De acuerdo

Ejemplo para configurar PBR entre varios enlaces ISP para acceder a Internet

Última respuesta abr. 26, 2021 19:11:10 265 2 11 0 1

En esta publicación les compartimos un ejemplo para configurar NAT y rutas basadas en políticas para permitir a los usuarios de la red del campus acceder a una red educativa e Internet a través de diferentes enlaces.

 

Requisitos de red

 

Una universidad implementa un FW como puerta de enlace de seguridad en la red del campus que se muestra en la Figura 1. La red del campus consta de una red de estudiantes y una red de maestros, y está conectada a Internet a través de una red educativa. La universidad también compra servicios de banda ancha de un ISP y accede a Internet a través de la red ISP.

 

Los requisitos de la red son los siguientes: 

l  Las computadoras de la red de estudiantes acceden a Internet a través de la red educativa.

l  Las PC de la red de profesores acceden a Internet a través de la red ISP.

 

Figura 1 Diagrama de redes para configurar rutas basadas en políticas para el acceso 

a Internet desde múltiples ISP

 

firewall


Ruta de configuración

La ruta de configuración es la siguiente:

 

1. Asigne direcciones IP a las interfaces y agregue las interfaces a las zonas de seguridad.

2. Configure rutas basadas en políticas, que especifiquen que la red de estudiantes se conecta a la red de educación a través de GigabitEthernet 1/0/7 y accede a Internet a través de la red de educación, y que la red de profesores accede directamente a Internet a través de GigabitEthernet 1/0/1.

3. Configure políticas de seguridad para permitir que todas las PC de la red del campus accedan a Internet.

4. Configure políticas NAT para traducir direcciones de origen.

 

Procedimiento

1. Establezca una dirección IP para cada interfaz, asigne interfaces a zonas de seguridad y complete la configuración básica de los parámetros.

[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/4
[FW-GigabitEthernet1/0/4] ip address 10.3.1.1 255.255.255.0
[FW-GigabitEthernet1/0/4] quit
[FW] interface GigabitEthernet 1/0/7
[FW-GigabitEthernet1/0/7] ip address 2.2.2.2 255.255.255.0
[FW-GigabitEthernet1/0/7] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] add interface GigabitEthernet 1/0/4
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/7
[FW-zone-untrust] quit
[FW] firewall zone name untrust1
[FW-zone-untrust1] set priority 10
[FW-zone-untrust1] add interface GigabitEthernet 1/0/1
[FW-zone-untrust1] quit

  

2. Configure PBR.

# Configure PBR para permitir que las PC de la red de estudiantes accedan a Internet a través de GigabitEthernet 1/0/7 a través de la red educativa.

[FW] policy-based-route
[FW-policy-pbr] rule name policy_route_1
[FW-policy-pbr-rule-policy_route_1] ingress-interface GigabitEthernet 1/0/3
[FW-policy-pbr-rule-policy_route_1] source-address 10.3.0.0 24
[FW-policy-pbr-rule-policy_route_1] action pbr egress-interface GigabitEthernet 1/0/7 next-hop 2.2.2.254
[FW-policy-pbr-rule-policy_route_1] quit

 

# Configure PBR para permitir que las PC de la red del profesor accedan a Internet a través de GigabitEthernet 1/0/1 a través de la red educativa.

[FW-policy-pbr] rule name policy_route_2
[FW-policy-pbr-rule-policy_route_2] ingress-interface GigabitEthernet 1/0/4
[FW-policy-pbr-rule-policy_route_2] source-address 10.3.1.0 24
[FW-policy-pbr-rule-policy_route_2] action pbr egress-interface GigabitEthernet 1/0/1 next-hop 1.1.1.254
[FW-policy-pbr-rule-policy_route_2] quit
[FW-policy-pbr] quit

 

3. Configure las políticas de seguridad.

# Configure una política de seguridad para permitir que las PC de la red de estudiantes accedan a Internet.

[FW] security-policy
[FW-policy-security] rule name policy_sec_1
[FW-policy-security-rule-policy_sec_1] source-zone trust
[FW-policy-security-rule-policy_sec_1] destination-zone untrust
[FW-policy-security-rule-policy_sec_1] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_1] action permit
[FW-policy-security-rule-policy_sec_1] quit

 

# Configure una política de seguridad para permitir que las PC de la red de profesores accedan a Internet.

[FW-policy-security] rule name policy_sec_2
[FW-policy-security-rule-policy_sec_2] source-zone trust
[FW-policy-security-rule-policy_sec_2] destination-zone untrust1
[FW-policy-security-rule-policy_sec_2] source-address 10.3.1.0 24
[FW-policy-security-rule-policy_sec_2] action permit
[FW-policy-security-rule-policy_sec_2] quit
[FW-policy-security] quit

  

4. Configure una política de NAT para realizar NAT para el tráfico enviado desde las PC en la red de estudiantes para acceder a Internet.

# Configure un grupo de direcciones IP.

[FW] nat address-group address_1
[FW-address-group-address_1] section 0 2.2.2.10 2.2.2.15
[FW-address-group-address_1] quit

 

# Configure una política de NAT.

[FW] nat-policy
[FW-policy-nat] rule name policy_nat_1
[FW-policy-nat-rule-policy_nat_1] source-zone trust
[FW-policy-nat-rule-policy_nat_1] destination-zone untrust
[FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 24
[FW-policy-nat-rule-policy_nat_1] action source-nat address-group address_1
[FW-policy-nat-rule-policy_nat_1] quit
[FW-policy-nat] quit


5. Configure una política de NAT para realizar NAT para el tráfico enviado desde las PC en la red del profesor para acceder a Internet.

# Configure un grupo de direcciones IP.

[FW] nat address-group address_2
[FW-address-group-address_2] section 0 1.1.1.10 1.1.1.15
[FW-address-group-address_2] quit

 

# Configure una política de NAT.

[FW] nat-policy
[FW-policy-nat] rule name policy_nat_2
[FW-policy-nat-rule-policy_nat_2] source-zone trust
[FW-policy-nat-rule-policy_nat_2] destination-zone untrust1
[FW-policy-nat-rule-policy_nat_2] source-address 10.3.1.0 24
[FW-policy-nat-rule-policy_nat_2] action source-nat address-group address_2
[FW-policy-nat-rule-policy_nat_2] quit
[FW-policy-nat] quit

 

Saludos.

 

FIN.


También te puede interesar:

Conoce como operar y mantener la solución NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 


La publicación está sincronizada con: Configuraciones típicas para firewalls

  • x
  • Opciones:

luis_ojeda
Publicado 2021-4-21 09:01:40
¡Excelente!
Ver más
  • x
  • Opciones:

user_4000619
Publicado 2021-4-26 19:11:10
gracias
Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.