De acuerdo

Ejemplo para configurar PBR específico por usuario utilizando un firewall.

227 0 6 0 0

En esta publicación compartimos un ejemplo para configurar la función PBR específico por usuario para permitir que los usuarios accedan a Internet a través de diferentes enlaces.

 

Requisitos de red

Una empresa tiene tres departamentos principales, a saber, el departamento del presidente, el departamento de marketing y el departamento de I + D. Como se muestra en la Figura 1, el FW se implementa en la salida de la intranet. Dos enlaces, ISP-A e ISP-B, se conectan a Internet. ISP-A proporciona servicios de Internet rápidos y estables, pero requiere una carga elevada. ISP-B requiere poca carga pero proporciona servicios de Internet lentos.

 

Los requisitos son los siguientes:

l  El departamento del presidente y el departamento de marketing requieren un servicio rápido de Internet y, por lo tanto, acceder a Internet a través del ISP-A.

l  El departamento de I + D tiene pocos requisitos en cuanto a la velocidad del servicio de Internet y, por tanto, accede a Internet a través del ISP-B.

  

Figura 1 Configuración de PBR específico del usuario

firewall


Procedimiento

1. Establezca una dirección IP para cada interfaz y asigne las interfaces a las zonas de seguridad.

[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.10.1.1 255.255.255.0
[FW-GigabitEthernet1/0/2] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/4
[FW-GigabitEthernet1/0/4] ip address 10.20.1.1 255.255.255.0
[FW-GigabitEthernet1/0/4] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-zone-untrust] add interface GigabitEthernet 1/0/4
[FW-zone-untrust] quit

 

2. Configure una política de seguridad entre las zonas Trust y Untrust para permitir que los usuarios de la intranet accedan a los recursos de la extranet. Se supone que el segmento de red de usuarios de la intranet es 10.1.1.0/24.

[FW] security-policy[FW-policy-security] rule name policy_sec_trust_untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.1.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit

 

3. Configure IP-link para detectar el estado del enlace.

[FW] ip-link check enable
[FW] ip-link name pbr_1
[FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 1/0/2
[FW-iplink-pbr_1] quit
[FW] ip-link name pbr_2
[FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 1/0/4
[FW-iplink-pbr_2] quit

 

4. Cree las reglas PBR pbr_1 y pbr_2, de modo que los paquetes de los departamentos de marketing y del presidente se envíen desde GE1 / 0/2 a Internet a través del enlace ISP-A, y los paquetes del departamento de I + D se envíen desde GE1 / 0/4 a Internet a través del enlace ISP-B.


firewall

 

[FW] policy-based-route[FW-policy-pbr] rule name pbr_1
[FW-policy-pbr-rule-pbr_1] description pbr_1
[FW-policy-pbr-rule-pbr_1] source-zone trust
[FW-policy-pbr-rule-pbr_1] track ip-link pbr_1
[FW-policy-pbr-rule-pbr_1] user user-group /default/marketing
[FW-policy-pbr-rule-pbr_1] user user-group /default/president
[FW-policy-pbr-rule-pbr_1] action pbr egress-interface GigabitEthernet 1/0/2 next-hop 10.10.1.2
[FW-policy-pbr-rule-pbr_1] quit
[FW-policy-pbr] rule name pbr_2
[FW-policy-pbr-rule-pbr_2] description pbr_2
[FW-policy-pbr-rule-pbr_2] source-zone trust
[FW-policy-pbr-rule-pbr_2] track ip-link pbr_2
[FW-policy-pbr-rule-pbr_2] user user-group /default/research
[FW-policy-pbr-rule-pbr_2] action pbr egress-interface GigabitEthernet 1/0/4 next-hop 10.20.1.2
[FW-policy-pbr-rule-pbr_2] quit


Saludos.

 

FIN.


La publicación está sincronizada con: Configuraciones típicas para firewalls

  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.