基于应用协议的策略路由
基于应用协议的策略路由
通过配置策略路由实现不同应用协议的数据通过不同的链路转发。
组网需求
如图1所示,在企业内部网络出口处部署一台FW,FW分别通过与ISP-A的Router_A、ISP-B的Router_B互连的两条链路连接到Internet。ISP-A上网速度快、网络速度稳定但费用较高,ISP-B上网费用低廉,但是网速相对慢一些。
要求业务类流量由接口GE1/0/2发出,通过ISP-A到达Internet,休闲娱乐类流量由接口GE1/0/4发出,通过ISP-B到达Internet。
本例着重介绍策略路由相关的配置,其余配置如NAT请根据实际组网进行配置。
操作步骤
- 配置接口IP地址和安全区域,完成网络基本参数配置。
[FW] interface GigabitEthernet 1/0/2 [FW-GigabitEthernet1/0/2] ip address 10.10.1.1 255.255.255.0 [FW-GigabitEthernet1/0/2] quit [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.1.1.1 255.255.255.0 [FW-GigabitEthernet1/0/3] quit [FW] interface GigabitEthernet 1/0/4 [FW-GigabitEthernet1/0/4] ip address 10.20.1.1 255.255.255.0 [FW-GigabitEthernet1/0/4] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/3 [FW-zone-trust] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/2 [FW-zone-untrust] add interface GigabitEthernet 1/0/4 [FW-zone-untrust] quit
- 配置IP-Link功能,检测链路状态。
[FW] ip-link check enable [FW] ip-link name pbr_1 [FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 1/0/2 [FW-iplink-pbr_1] quit [FW] ip-link name pbr_2 [FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 1/0/4 [FW-iplink-pbr_2] quit
- 配置安全策略。
# 配置Trust区域和Untrust区域之间的安全策略,允许企业内网用户访问外网资源。假设内部用户网段为10.1.1.0/24。
[FW] security-policy [FW-policy-security] rule name policy_sec_trust_untrust [FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust [FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust [FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.1.0 24 [FW-policy-security-rule-policy_sec_trust_untrust] action permit [FW-policy-security-rule-policy_sec_trust_untrust] quit
# 配置安全策略,允许FW发送IP-Link探测报文。对于V500R001C80之前的版本,IP-Link探测报文受安全策略控制,需要在Local区域与报文出接口所在安全区域之间配置安全策略,允许FW发送IP-Link探测报文。对于V500R001C80及之后的版本,IP-Link探测报文不受安全策略控制,默认被放行,无需配置安全策略。
[FW-policy-security] rule name ip_link [FW-policy-security-rule-ip_link] source-zone local [FW-policy-security-rule-ip_link] destination-zone untrust [FW-policy-security-rule-ip_link] action permit [FW-policy-security-rule-ip_link] quit [FW-policy-security] quit
- 创建策略路由规则“pbr_1”和“pbr_2”,使内部网络与业务相关的流量都由接口GE1/0/2发出,通过ISP-A到达Internet;内部网络休闲娱乐类流量都由接口GE1/0/4发出,通过ISP-B到达Internet。
请确保FW上存在相应的路由配置,使业务流量和休闲娱乐类流量在没有策略路由时仍然可以正常传输。
[FW] policy-based-route [FW-policy-pbr] rule name pbr_1 [FW-policy-pbr-rule-pbr_1] description pbr_1 [FW-policy-pbr-rule-pbr_1] source-zone trust [FW-policy-pbr-rule-pbr_1] application category Business_Systems [FW-policy-pbr-rule-pbr_1] track ip-link pbr_1 [FW-policy-pbr-rule-pbr_1] action pbr egress-interface GigabitEthernet 1/0/2 next-hop 10.10.1.2 [FW-policy-pbr-rule-pbr_1] quit [FW-policy-pbr] rule name pbr_2 [FW-policy-pbr-rule-pbr_2] description pbr_2 [FW-policy-pbr-rule-pbr_2] source-zone trust [FW-policy-pbr-rule-pbr_2] application category Entertainment [FW-policy-pbr-rule-pbr_2] track ip-link pbr_2 [FW-policy-pbr-rule-pbr_2] action pbr egress-interface GigabitEthernet 1/0/4 next-hop 10.20.1.2 [FW-policy-pbr-rule-pbr_2] quit
配置脚本
# interface GigabitEthernet1/0/2 ip address 10.10.1.1 255.255.255.0 # interface GigabitEthernet1/0/3 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/4 ip address 10.20.1.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2 add interface GigabitEthernet1/0/4 # security-policy rule name policy_sec_trust_untrust source-zone trust destination-zone untrust source-address 10.1.1.0 24 action permit rule name ip_link source-zone local destination-zone untrust action permit # ip-link check enable ip-link name pbr_1 destination 10.10.1.2 interface GigabitEthernet 1/0/2 ip-link name pbr_2 destination 10.20.1.2 interface GigabitEthernet 1/0/4 # policy-based-route rule name pbr_1 description pbr_1 source-zone trust application category Business_Systems track ip-link pbr_1 action pbr egress-interface GigabitEthernet1/0/2 next-hop 10.10.1.2 rule name pbr_2 description pbr_2 source-zone trust application category Entertainment track ip-link pbr_2 action pbr egress-interface GigabitEthernet1/0/4 next-hop 10.20.1.2 # return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2177.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
打赏
海报
基于应用协议的策略路由
基于应用协议的策略路由
通过配置策略路由实现不同应用协议的数据通过不同的链路转发。
组网需求
如图1所示,在企业内部网络出口处部署一台FW,FW分别通过……
共有 0 条评论