强叔侃墙_出口选路_策略路由_基于目的地址的IP策略路由
来源:互联网 发布:php命名空间的作用 编辑:程序博客网 时间:2024/05/09 01:14
所谓策略路由,顾名思义,即根据一定的策略进行报文转发。而策略是人为制定的,因此是一种比传统的按照目的地址选路更灵活的机制。
示例(防火墙用USG5500)
防火墙FW1作为企业出口网关,通过两条链路连接到Internet,其中经过AR1为isp1,经过AR2为isp2,访问10.10.11.11从AR1走,访问10.10.10.10从AR2走。
步骤
1、根据报文目的地址设置匹配条件
acl number 3000
rule 5 permit ip destination 10.10.11.11 0
#
acl number 3001
rule 5 permit ip destination 10.10.10.10 0
#
2、配置策略路由
policy-based-route test permit node 10
if-match acl 3000
apply ip-address next-hop 10.1.1.2
policy-based-route test permit node 20
if-match acl 3001
apply ip-address next-hop 10.1.2.2
3、应用策略路由
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
ip policy-based-route test
注意事项
1、增加两个安全区域
#
firewall zone name isp1
set priority 10
add interface GigabitEthernet0/0/2
#
firewall zone name isp2
set priority 20
add interface GigabitEthernet0/0/3
#
2、配置trust到isp1和isp2区域出方向安全策略
policy interzone trust isp1 outbound
policy 1
action permit
policy source 192.168.1.0 0.0.0.255
#
policy interzone trust isp2 outbound
policy 1
action permit
policy source 192.168.1.0 0.0.0.255
#
3、FW1,AR1,AR2,AR3,之间用静态路由实现互通。
验证
在PC1上ping 10.10.11.11 和10.10.10.10两个地址,能正常ping通。同是在防火墙上查看会话的详细信息。
display firewall session table verbose
21:09:43 2017/08/17
Current Total Sessions : 10
icmp VPN:public -->public
Zone: trust--> isp2 TTL:00:00:20 Left: 00:00:01
Interface:GigabitEthernet0/0/3 NextHop:10.1.2.2 MAC: 00-e0-fc-59-1d-dd
<--packets:1bytes:60 -->packets:1bytes:60
192.168.1.2:34453-->10.10.10.10:2048
icmp VPN:public -->public
Zone: trust--> isp1 TTL:00:00:20 Left: 00:00:09
Interface:GigabitEthernet0/0/2 NextHop:10.1.1.2 MAC: 00-e0-fc-f8-13-51
<--packets:1bytes:60 -->packets:1bytes:60
192.168.1.2:35989-->10.10.11.11:2048
通过显示信息可以看到去往10.10.11.11的报文是从防火墙的G0/0/2接口转发的。下一跳是AR1与防火墙相连的接口地址;而去往10.10.10.10r的报文是从防火墙的G0/0/3接口转发的,下一跳为R2与防火墙相连的接口地址。
示例(防火墙用USG5500)
防火墙FW1作为企业出口网关,通过两条链路连接到Internet,其中经过AR1为isp1,经过AR2为isp2,访问10.10.11.11从AR1走,访问10.10.10.10从AR2走。
步骤
1、根据报文目的地址设置匹配条件
acl number 3000
#
acl number 3001
#
2、配置策略路由
3、应用策略路由
interface GigabitEthernet0/0/1
注意事项
1、增加两个安全区域
#
firewall zone name isp1
#
firewall zone name isp2
#
2、配置trust到isp1和isp2区域出方向安全策略
policy interzone trust isp1 outbound
#
policy interzone trust isp2 outbound
#
3、FW1,AR1,AR2,AR3,之间用静态路由实现互通。
验证
在PC1上ping 10.10.11.11 和10.10.10.10两个地址,能正常ping通。同是在防火墙上查看会话的详细信息。
display
21:09:43
通过显示信息可以看到去往10.10.11.11的报文是从防火墙的G0/0/2接口转发的。下一跳是AR1与防火墙相连的接口地址;而去往10.10.10.10r的报文是从防火墙的G0/0/3接口转发的,下一跳为R2与防火墙相连的接口地址。
阅读全文
0 0
- 强叔侃墙_出口选路_策略路由_基于目的地址的IP策略路由
- 强叔侃墙_出口选路_策略路由_基于源IP地址的策略路由
- 基于路由策略的IP地址控制
- 基于策略路由的IP地址控制
- 网络子系统66_策略路由初始化
- 网络子系统59_策略路由、多路径路由
- Linux下基于路由策略的IP地址控制实例
- Cisco策略路由实现双地址双出口+NAT
- Cisco策略路由双地址双出口+NAT
- 20170906_环回地址_默认路由_主机路由
- Cisco基于策略路由的配置实例
- Linux环境下基于策略的路由
- Linux环境下基于策略的路由
- 基于LINUX策略路由的实现
- 31_策略模式
- 策略路由
- 策略路由
- 策略路由
- LLVM学习笔记(16)
- weico.cc微博链接
- 强叔侃墙_NAT_easyip示例
- 强叔侃墙_NAT_smart NAT示例
- 强叔侃墙_三无组NAT
- 强叔侃墙_出口选路_策略路由_基于目的地址的IP策略路由
- 九度OJ
- python世界上最全的文件操作教程
- 使用WebView简单嵌套页面
- jbpm学习笔记
- mac
- 《Linux私房菜》读书笔记
- Builer模式链式调用
- Cordova学习笔记之入门