2026-06-07 23:38:00 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详细介绍了H3C防火墙在企业网络中的两种旁挂部署方案：双臂旁挂与单臂旁挂。通过GRE隧道连接的两个办公站点需实现互访流量经防火墙安全检测，文档提供了完整的路由器和防火墙配置命令，包括策略路由、ACL规则和NAT设置。关键发现显示单臂方案更简洁适合接口受限场景，而双臂方案转发效率更高；可操作建议包括优先配置防火墙路由、使用策略路由引导流量，并注意模拟器可能存在的路由环路问题。 综合评分： 85 文章分类： 网络安全,解决方案,安全建设,实战经验,其他

cover_image

网络升级不宕机？H3C防火墙旁挂引流实战，双臂与单臂的巅峰对决！

原创

衡水铁头哥衡水铁头哥

铁军哥

2026年5月17日 07:37 北京

在小说阅读器读本章

去阅读

假设有这样一张网络，某企业有两个办公站点，均具备公网IP地址，两个站点之间建立了GRE隧道，使得两张办公网之间可以通过内网互相访问。

山雨欲来风满楼，随着企业业务的蓬勃发展，网络安全的重要性日益凸显。现在出于安全考虑，需要在站点1增加一台防火墙设备，使得两个内网之间互放的流量均经过防火墙进行安全防护。为减小对业务的影响，防火墙设备采用旁挂在出口路由器的部署方式，配置引流实现互访流量经过防火墙设备。

一般来讲，以旁挂方式部署防火墙设备有两种方式，一种是双臂旁挂，如下图所示：

另一种是单臂旁挂，如下图所示：

首先，我们先参考之前的GRE配置完成PC1和PC2之间的互通（GRE隧道也能实现两端配置相同子网了，快来看看！）。

RT1

#interface&nbsp;GigabitEthernet0/0ip&nbsp;address&nbsp;10.1.1.1255.255.255.0#interface&nbsp;GigabitEthernet0/1ip&nbsp;address&nbsp;12.1.1.1255.255.255.0# &nbsp; &nbsp;interface&nbsp;Tunnel0 mode gre&nbsp;ip&nbsp;address&nbsp;10.13.1.1255.255.255.0&nbsp;source&nbsp;12.1.1.1&nbsp;destination&nbsp;23.1.1.3#&nbsp;ip&nbsp;route-static&nbsp;10.2.1.02410.13.1.3&nbsp;ip&nbsp;route-static&nbsp;23.1.1.02412.1.1.2

ISP

#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;12.1.1.2255.255.255.0#interface&nbsp;GigabitEthernet0/1&nbsp;ip&nbsp;address&nbsp;23.1.1.2255.255.255.0

RT2

#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.2.1.1255.255.255.0#interface&nbsp;GigabitEthernet0/1&nbsp;ip&nbsp;address&nbsp;23.1.1.3255.255.255.0#interface&nbsp;Tunnel0 mode gre&nbsp;ip&nbsp;address&nbsp;10.13.1.3255.255.255.0&nbsp;source&nbsp;23.1.1.3&nbsp;destination&nbsp;12.1.1.1#&nbsp;ip&nbsp;route-static&nbsp;10.1.1.02410.13.1.1&nbsp;ip&nbsp;route-static&nbsp;12.1.1.02423.1.1.2

PC1

#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.1.1.2255.255.255.0#&nbsp;ip&nbsp;route-static&nbsp;0.0.0.0010.1.1.1

PC2

#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.2.1.2255.255.255.0# &nbsp; &nbsp;&nbsp;ip&nbsp;route-static&nbsp;0.0.0.0010.2.1.1

我们测试一下PC1和PC2之间的互访。

可以看到，流量的转发路径为PC1→RT1→RT2→PC2，与设想情况一致。

接下来，如果要使用双臂旁挂，我们要先配置RT1和FW之间的互通。

RT1

#interface&nbsp;GigabitEthernet0/2&nbsp;ip&nbsp;address&nbsp;10.1.2.1255.255.255.0#interface&nbsp;GigabitEthernet5/0&nbsp;ip&nbsp;address&nbsp;10.1.3.1255.255.255.0

FW

#interface&nbsp;GigabitEthernet1/0/0&nbsp;ip&nbsp;address&nbsp;10.1.2.2255.255.255.0#interface&nbsp;GigabitEthernet1/0/1&nbsp;ip&nbsp;address&nbsp;10.1.3.2255.255.255.0

然后使用路由方式指导路由的转发就行了，比如说我们让互访的流量均通过10.1.2.0/24这个网段上行到FW，再通过10.1.3.0/24这个网段回到RT1。配置时，我们建议先配置FW的路由：

#iproute-static&nbsp;10.1.1.0&nbsp;24&nbsp;10.1.3.1iproute-static&nbsp;10.2.1.0&nbsp;24&nbsp;10.1.3.1

当然，使用默认路由配置也是可以的。

然后，就需要调整RT1的流量走向了，需要让PC1访问PC2的流量先经过防火墙，当防火墙转发回来之后再经过GRE隧道转发给RT2。这种配置需要使用策略路由来实现（一条100M宽带 + 一条200M宽带 = 300M，怎么就有人不信呢？），RT1的配置如下：

#acl&nbsp;advanced&nbsp;3401&nbsp;description&nbsp;PC1-PC2&nbsp;rule&nbsp;0&nbsp;permit ip source&nbsp;10.1.1.00.0.0.255&nbsp;destination&nbsp;10.2.1.00.0.0.255#policy-based-route fw1 permit node&nbsp;10&nbsp;if-match acl&nbsp;3401&nbsp;apply&nbsp;next-hop&nbsp;10.1.2.2#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;policy-based-route fw1

正常来讲，我们需要将配置的策略应用到报文的接口上，指导接口对接收报文的转发。在本例中，报文从GE0/0接口进来之后，由GE0/2接口出，再从GE5/0接口进来，之后就可以正常查表转发了；但是，模拟器的实际情况是，会出现路由环路，应该是实现有问题。不过，我们仍然可以在防火墙接口上配置NAT，改变报文源地址，使处理完的报文不再命中策略路由；对应的，需要在RT2上配置一条到防火墙的明细路由。

配置完成之后，我们看一下PC1访问PC2的流量转发情况。

可以看到，流量的转发路径为PC1→RT1→FW→RT1→RT2→PC2，与设想情况一致。

对应的，我们把PC2访问PC1的策略也配置一下。

#acladvanced&nbsp;3402descriptionPC2-PC1rule&nbsp;0&nbsp;permitipsource&nbsp;10.2.1.0&nbsp;0.0.0.255destination&nbsp;10.1.1.0&nbsp;0.0.0.255#policy-based-routefw2permitnode&nbsp;10if-matchacl&nbsp;3402applynext-hop&nbsp;10.1.2.2# &nbsp; &nbsp;interfaceTunnel0modegreippolicy-based-routefw2

配置完成之后，我们看一下PC2访问PC1的流量转发情况。

可以看到，流量的转发路径为PC2→RT2→RT1→FW→RT1→PC2，与设想情况一致。

以上就是双臂旁挂的情况，其实在策略路由实现机制有问题的情况下，使用单臂旁挂会更简洁。

RT1

#policy-based-routefw1 permit node&nbsp;10if-matchacl&nbsp;3401applynext-hop&nbsp;10.1.2.2&nbsp; &nbsp;&nbsp;#policy-based-routefw2 permit node&nbsp;10if-matchacl&nbsp;3402applynext-hop&nbsp;10.1.2.2#interfaceGigabitEthernet0/0ippolicy-based-route fw1#interfaceTunnel0&nbsp;mode greippolicy-based-route fw2#acladvanced&nbsp;3401descriptionPC1-PC2rule0&nbsp;permit ip source&nbsp;10.1.1.0&nbsp;0.0.0.255&nbsp;destination&nbsp;10.2.1.0&nbsp;0.0.0.255#acladvanced&nbsp;3402descriptionPC2-PC1rule0&nbsp;permit ip source&nbsp;10.2.1.0&nbsp;0.0.0.255&nbsp;destination&nbsp;10.1.1.0&nbsp;0.0.0.255

RT2

#iproute-static&nbsp;10.1.2.0&nbsp;24&nbsp;10.13.1.1

FW

#interface&nbsp;GigabitEthernet1/0/0&nbsp;ip&nbsp;address&nbsp;10.1.2.2255.255.255.0&nbsp;nat&nbsp;outbound#&nbsp;ip&nbsp;route-static&nbsp;0.0.0.0010.1.2.1

配置完成之后，我们再看一下PC1访问PC2的流量转发情况。

可以看到，流量的转发路径为PC1→RT1→FW→RT1→RT2→PC2，与设想情况一致。

再看一下PC2访问PC1的流量转发情况。

可以看到，流量的转发路径为PC2→RT2→RT1→FW→RT1→PC2，与设想情况一致。至此，PC1与PC2的互访流量已成功被策反，乖乖地穿过了我们的防火墙防线。

正所谓条条大路通罗马，双臂旁挂虽然配置略显繁琐，但胜在泾渭分明，转发效率高；而单臂旁挂则胜在极简主义，一个接口搞定所有，适合接口资源紧缺的场景。

无论你是追求稳扎稳打还是短平快，H3C设备都能满足你的需求。希望这篇文章能成为你网络升级路上的锦囊妙计。

***推荐阅读***

我们的WireGuard管理系统支持手机电脑了！全平台终端配置，支持扫码连接，一键搞定

保姆级教程：一条命令部署OpenVPN管理系统V4版，支持Win/Mac/安卓/iOS全平台接入

成本省下99.7%！用40元的腾讯云服务器自建IPsecVPN，成功对接企业级飞塔防火墙

别再乱选VPN了！实测数据告诉你：为什么L2TP是个“坑”

SRv6部署第一坑：为什么配置了Locator却Ping不通？

嫌一键部署不过瘾？带你手搓Hermes智能体，主打一个通透

十倍性能提升！Ubuntu 26.04深度实测：当VPP遇上OpenVPN，带宽直接冲破 6.5Gbps！

VPP转发性能从10G暴增至24G？揭秘OpenEuler虚拟机的极限压榨术

NVUE不支持OSPFv3？别慌！教你一招搞定SRv6地基

手机也能跑DeepSeek-R1/Qwen3了：零成本搭建AI推理平台

2048卡昇腾910C集群算力集群交付工程手册

2048卡H100算力中心100G无阻塞存储网建设方案

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：铁军哥衡水铁头哥衡水铁头哥《网络升级不宕机？H3C防火墙旁挂引流实战，双臂与单臂的巅峰对决！》