En esta publicación les presentamos un ejemplo para configurar la función PBR específico por dirección IP de origen para reenviar los datos a través de diferentes enlaces.
Requisitos de red
Una empresa tiene un departamento de marketing y un departamento de I + D. Como se muestra en la Figura 1, el FW se implementa en la salida de la intranet. Dos enlaces, IPS-A e IPS-B, se conectan a Internet. ISP-A proporciona servicios de Internet rápidos y estables, pero requiere una carga elevada. ISP-B requiere poca carga pero proporciona servicios de Internet lentos.
Los requisitos son los siguientes:
l El departamento de marketing tiene altos requisitos en cuanto a la velocidad del servicio de Internet y, por lo tanto, accede a Internet a través del ISP-A.
l El departamento de I + D tiene pocos requisitos en cuanto a la velocidad del servicio de Internet y, por tanto, accede a Internet a través del ISP-B.
Figura 1 Configuración de PRB específico de la dirección IP de origen
Procedimiento
1. Configuración de interfaz completa, como dirección IP y zona de seguridad
[FW] interface GigabitEthernet 1/0/2 [FW-GigabitEthernet1/0/2] ip address 10.10.1.1 255.255.255.0 [FW-GigabitEthernet1/0/2] quit [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.1.1.1 255.255.255.0 [FW-GigabitEthernet1/0/3] ip address 10.1.2.1 255.255.255.0 sub [FW-GigabitEthernet1/0/3] quit [FW] interface GigabitEthernet 1/0/4 [FW-GigabitEthernet1/0/4] ip address 10.20.1.1 255.255.255.0 [FW-GigabitEthernet1/0/4] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/3 [FW-zone-trust] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/2 [FW-zone-untrust] add interface GigabitEthernet 1/0/4 [FW-zone-untrust] quit
2. Configure una política de seguridad entre las zonas Trust y Untrust para permitir que los usuarios de la intranet accedan a los recursos de la extranet. Se supone que los segmentos de la red de usuarios de la intranet son 10.1.1.0/24 y 10.1.2.0/24.
[FW] security-policy [FW-policy-security] rule name policy_sec_trust_untrust [FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust [FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust [FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.1.0 24 [FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.2.0 24 [FW-policy-security-rule-policy_sec_trust_untrust] action permit [FW-policy-security-rule-policy_sec_trust_untrust] quit [FW-policy-security] quit
3. Configurar IP-link para detectar el estado del enlace
[FW] ip-link check enable [FW] ip-link name pbr_1 [FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 1/0/2 [FW-iplink-pbr_1] quit [FW] ip-link name pbr_2 [FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 1/0/4 [FW-iplink-pbr_2] quit
4. Cree la regla PBR pbr_1 para reenviar paquetes desde el departamento de marketing a 10.10.1.2. Cree la regla PBR pbr_2 para reenviar paquetes desde el departamento de I + D a 10.20.1.2.
[FW] policy-based-route [FW-policy-pbr] rule name pbr_1 [FW-policy-pbr-rule-pbr_1] description pbr_1 [FW-policy-pbr-rule-pbr_1] source-zone trust [FW-policy-pbr-rule-pbr_1] source-address 10.1.1.0 24 [FW-policy-pbr-rule-pbr_1] track ip-link pbr_1 [FW-policy-pbr-rule-pbr_1] action pbr next-hop 10.10.1.2 [FW-policy-pbr-rule-pbr_1] quit [FW-policy-pbr] rule name pbr_2 [FW-policy-pbr-rule-pbr_2] description pbr_2 [FW-policy-pbr-rule-pbr_2] source-zone trust [FW-policy-pbr-rule-pbr_2] source-address 10.1.2.0 24 [FW-policy-pbr-rule-pbr_2] track ip-link pbr_2 [FW-policy-pbr-rule-pbr_2] action pbr next-hop 10.20.1.2 [FW-policy-pbr-rule-pbr_2] quit[FW-policy-pbr] quit
Saludos.
FIN.
También te puede interesar:
Guía de dimensionamiento firewall USG6000 Series NGFW
Descripción general de la función DNS utilizado en firewalls de Huawei.
Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente
Tienen mejor conexión
