De acuerdo

Ejemplo para configurar el PBR específico de la dirección IP de origen

Última respuesta my. 10, 2021 20:41:53 25 2 2 0 0

En esta publicación les presentamos un ejemplo para configurar la función PBR específico por dirección IP de origen para reenviar los datos a través de diferentes enlaces.

 

Requisitos de red

Una empresa tiene un departamento de marketing y un departamento de I + D. Como se muestra en la Figura 1, el FW se implementa en la salida de la intranet. Dos enlaces, IPS-A e IPS-B, se conectan a Internet. ISP-A proporciona servicios de Internet rápidos y estables, pero requiere una carga elevada. ISP-B requiere poca carga pero proporciona servicios de Internet lentos.

 

Los requisitos son los siguientes:

 

l  El departamento de marketing tiene altos requisitos en cuanto a la velocidad del servicio de Internet y, por lo tanto, accede a Internet a través del ISP-A.

l  El departamento de I + D tiene pocos requisitos en cuanto a la velocidad del servicio de Internet y, por tanto, accede a Internet a través del ISP-B.

 

Figura 1 Configuración de PRB específico de la dirección IP de origen

firewall


Procedimiento

1. Configuración de interfaz completa, como dirección IP y zona de seguridad

[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.10.1.1 255.255.255.0
[FW-GigabitEthernet1/0/2] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/3] ip address 10.1.2.1 255.255.255.0 sub
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/4
[FW-GigabitEthernet1/0/4] ip address 10.20.1.1 255.255.255.0
[FW-GigabitEthernet1/0/4] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-zone-untrust] add interface GigabitEthernet 1/0/4
[FW-zone-untrust] quit

 

2. Configure una política de seguridad entre las zonas Trust y Untrust para permitir que los usuarios de la intranet accedan a los recursos de la extranet. Se supone que los segmentos de la red de usuarios de la intranet son 10.1.1.0/24 y 10.1.2.0/24.

[FW] security-policy
[FW-policy-security] rule name policy_sec_trust_untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.1.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.2.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit

 

3. Configurar IP-link para detectar el estado del enlace

[FW] ip-link check enable
[FW] ip-link name pbr_1
[FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 1/0/2
[FW-iplink-pbr_1] quit
[FW] ip-link name pbr_2
[FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 1/0/4
[FW-iplink-pbr_2] quit

 

4. Cree la regla PBR pbr_1 para reenviar paquetes desde el departamento de marketing a 10.10.1.2. Cree la regla PBR pbr_2 para reenviar paquetes desde el departamento de I + D a 10.20.1.2.


firewall

[FW] policy-based-route
[FW-policy-pbr] rule name pbr_1
[FW-policy-pbr-rule-pbr_1] description pbr_1
[FW-policy-pbr-rule-pbr_1] source-zone trust
[FW-policy-pbr-rule-pbr_1] source-address 10.1.1.0 24
[FW-policy-pbr-rule-pbr_1] track ip-link pbr_1
[FW-policy-pbr-rule-pbr_1] action pbr next-hop 10.10.1.2
[FW-policy-pbr-rule-pbr_1] quit
[FW-policy-pbr] rule name pbr_2
[FW-policy-pbr-rule-pbr_2] description pbr_2
[FW-policy-pbr-rule-pbr_2] source-zone trust
[FW-policy-pbr-rule-pbr_2] source-address 10.1.2.0 24
[FW-policy-pbr-rule-pbr_2] track ip-link pbr_2
[FW-policy-pbr-rule-pbr_2] action pbr next-hop 10.20.1.2
[FW-policy-pbr-rule-pbr_2] quit[FW-policy-pbr] quit


Saludos.

 

FIN.

 

También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 


  • x
  • convención:

lucian2003
VIP Publicado hace 4 días
Hay que trabajar en Marketing Ejemplo para configurar el PBR específico de la dirección IP de origen-3925139-1 Tienen mejor conexión
Gracias por compartir
Ver más
  • x
  • convención:

Adriale
Adriale Publicado hace 3 días (0) (0)
 
Hello%20friends%2C%20I%20am%20a%20Telecommunications%20and%20electronics%20engineer%20and%20I%20just%20graduated%20as%20a%20master%20in%20telecommunications%20systems.%20I%20am%2037%20years%20old%20and%20I%20attend%20the%20transport%20network%20in%20my%20province%2C%20which%20is%20mainly%20Huawei.

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.