华为策略路由引流旁挂防火墙

拓扑图解释：由于没有ENSP防火墙插件，故用AR2代替防火墙，PC1与PC2模拟内网trust区域设备，AR3模拟外网untrust区域

项目要求：

1.外网访问内网流量需要通过防火墙过滤再进入内网；

2.内网访问外网流量直接出站无需过滤。

配置思路：

1.首先配通底层，为了直观我这里采用手写静态路由，项目上为了方便可以直接跑内部动态路由协议；

2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。

配置开始：

1.配通底层：

SW1上：

AR1上：

AR2上（模拟防火墙设备）：

AR3上（模拟外网用户）：

2.PBR配置：此处演示以VLAN2网段为例其他网段同理

acl 3001

rule 0 permit ip destination 172.16.0.0 0.0.0.255 // //acl抓取172.16.0.0 24 网段流量

traffice classifier AR3_PC1 operator or // //创建名称为AR3_PC1流量分类器，匹配条件之间为或的关系

traffice behavior AR3_PC1 // // 创建名称为AR3_PC1流量行为

redirect ip-nexthop 10.0.0.6 // //重定向下一跳为10.0.0.6

traffice police AR3_PC1 // //创建名称为AR3_PC1策略路由

classifier AR3_PC1 behavior AR3_PC1 // // 将流量分类器与流量行为加入策略路由

interface g0/0/2

traffice-police AR3_PC1 inbound

3.验证配置：

AR3上（模拟外网用户）：

tracert 172.16.0.253 // //跟踪PC1地址

PC1上：

AR2上抓包（模拟防火墙设备）：

使用PC1 ping AR3上loopback0口1.1.1.1

抓包发现只有1.1.1.1-----172.16.0.253 replay回复的包过墙了 172.16.0.253-----1.1.1.1请求的包直接通过SW1-AR1-AR3走了

验证完成

总结：

1.AR2模拟防火墙设备，如若是真实防火墙设备需要将接口加入安全区域，放通安全策略，如果是双向保文都过墙需要关闭防火墙会话表（或者放通两个区域互访）。

2.如果需要流量出的包和入的包都过防火墙则需要在AR1-AR2之间建立两条物理直连链路，一条为入流量一条为出流量，否则一条链路会导致报文三层环路，数据包在AR1-AR2之间循环直至耗费完TTL丢包。