能
配置Local到Trust区域的安全策略,允许防火墙向交换机发送SNMP报文。
选择“策略 > 安全策略 > 安全策略”,点击“新建安全策略”按如下参数配置。
security-policy
rule name l2t
source-zone local
destination-zone trust
destination-address 10.0.0.0 mask 255.255.255.252
action permit
配置跨三层MAC识别。
snmp-server arp-sync enable
//使能跨三层MAC识别
snmp-server arp-sync interval 5 timeout 3
//访问SNMP时间间隔
snmp-server target-host arp-sync address 10.0.0.1 community 123 v2c
//配置SNMP服务器地址团体名版本
- 如果组网中的FW和内网PC之间存在多台三层网络设备,请指定内网PC网关为目标网络设备。
- FW支持指定不同网段的多台三层网络设备作SNMP客户端来获取其ARP表项。
使用命令查看学习到的MAC地址。
display snmp-server arp-sync table
可以清楚看到,内网PC的MAC地址已经学习到,管理员在配置针对业务的安全策略、策略路由、带宽策略、认证策略等时就可以使用内网PC的MAC地址作为策略的匹配条件了。
此处以安全策略为例,设置内网MAC地址为源地址。只允许PC2访问外网
ip address-set PC2 type object
address 0 5489-98f0-1bb2
//配置PC2 地址组指定MAC地址
security-policy
rule name t2u
disable
//关闭原有允许内网访问外网策略
rule name PC2
source-address address-set PC2
action permit
//配置安全策略只允许PC2访问外网
配置完成后 PC1无法访问外网,而PC2正常访问外网。
请先 后发表评论~