De acuerdo

Configuración de PBR para filtrar tráfico

Publicado 2020-6-17 21:00:27Última respuesta jun. 19, 2020 18:38:37 296 3 0 0 0
  Recompensa Goldies : 0 (solución de problemas)

Hola! En una red necesito que  4 IPs salgan por otro salto (un WEB Filter) con un PBR.

La solicitud en si, es:

10.188.12.219,  10.188.12.220,  10.188.219.222,  10.188.12.224 salten a 10.188.50.66 solo por el puerto 443 y 80  todos los demas host del segmento 10.188.12/24 salgan por la ruta default, esas 4 IPs si consultan el segmento 10.0.0.0/8  deben segir saliendo por la ruta default global.

La configuracion que tengo es la siguiente:


Acl number 3051
rule 18 deny tcp destination-port eq 80 source 10.188.12.219 0 destination 10.0.0.0 0.255.255.255
rule 19 deny tcp destination-port eq 443 source 10.188.12.219 0 destination 10.0.0.0 0.255.255.255
rule 20 deny tcp destination-port eq 80 source 10.188.12.220 0 destination any 10.0.0.0 0.255.255.255
rule 21 deny tcp destination-port eq 443 source 10.188.12.220 0 destination any 10.0.0.0 0.255.255.255
rule 22 deny tcp destination-port eq 80 source 10.188.12.222 0 destination any 10.0.0.0 0.255.255.255
rule 23 deny tcp destination-port eq 443 source 10.188.12.222 0 destination any 10.0.0.0 0.255.255.255
rule 24 deny tcp destination-port eq 80 source 10.188.12.224 0 destination any 10.0.0.0 0.255.255.255
rule 25 deny tcp destination-port eq 443 source 10.188.12.224 0 destination any 10.0.0.0 0.255.255.255
¡
acl number 3050
!
PERMIT HTTP Y HTTPS
!
rule 18 permit tcp destination-port eq 80 source 10.188.12.219 0 destination any
rule 19 permit tcp destination-port eq 443 source 10.188.12.219 0 destination any
rule 20 permit tcp destination-port eq 80 source 10.188.12.220 0 destination any
rule 21 permit tcp destination-port eq 443 source 10.188.12.220 0 destination any
rule 22 permit tcp destination-port eq 80 source 10.188.12.222 0 destination any
rule 23 permit tcp destination-port eq 443 source 10.188.12.222 0 destination any
rule 24 permit tcp destination-port eq 80 source 10.188.12.224 0 destination any
rule 25 permit tcp destination-port eq 443 source 10.188.12.224 0 destination any
!
Step 2
!
traffic classifier WEb_F operator and
if-match acl 3050
if-match acl 3051
 
!
Step 3
!
traffic behavior WEb_F
redirect ip-nexthop 10.188.50.66
!
Step 4
!
traffic policy WEb_F
classifier WEb_F behavior WEb_F
!
Step 5
!
int Vlanif9
traffic-policy WEb_F inbount
!


Me podrian apoyar en validarla, ya que al aplicarla no realiza lo solicitado.


Saludos y Gracias


  • x
  • convención:

Respuestas destacadas
emontiel
Publicado 2020-6-19 18:38:37

Hola, revisando la configuración la ACL 3051 no es necesaria, únicamente es necesario configurar lo siguiente:

#

acl number 3050

rule 18 permit tcp destination-port eq 80 source 10.188.12.219 0 destination any

rule 19 permit tcp destination-port eq 443 source 10.188.12.219 0 destination any

rule 20 permit tcp destination-port eq 80 source 10.188.12.220 0 destination any

rule 21 permit tcp destination-port eq 443 source 10.188.12.220 0 destination any

rule 22 permit tcp destination-port eq 80 source 10.188.12.222 0 destination any

rule 23 permit tcp destination-port eq 443 source 10.188.12.222 0 destination any

rule 24 permit tcp destination-port eq 80 source 10.188.12.224 0 destination any

rule 25 permit tcp destination-port eq 443 source 10.188.12.224 0 destination any

#

traffic classifier WEb_F operator and

if-match acl 3050

traffic behavior WEb_F

redirect ip-nexthop 10.188.50.66

#

Step 4

#

traffic policy WEb_F

classifier WEb_F behavior WEb_F

#

Step 5. Aplicar la política en la interfaz.

 

Es necesario tomar en cuenta las limitantes del traffic policy en una VLANIF.

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126511&id=EN-US_CONCEPT_0177111632&lang=en

Probablemente sea necesario configurarlo en la interfaz física y considerer el flujo de tráfico para configurarlo ya sea inbound o outbound.


Saludos!

Ver más
  • x
  • convención:

ismael
VIP Publicado 2020-6-17 23:01:27
Hola

Dejame ver si entendí, tu quieres que las direcciones 10.188.12 salgan por una ruta default y la 10.188.219.222 salga por una 10.188.50.66 por los puertos 443 y 80.

Creo que lo que tu mas bien necesitas para las dirección 10.188.50.67 ocupas un PAT, con el cual podrás natear los puertos desde la dirección 10.188.219.222. Posterior a que hagas esto podras meter e ltrafico en un PBR.

https://support.huawei.com/enterprise/en/doc/EDOC1100098908/99f06e78/example-for-configuring-nat-static-and-outbound-nat-to-implement-communication-between-public-network-users-and-servers

Sobre las direcciones que quieres que salgas por una ruta por defautl, eso lo puedes hacer por un PBR o lista de acceso.

Te dejo unos links que te ayudarán:
https://support.huawei.com/enterprise/en/doc/EDOC1000069466/a8457dec/example-for-configuring-traffic-policies-to-implement-policy-based-routing-redirection-to-different-next-hops
https://support.huawei.com/enterprise/en/doc/EDOC1000178171/94c57ba0/pbr-configuration
Ver más
  • x
  • convención:

Todas las respuestas
ismael
ismael VIP Publicado 2020-6-17 23:01:27
Hola

Dejame ver si entendí, tu quieres que las direcciones 10.188.12 salgan por una ruta default y la 10.188.219.222 salga por una 10.188.50.66 por los puertos 443 y 80.

Creo que lo que tu mas bien necesitas para las dirección 10.188.50.67 ocupas un PAT, con el cual podrás natear los puertos desde la dirección 10.188.219.222. Posterior a que hagas esto podras meter e ltrafico en un PBR.

https://support.huawei.com/enterprise/en/doc/EDOC1100098908/99f06e78/example-for-configuring-nat-static-and-outbound-nat-to-implement-communication-between-public-network-users-and-servers

Sobre las direcciones que quieres que salgas por una ruta por defautl, eso lo puedes hacer por un PBR o lista de acceso.

Te dejo unos links que te ayudarán:
https://support.huawei.com/enterprise/en/doc/EDOC1000069466/a8457dec/example-for-configuring-traffic-policies-to-implement-policy-based-routing-redirection-to-different-next-hops
https://support.huawei.com/enterprise/en/doc/EDOC1000178171/94c57ba0/pbr-configuration
Ver más
  • x
  • convención:

Alexz
Alexz Publicado 2020-6-18 00:11:44

DIAGRAMA

Gracias por la Respuesta Ismael,

Pero al aplicar NAT no tendria el dato de que ips hacen las consultas, a futuro todo el trafico del segmento 10.188.12 ira a  la10.188.50.67 que es un WEB FILTER y regresaria al core, por el momento solo se requiere el trafico de esas 4 IPS para  configurar el  WEB FILTER  de accuerdo a las necesidades.

Adjunto una imagen para expresarme mejor

Ver más
  • x
  • convención:

emontiel
emontiel Publicado 2020-6-19 18:38:37

Hola, revisando la configuración la ACL 3051 no es necesaria, únicamente es necesario configurar lo siguiente:

#

acl number 3050

rule 18 permit tcp destination-port eq 80 source 10.188.12.219 0 destination any

rule 19 permit tcp destination-port eq 443 source 10.188.12.219 0 destination any

rule 20 permit tcp destination-port eq 80 source 10.188.12.220 0 destination any

rule 21 permit tcp destination-port eq 443 source 10.188.12.220 0 destination any

rule 22 permit tcp destination-port eq 80 source 10.188.12.222 0 destination any

rule 23 permit tcp destination-port eq 443 source 10.188.12.222 0 destination any

rule 24 permit tcp destination-port eq 80 source 10.188.12.224 0 destination any

rule 25 permit tcp destination-port eq 443 source 10.188.12.224 0 destination any

#

traffic classifier WEb_F operator and

if-match acl 3050

traffic behavior WEb_F

redirect ip-nexthop 10.188.50.66

#

Step 4

#

traffic policy WEb_F

classifier WEb_F behavior WEb_F

#

Step 5. Aplicar la política en la interfaz.

 

Es necesario tomar en cuenta las limitantes del traffic policy en una VLANIF.

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126511&id=EN-US_CONCEPT_0177111632&lang=en

Probablemente sea necesario configurarlo en la interfaz física y considerer el flujo de tráfico para configurarlo ya sea inbound o outbound.


Saludos!

Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.