De acuerdo

Ejemplo para configurar la función PBR para un protocolo específico con un firewall.

212 0 6 0 0

En esta publicación les mostramos un ejemplo para configurar la función PBR para un protocolo específico para reenviar los datos a través de diferentes enlaces.

 

Requisitos de red

Como se muestra en la Figura 1, el Firewall se implementa en la salida de la intranet. El FW puede acceder a Internet a través del Router_A de ISP-A o Router_B de ISP-B. ISP-A proporciona un servicio de Internet rápido y estable, pero requiere una carga elevada. ISP-B requiere poca carga pero proporciona un servicio de Internet lento.

 

La interfaz GE1/0/2 reenvía el tráfico de servicio a Internet a través de ISP-A. La interfaz GE1/0/4 reenvía el tráfico de entretenimiento a Internet a través de ISP-B.

 

Figura 1 Diagrama de red de PBR específico del protocolo

firewall PBR


Procedimiento

1. Establezca una dirección IP para cada interfaz y asigne las interfaces a las zonas de seguridad.

[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.10.1.1 255.255.255.0
[FW-GigabitEthernet1/0/2] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/4
[FW-GigabitEthernet1/0/4] ip address 10.20.1.1 255.255.255.0
[FW-GigabitEthernet1/0/4] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-zone-untrust] add interface GigabitEthernet 1/0/4
[FW-zone-untrust] quit

 

2. Configure una política de seguridad entre las zonas Trust y Untrust para permitir que los usuarios de la intranet accedan a los recursos de la extranet. Se supone que el segmento de red de usuarios de la intranet es 10.1.1.0/24.

[FW] security-policy
[FW-policy-security] rule name policy_sec_trust_untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.1.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit

 

3. Configure IP-link para detectar el estado del enlace.

[FW] ip-link check enable
[FW] ip-link name pbr_1
[FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 1/0/2
[FW-iplink-pbr_1] quit
[FW] ip-link name pbr_2
[FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 1/0/4
[FW-iplink-pbr_2] quit

 

4. Cree la regla PBR pbr_1 para permitir que la interfaz GE1/0/2 reenvíe el tráfico del servicio a Internet a través del ISP-A. Cree la regla PBR pbr_2 para permitir que la interfaz GE1/0/4 reenvíe el tráfico de entretenimiento a Internet a través de ISP-B.

firewall PBR

[FW] policy-based-route
[FW-policy-pbr] rule name pbr_1
[FW-policy-pbr-rule-pbr_1] description pbr_1
[FW-policy-pbr-rule-pbr_1] source-zone trust
[FW-policy-pbr-rule-pbr_1] application category Business_Systems
[FW-policy-pbr-rule-pbr_1] track ip-link pbr_1
[FW-policy-pbr-rule-pbr_1] action pbr egress-interface GigabitEthernet 1/0/2 next-hop 10.10.1.2
[FW-policy-pbr-rule-pbr_1] quit
[FW-policy-pbr] rule name pbr_2
[FW-policy-pbr-rule-pbr_2] description pbr_2
[FW-policy-pbr-rule-pbr_2] source-zone trust
[FW-policy-pbr-rule-pbr_2] application category Entertainment
[FW-policy-pbr-rule-pbr_2] track ip-link pbr_2
[FW-policy-pbr-rule-pbr_2] action pbr egress-interface GigabitEthernet 1/0/4 next-hop 10.20.1.2
[FW-policy-pbr-rule-pbr_2] quit


Saludos.

 

FIN.


También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 


La publicación está sincronizada con: Configuraciones típicas para firewalls

  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.