HUAWEI 防火墙跨三层MAC识别管理的配置

原创2023-05-11 07:06·平静如水的温柔

组网需求

现网中FW作为企业的出口网关,核心交换机三层部署,内网用户通过三层交换机与FW相连,并通过FW访问Internet。FW需要以MAC地址为匹配条件精确配置安全策略、策略路由、带宽策略等来控制内网流量。


拓扑说明:

ISP 模拟营运商 LO0模拟外网服务器

FW出口防火墙

SW1核心交换机

配置思路

FW通过三层交换机与内网PC相连,则无法直接获取到内网PC的MAC地址。此时,需要在FW上配置跨三层MAC识别功能,通过SNMP协议学习到交换机的ARP表,获取内网PC的MAC地址。

A.配置交换机SNMP的基本功能。

    1. 开启SNMP Agent功能。
    2. 配置SNMP的版本。
    3. 配置交换机的团体名。

B.配置FW的跨三层MAC识别的功能。

    1. 配置Local到Trust区域的安全策略,允许防火墙向交换机发送SNMP报文
    2. 配置跨三层MAC识别。

  • 三层交换机需要支持公有MIB节点1.3.6.1.2.1.4.22.1.2
  • 跨三层MAC识别功能不支持跟IP-MAC绑定功能联动。

基础配置

ISP配置

sysname ISP

interface GigabitEthernet0/0/0

ip address 12.0.0.2 255.255.255.252

interface LoopBack0

ip address 1.1.1.1 255.255.255.255


交换机配置

sysname SW1

vlan batch 10 20

dhcp enable

ip pool 10

gateway-list 192.168.10.1

network 192.168.10.0 mask 255.255.255.0


interface Vlanif10

ip address 192.168.10.1 255.255.255.0

dhcp select global


interface Vlanif20

ip address 10.0.0.1 255.255.255.252

interface GigabitEthernet0/0/1

port link-type access

port default vlan 20

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

interface GigabitEthernet0/0/3

port link-type access

port default vlan 10


ip route-static 0.0.0.0 0.0.0.0 10.0.0.2


防火墙基础配置


sysname FW

interface GigabitEthernet1/0/0

ip address 12.0.0.1 255.255.255.252

interface GigabitEthernet1/0/1

ip address 10.0.0.2 255.255.255.252

firewall zone trust


add interface GigabitEthernet1/0/1

firewall zone untrust

add interface GigabitEthernet1/0/0

ip route-static 0.0.0.0 0.0.0.0 12.0.0.2

ip route-static 192.168.10.0 255.255.255.0 10.0.0.1

security-policy

rule name t2u

source-zone trust

destination-zone untrust

service icmp

action permit

//安全策略放行TRUST--UNTRUST的ICMP

nat-policy

rule name t2u

source-zone trust

destination-zone untrust

action source-nat easy-ip

//配置NAT为easyIP模式

基础配置完成后测试全网通达


配置交换机SNMP的基本功能。

snmp-agent

//开启SNMP Agent功能

snmp-agent sys-info version v2c

//配置SNMP的版本

snmp-agent community read 123

//配置交换机的团体名。


交换机配置的团体名需要与FW配置的团体名保持一致。

配置FW的跨三层MAC识别功能
配置Local到Trust区域的安全策略,允许防火墙向交换机发送SNMP报文。

选择“策略 > 安全策略 > 安全策略”,点击“新建安全策略”按如下参数配置。

security-policy

rule name l2t

source-zone local

destination-zone trust

destination-address 10.0.0.0 mask 255.255.255.252

action permit


配置跨三层MAC识别。

snmp-server arp-sync enable

//使能跨三层MAC识别

snmp-server arp-sync interval 5 timeout 3

//访问SNMP时间间隔

snmp-server target-host arp-sync address 10.0.0.1 community 123 v2c

//配置SNMP服务器地址团体名版本


  • 如果组网中的FW和内网PC之间存在多台三层网络设备,请指定内网PC网关为目标网络设备。
  • FW支持指定不同网段的多台三层网络设备作SNMP客户端来获取其ARP表项。

使用命令查看学习到的MAC地址。

display snmp-server arp-sync table


可以清楚看到,内网PC的MAC地址已经学习到,管理员在配置针对业务的安全策略、策略路由、带宽策略、认证策略等时就可以使用内网PC的MAC地址作为策略的匹配条件了。

此处以安全策略为例,设置内网MAC地址为源地址。只允许PC2访问外网


ip address-set PC2 type object

address 0 5489-98f0-1bb2

//配置PC2 地址组指定MAC地址

security-policy

rule name t2u

disable

//关闭原有允许内网访问外网策略

rule name PC2

source-address address-set PC2

action permit

//配置安全策略只允许PC2访问外网

配置完成后 PC1无法访问外网,而PC2正常访问外网。

举报
评论 0
    热门: