EVE模拟器：单机旁挂模式SACG联动 (防火墙与Agile Controller联动)、来加路径不一致问题

（3）上防火墙

（4）防火墙：配置各设备各接口基本参数。
华为USG防火墙：
interface GigabitEthernet1/0/1
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.2.252 255.255.255.0
 service-manage enable
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
 service-manage netconf permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.12.160.252 255.255.0.0
 service-manage enable
 service-manage http permit
 service-manage https permit              
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
 service-manage netconf permit

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
 add interface GigabitEthernet1/0/2

[FW1]ip route-static 0.0.0.0 0.0.0.0 10.12.160.254

[FW1]ip route-static 192.168.0.0 255.255.255.0 192.168.2.254

#配置AAA：
aaa
   manager-user admin
      password cipher 密码
      service-type web
      level 15

（5）防火墙：配置防火墙域间默认包过滤规则。
#配置策略允许所有：
security-policy
 default action permit

（6）防火墙：关闭会话状态检测功能。关闭防火墙的状态检测，原因来回路径不一致问题。

SACG为硬件防火墙，流量从内到外需要经过SACG, 而返回的流量不经过防火墙，因此SACG需要关闭状态检测。

关闭防火墙会话状态检测功能。
选择“系统 > 配置 > 状态检测”。

[FW1]undo firewall session link-state check

（7.1）引导流量

引导前的流量走向：流量不会经过防火墙。

配置方式1：由于模拟器中的这台sw1交换机不支持端口重定向与策略路由等功能，所以换成一台H3C的路由器来代替：

H3C路由器的配置：

vlan 1
vlan 2
#
interface Vlan-interface1
 ip address 10.12.160.254 255.255.0.0
#
interface Vlan-interface2
 ip address 192.168.0.254 255.255.255.0

interface GigabitEthernet2/0
 port link-mode route
 ip address 192.168.2.254 255.255.255.0

interface GigabitEthernet1/0
 port link-mode bridge
 interface GigabitEthernet3/0
 port link-mode bridge
 
interface GigabitEthernet4/0
 port link-mode bridge
 port access vlan 2
interface GigabitEthernet5/0
 port link-mode bridge
 port access vlan 2

ip route-static 0.0.0.0 0 10.12.12.254

配置DHCP中继功能：
[R1]dhcp enable
interface Vlan-interface2
 ip address 192.168.0.254 255.255.255.0
 dhcp select relay
 dhcp relay server-address 10.12.12.231

测试：PC1 ping互联网223.5.5.5 已是通的。

引导后的流量走向：

H3C路由器：
acl advanced 3001
 rule 5 permit ip source 192.168.0.0 0.0.0.255
#
policy-based-route p1 permit node 10
 if-match acl 3001
 apply next-hop 192.168.2.252
 apply default-next-hop 192.168.2.252

interface Vlan-interface2
 ip policy-based-route p1

配置方式2：支持端口重定向功能的交换机可以使用端口重定向功能把流量重定向到防火墙上：
[Switch] acl 3000
[Switch-acl-adv-3000] rule 0 permit ip source 192.168.0.0 0.0.0.255
[Switch-acl-adv-3000] quit
[Switch] interface G1/0/0
[Switch-Ethernet1/0/6] traffic-redirect inbound acl 3000 ip-nexthop 192.168.2.252
[Switch-Ethernet1/0/6] quit

或者参考：

华为交换机：配置策略路由引流到旁挂设备问题
http://www.zh-cjh.com/luyoujiaohuan/1913.html

华为防火墙：配置单机旁挂模式的SACG (旁挂实验失败、直挂成功)
http://www.zh-cjh.com/wangluoanquan/1842.html

（7.2）测试设备的连通性

抓包分析：流量走向：PC1>H3C路由器>FW1>H3C路由器>丢包

问题所在：H3C路由器把包给丢了，原因？可以是模拟器问题吧，相关实验：

华为交换机：支持端口重定向功（traffic-redirect inbound acl）
http://www.zh-cjh.com/luyoujiaohuan/3321.html

（8.1）修改拓扑图的逻辑架构

FW1:
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.12.160.252 255.255.0.0
ip route-static 0.0.0.0 0.0.0.0 10.12.12.254
ip route-static 192.168.0.0 255.255.255.0 192.168.2.254
R1(H3C):
interface GigabitEthernet1/0
 port link-mode bridge
interface Vlan-interface1
 ip address 10.12.160.254 255.255.0.0

测试：

[FW1]icmp ttl-exceeded send 

已经可以正常ping通全部网段了。

[FW1]undo ip route-static 0.0.0.0 0.0.0.0 10.12.12.254
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.12.160.254

以上这个现象以应是模拟器问题，因为流量已经发送到了R1上。

相关实验：

华为路由器：配置策略路由引流到旁挂设备问题（重定向）
http://www.zh-cjh.com/luyoujiaohuan/3327.html

华为交换机：支持端口重定向功（traffic-redirect inbound acl）（证明此实验中弱三层不支持，原因三层接口的mac地址一样）真机可以，只是抓流量方面有点问题，暂不清楚原因。
http://www.zh-cjh.com/luyoujiaohuan/3321.html

（8.2）修改拓扑图的逻辑架构（H3C路由的g3/0修改成三层接口，原因是为了让多个网口的mac地址不一样 ）

interface Vlan-interface1
 ip address 10.12.160.254 255.255.0.0
#
interface Vlan-interface2
 ip address 192.168.0.254 255.255.255.0
 dhcp select relay
 dhcp relay server-address 10.12.12.231
 ip policy-based-route p1

interface GigabitEthernet3/0
 port link-mode bridge

R1：
[R1]int Vlan-interface 1
[R1-Vlan-interface1]undo ip address
interface GigabitEthernet3/0
 port link-mode route
 ip address 10.12.160.254 255.255.0.0

interface GigabitEthernet1/0
 port link-mode route
 ip address 192.168.3.254 255.255.255.0

fw1:

FW1:
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 192.168.3.252 255.255.255.0
[FW1]undo ip route-static 0.0.0.0 0.0.0.0 10.12.12.254
[FW1]ip route-static 0.0.0.0 0.0.0.0 192.168.3.254

测试：

还是没有从g3/0接口发出去, 但g3/0是可以ping通10.12.12.254等所有ip地址的。

（9.1）修改逻辑拓扑, 在做完重定向后，还是可以全网通，继续往下做实验。

FW1:
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.12.160.252 255.255.0.0
ip route-static 0.0.0.0 0.0.0.0 10.12.12.254
ip route-static 192.168.0.0 255.255.255.0 192.168.2.254
R1(H3C):
interface GigabitEthernet1/0
 port link-mode bridge
interface Vlan-interface1
 ip address 10.12.160.254 255.255.0.0

（10.1）防火墙添加SACG

right-manager server-group
 default acl 3099
 right-manager server-group enable
 local ip 10.12.160.252

right-manager server-group
 default acl 3099
 server ip 10.12.160.41 port 3288 shared-key %$%$T/7Y+mc:`U!AH=T9MgE6VxLl%$%$
 right-manager server-group enable
 local ip 10.12.160.252

display right-manager server-group
display right-manager online-users

（10.2）新增硬件SACG

硬件安全接入控制网关的连接参数说明

（10.3）查看连接状态：已连接

（10.4）防火墙配置SACG策略

（11.1）配置用户，配置过程略。

（12.1）配置前域

（12.2）配置受控域（隔离域与后域）

配置网段

增加隔离域

增加后域

（13.1）配置授权规则模板并授权

配置模板

授权

（14.1）测试前的网络连通性确认

都还没有开始认证，网络就全通了。

原因为SACG策略这块问题，SACG配置的是trunt到untrunt,但是接口都是trust区域。

修改：

同步：

防火墙的安全策略配置：

结果：

如果防火墙的安全策略是permit any any 的话，也会是全通的，重启后30秒是通，30秒后不是全网通了，30秒后，SACG联动策略同步了。

保存配置并重启防火墙。

重启后：

（14.2）测试

保持permit any any 安全策略继续做实验：

登录：

查看在线用户：

（14.3）测试下身份认证失败后会怎样（结果和没有认证一样）

如果没有给用户授权，身份认证会通过，但是结果也会是以上情况：（隔离域的资源也ping不通）

（14.4）测试下通过了身份认证但未通过授权时（可以访问隔离域的资源）

隔离域

隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域，如补丁服务器、病毒库服务器。