cjh 华为防火墙:配置跨三层MAC识别
华为防火墙:配置跨三层MAC识别
在防火墙配置跨三层MAC识别功能后则防火墙的安全策略可以配置MAC地址为匹配条件。
跨三层MAC识别,指的是当FW和内网PC之间有三层网络设备时,FW仍能学习到内网PC的MAC地址。
当内网PC采用动态IP地址访问互联网时,使用IP地址作为匹配条件已经无法实现对网络流量的准确匹配和控制,此时需要使用MAC地址作为策略匹配条件。
然而,在如图1和图2所示的跨三层网络设备的组网环境中,FW无法直接获取到内网PC的MAC地址,需要开启FW的跨三层MAC识别功能以获取到内网PC的MAC地址。
(1)拓扑图
(2)配置ip地址与静态路由
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.12.88.88 255.255.0.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 172.26.1.1 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
dhcp select interface
dhcp server ip-range 172.26.1.100 172.26.1.199
dhcp server dns-list 172.26.1.1
#
ip route-static 0.0.0.0 0.0.0.0 10.12.12.254
ip route-static 192.168.1.0 255.255.255.0 172.26.1.2
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
add interface GigabitEthernet1/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
(3)防火墙的策略允许 任何区域 permit ip any any
#
security-policy
default action permit
#
(4)配置easy nat, 让内网用户可以访问互联网
#
nat-policy
rule name snat
egress-interface GigabitEthernet1/0/0
action source-nat easy-ip
#
(5)核心交换要的基本配置
interface Vlanif1
ip address 192.168.1.1 255.255.255.0
interface GE1/0/0
undo portswitch
undo shutdown
ip address 172.26.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 172.26.1.1
(6)核心交换机开启SNMP Agent功能。
开启SNMP Agent功能
snmp-agent
配置SNMP的版本。
snmp-agent sys-info version v2c
snmp-agent community read Public@123
(7)防火墙配置跨三层MAC识别
snmp-server arp-sync enable
snmp-server target-host arp-sync address 172.26.1.2 community Public@123 v2c
修改时间
snmp-server arp-sync interval 10 timeout 5
(8)使用命令查看学习到的MAC地址
[USG6000V2]display snmp-server arp-sync table
核心交换机上的mac地址:
(9)能过禁止PC1的mac达到禁止PC1访问互联网
管理员在配置针对业务的安全策略、策略路由、带宽策略、认证策略等时可以使用内网PC的MAC地址作为策略的匹配条件。
此处以安全策略为例,设置内网MAC地址为源地址。
ip address-set PCc type object
address 0 aaaa-aaaa-aaa1
security-policy
default action permit
rule name PC1
source-zone trust
destination-zone untrust
source-address address-set PCc
action deny
结果:PC1已经断网,而PC2还可以正常访问互联网
mac地址(列表、list、全)maclist
http://www.zh-cjh.com/wenzhangguilei/1009.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙:配置跨三层MAC识别
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm