Cisco ASA防火墙PBR策略路由配置

已于 2024-04-11 10:08:45 修改
阅读量1k 收藏 4
点赞数 3
文章标签: 网络 cisco pbr
于 2024-04-11 09:22:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/funnycoffee123/article/details/137624051
版权

1 FAQ

1.1 什么是PBR

全称policy-base routing (策略路由)

官方解释 :
PBR is an alternative to routing protocols and allows you to configure a policy for unicast traffic flows,
which provides more control over routing than a routing protocol does and avoids the need to configure
interface-level traffic classification. PBR can route unicast traffic along a different path than a routing
protocol would use. PBR can provide:
• Equal access
• Protocol-sensitive routing
• Source-sensitive routing
• Routing based on interactive rather than batch traffic
简单来说就是数据包按我们指定的下一跳转发,比路由表优先。
算是特权吗? yeah,特权

1.2 PBR能用于组播流量吗?

不能用于组播,只能用于单播流量。

1.3 PBR能调用在出向接口吗?

不能。 只能调用在入向接口

1.4 PBR能对交换机本地始发的流量生效吗?

可以。需要指定全局调用

1.5 PBR有啥缺点吗?

缺点那是一大堆。随便举2个

  • CPU消耗大
  • 不利于排错(排错时会因为有pbr而造成困扰,“你个球的不按套路出牌“)

2 配置步骤

2.1 创建ACL匹配流量

2.2 创建route-map,调用ACL,设置下一跳

2.3 接口下调用route-map

3 配置实例

3.1 define acl

access-list PBR-ACL extended permit ip host 192.168.1.2 any

3.2 define route-map

route-map PBR permit 10 
match ip address PBR-ACL <-- Specify the generated Access-List 
set ip next-hop 192.168.2.252 <-- Specify next-hop (IP of Router2)

3.3 apply to interface


interface GigabitEthernet0/0 

policy-route route-map PBR <-- Apply route-map to incoming Interface

验证命令

asav# show policy-route        <-- Check the presence of PBR (Set Route-map PBR on Interface GigabitEthernet0/0) 

Interface Route map 

GigabitEthernet0/0 PBR 

 

 

asav# show route-map           <-- Check Route-map (PBR-ACL Specify Next-hop 192.6.2.252) 

route-map PBR, permit, sequence 10 

  Match clauses: 

    ip address (access-lists): PBR-ACL 

 

  Set clauses: 

    ip next-hop 192.168.2.252 

 

 

asav# show access- list PBR-ACL      <-- Confirm packets matching PBR-ACL 

access-list PBR-ACL; 1 elements; name hash: 0x9e175fdb 

access-list PBR-ACL line 1 extended permit ip host 192.168.1.2  any (hitcnt =5) 0xddb23923

 

可以参考文档:
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/configuration/general/asa-914-general-config/route-policy-based.html
funnycoffee123
关注
Cisco(62)——PBR策略路由案例
abraham的博客
01-14 4138
R1和R2均连接100.100.100.100,R4看做一台PC,当PC访问100.100.100.100的时候优先走左边,当左边down掉之后切换到右边链路,使用PBR操作。R1和R2均连接100.100.100.100,R4看做一台PC,当PC访问100.100.100.100的时候优先走左边,当左边down掉之后切换到右边链路,使用PBR操作。R4发来的数据被R3强制的丢给了R1,虽然R3有静态指向R2,但是他的优先级要低于PBR指定的下一跳。
CISCO 电信和网通线一起应用的配置问题
net527的专栏
09-07 540
<br /> <br />CISCO 电信和网通线一起应用的配置 问题<br /> 第一步:进入配置模式:<br /> ROUTER>EN<br /> ROUTER#CONFIG T<br />第二步:配置端口<br /> /*接局域网*/<br /> Router(Config)>int fa 0/0<br /> Router(Config-if)>ip addr 192.168.0.1 255.255.255.0 (假设是你内部地址<br /> Router(Config-if)>no
Cisco基于策略路由配置实例
03-29 2711
问题描述   您可以定义自己的规则来进行数据包的路由而不仅仅由目的地地址所决定。在这里 您可以学到怎么使用基于策略路由的办法来解决这一问题。   在具体的应用中,基于策略路由有:   ☆ 基于源IP地址的策略路由   ☆ 基于数据包大小的策略路由   ☆ 基于应用的策略路由   ☆ 通过缺省路由平衡负载   这里,讲述了第一种情况的路由策略。 举例   在这个例子中,防火墙的作用是:把1
常见防火墙安全策略配置及精准排障指导,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
04-07 1321
配置得好,那是固若金汤,配置不好,那就是筛子。总而言之,防火墙配置和排障,既要严谨,又要灵活。企业要建立策略基线库,定期进行策略审计和攻防演练,同时拥抱自动化工具,提高运维效率。防火墙这玩意儿,最基本的就是划分安全区域,就像给流量分个“三六九等”。Trust(内网)、Untrust(外网)、DMZ(对外服务区),每个区域的安全级别都不一样,进出都要经过严格审查。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
Cisco 基于策略路由配置实例
weixin_34390105的博客
12-29 340
问题描述:您可以定义自己的规则来进行数据包的路由而不仅仅由目的地地址所决定。在这里您可以学到怎么使用基于策略路由的办法来解决这一问题。在具体的应用中,基于策略路由有:   ☆ 基于源ip地址的策略路由   ☆ 基于数据包大小的策略路由   ☆ 基于应用的策略路由   ☆ 通过缺省路由平衡负载   这里,讲述了第一种情况的路由策略  举例:在这个例子中,防火墙的作用是:把10...
Cisco_思科_策略路由的概念_原理_配置实例
10-22
普通路由转发基于路由表进行报文的转发; 路由表的建立 直联路由、主机路由; 静态配置路由条目; 动态路由协议学习生成; 查看命令——show ip route 对于同一目的网段,可能存在多条distance不等的路由条目
思科设备策略路由配置
Tony_long7483的博客
10-24 2272
思科设备策略路由配置
思科设备配置策略路由
Tony_long7483的博客
09-20 3120
思科设备配置策略路由
ASA双出口流量负载PBR策略
10-10
ASA双出口流量负载PBR策略 ASA2130
PBR策略路由配置.ppt
05-09
本文档讲述了策略路由的原理和配置方法,十分详细,欢迎下载学习。
思科Cisco策略路由(policy route)详细介绍
10-01
思科策略路由(policy routing),也称为策略性基于策略路由(Policy-Based Routing,简称PBR),是一种网络功能,允许网络管理员根据策略而不是单纯的路由表来决定数据包的转发路径。策略路由的灵活性在于它能够...
策略路由PBR配置
03-28
1. 掌握策略路由配置 2. 理解策略路由的原理
ASA 集群+双线路+策略路由+IP SLA+NAT+snmp
06-08
ASA 集群+双线路+策略路由+IP SLA+NAT+snmp 等相关配置
Cisco_策略路由的概念、原理、配置实例
11-07
Cisco_策略路由的概念、原理、配置实例
Cisco路由基础:双线策略路由的三种实现方式总结+端口映射
10-01
主要为大家介绍了双线策略路由的三种实现方式总结和端口映射方面的问题,双线比单线要复杂多了,但把策略路由的原理弄明白了,就会发现其实并不难,需要的朋友可以参考下
cisco 策略路由配置
11-21
cisco 策略路由配置,很适合初学者
策略路由PBR配置.pdf
02-07
### 策略路由PBR配置详解 #### 一、策略路由概念与原理 策略路由(Policy-Based Routing, PBR)是一种高级路由技术,它允许管理员根据自定义的策略来决定数据包如何转发,而不是简单地依赖于路由表中的最长前缀...
思科策略路由基本配置
热门推荐
u010612642的博客
08-18 1万+
PC配置 pc1(config)#int f0/0 pc1(config-if)#ip add 192.168.1.1 255.255.255.0 pc1(config-if)#no shutdown pc1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254 pc2(config)...
CISCO 策略路由 PBR (Policy Base On Route) 详解
范枝洲的博客
04-10 9681
文章目录1. 什么是策略路由 1. 什么是策略路由 Cisco策略路由是在接口上通过配置route-map对入方向的数据包进行筛选,将符合规则的数据包转发到特定的下一跳地址。从而实现灵活的路径选择,通常在特殊场景中使用;与本地路由表相比,策略路由更优先,如果策略路由匹配失败,则再查找本地路由,如果本地路由未匹配,则丢弃报文; 策略路由对数据包的匹配可以基于源IP、源和目的IP或端口号的自由组合。...
华为交换机pbr策略路由配置
02-21
### 华为交换机PBR策略路由配置方法 #### 1. 基本概念 PBR (Policy-Based Routing),即基于策略路由,在华为设备上的应用主要针对本地始发流量,而非接口转发流量。对于某些特定型号的支持情况有所不同,如果实验效果不符合预期,则建议考虑使用MQC(模块化QoS命令行)作为替代方案[^1]。 #### 2. 配置流程概述 为了实现有效的PBR功能,通常需要定义分类器(Classifier)用于匹配符合条件的数据包;同时也要设定相应的行为(Behavior),比如指定新的下一跳地址或出口接口等操作。最后一步则是创建并关联流策略(Traffic Policy),将其应用于全局模式下或是具体端口之上[^3]。 #### 3. 实际案例展示 下面给出一段具体的配置实例: ```shell [HUAWEI] policy-based-route pbr_example permit node 10 [HUAWEI-pbr-10] if-match acl 3000 [HUAWEI-pbr-pbr_example-10] apply next-hop 192.168.1.1 [HUAWEI-pbr-pbr_example-10] quit [HUAWEI] traffic-policy pbr_policy outbound interface GigabitEthernet0/0/1 inbound [HUAWEI-interface-GigabitEthernet0/0/1] packet-filter acl_number 3000 inbound ``` 上述代码片段展示了如何设置一个名为`pbr_example` 的PBR节点,并通过ACL编号`3000` 来筛选目标数据包,进而改变其下一跳至 `192.168.1.1`. 此外还涉及到将此规则绑定到GE0/0/1 接口上生效的过程[^2]. 需要注意的是当所指派的新路径不可达时可能会造成所谓的“黑洞现象”,因此推荐利用Track NQA机制来进行连通性监测以提高系统的稳定性与可靠性[^4].
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值