基于应用协议的策略路由

基于应用协议的策略路由

通过配置策略路由实现不同应用协议的数据通过不同的链路转发。

组网需求

图1所示,在企业内部网络出口处部署一台FWFW分别通过与ISP-A的Router_A、ISP-B的Router_B互连的两条链路连接到Internet。ISP-A上网速度快、网络速度稳定但费用较高,ISP-B上网费用低廉,但是网速相对慢一些。

要求业务类流量由接口GE1/0/2发出,通过ISP-A到达Internet,休闲娱乐类流量由接口GE1/0/4发出,通过ISP-B到达Internet。

图1 基于应用协议的策略路由组网图

本例着重介绍策略路由相关的配置,其余配置如NAT请根据实际组网进行配置。

操作步骤

  1. 配置接口IP地址和安全区域,完成网络基本参数配置。
    [FW] interface GigabitEthernet 1/0/2
    [FW-GigabitEthernet1/0/2] ip address 10.10.1.1 255.255.255.0
    [FW-GigabitEthernet1/0/2] quit
    [FW] interface GigabitEthernet 1/0/3
    [FW-GigabitEthernet1/0/3] ip address 10.1.1.1 255.255.255.0
    [FW-GigabitEthernet1/0/3] quit
    [FW] interface GigabitEthernet 1/0/4
    [FW-GigabitEthernet1/0/4] ip address 10.20.1.1 255.255.255.0
    [FW-GigabitEthernet1/0/4] quit
    [FW] firewall zone trust
    [FW-zone-trust] add interface GigabitEthernet 1/0/3
    [FW-zone-trust] quit
    [FW] firewall zone untrust
    [FW-zone-untrust] add interface GigabitEthernet 1/0/2
    [FW-zone-untrust] add interface GigabitEthernet 1/0/4
    [FW-zone-untrust] quit
  2. 配置IP-Link功能,检测链路状态。
    [FW] ip-link check enable
    [FW] ip-link name pbr_1
    [FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 1/0/2
    [FW-iplink-pbr_1] quit
    [FW] ip-link name pbr_2
    [FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 1/0/4
    [FW-iplink-pbr_2] quit
  3. 创建策略路由规则“pbr_1”和“pbr_2”,使内部网络与业务相关的流量都由接口GE1/0/2发出,通过ISP-A到达Internet;内部网络休闲娱乐类流量都由接口GE1/0/4发出,通过ISP-B到达Internet。

    请确保FW上存在相应的路由配置,使业务流量和休闲娱乐类流量在没有策略路由时仍然可以正常传输。

    [FW] policy-based-route
    [FW-policy-pbr] rule name pbr_1
    [FW-policy-pbr-rule-pbr_1] description pbr_1
    [FW-policy-pbr-rule-pbr_1] source-zone trust
    [FW-policy-pbr-rule-pbr_1] application category Business_Systems
    [FW-policy-pbr-rule-pbr_1] track ip-link pbr_1
    [FW-policy-pbr-rule-pbr_1] action pbr egress-interface GigabitEthernet 1/0/2 next-hop 10.10.1.2
    [FW-policy-pbr-rule-pbr_1] quit
    [FW-policy-pbr] rule name pbr_2
    [FW-policy-pbr-rule-pbr_2] description pbr_2
    [FW-policy-pbr-rule-pbr_2] source-zone trust
    [FW-policy-pbr-rule-pbr_2] application category Entertainment
    [FW-policy-pbr-rule-pbr_2] track ip-link pbr_2
    [FW-policy-pbr-rule-pbr_2] action pbr egress-interface GigabitEthernet 1/0/4 next-hop 10.20.1.2
    [FW-policy-pbr-rule-pbr_2] quit

配置脚本

#
interface GigabitEthernet1/0/2
 ip address 10.10.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/4
 ip address 10.20.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
 add interface GigabitEthernet1/0/4
#
security-policy 
 rule name policy_sec_trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 24
  action permit
 rule name ip_link
  source-zone local  
  destination-zone untrust 
  action permit                
#
 ip-link check enable
 ip-link name pbr_1
  destination 10.10.1.2 interface GigabitEthernet 1/0/2
 ip-link name pbr_2
  destination 10.20.1.2 interface GigabitEthernet 1/0/4
#
policy-based-route
 rule name pbr_1
  description pbr_1
  source-zone trust
  application category Business_Systems
  track ip-link pbr_1
  action pbr egress-interface GigabitEthernet1/0/2 next-hop 10.10.1.2
 rule name pbr_2
  description pbr_2
  source-zone trust
  application category Entertainment
  track ip-link pbr_2
  action pbr egress-interface GigabitEthernet1/0/4 next-hop 10.20.1.2
#
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2177.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
基于应用协议的策略路由
基于应用协议的策略路由 通过配置策略路由实现不同应用协议的数据通过不同的链路转发。 组网需求 如图1所示,在企业内部网络出口处部署一台FW,FW分别通过……
<<上一篇
下一篇>>