NGWF_策略路由

已于 2023-02-26 21:53:59 修改
阅读量396 收藏
点赞数
分类专栏: 多出口选路 华为防火墙 文章标签: 服务器 网络 前端
于 2023-02-26 16:44:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27599713/article/details/129227931
版权

一,策略路由

1.1策略路由简介

        策略路由会在路由表已经产生的情况下,不按照现有的路由表进行转发,而是根据用户制定的策略进行路由选择的机制,从更多的方面(入接口、安全区域、源/目IP地址、用户、服务、应用)来决定报文如何转发。增加了报文转发控制的灵活度,策略路由并没有替代路由表机制,而是优先于路由表生效。

1.2应用场景

        策略路由通常用于多出口组网的场景,以下图为例,FW为出口网关,双出口连接不同ISP及ISP1和ISP2。其中ISP1的上网速度慢,费用高;ISP2的上网速度较慢但价格低廉。

        通过配置策略路由,可以采用以下方式:

        ①基于用户选路:制定用户只能通过指定链路访问互联网,例如用户组A的权限高,享受快速网络通过ISP1访问互联网。用户组B的优先级低通过ISP2访问互联网。

        ②基于应用、协议类型选路:例如语音和视频等带宽要求高的走ISP1链路,其他走ISP2链路。

1.3原理描述

        一条策略路由包括条件和动作两部分。匹配条件是将做策略路由的流量区分开来,FW支持如下几种类型匹配条件:

        · 源安全区域:基于报文的源安全区域进行流量识别。

        · 入接口:基于报文的接收接口进行流量识别。

        · IP地址/MAC地址:基于报文的源IP/源MAC或目的IP/目的MAC进行流量识别。

        · 用户:在对应的用户通过设备的身份认证后,基于报文所属的用户进行流量识别。

        · 服务类型:基于报文所属的服务类型进行流量识别。

        · 应用类型:基于报文所属的应用类型进行流量识别。

        · DSCP优先级:基于报文的DSCP优先级进行流量识别。

        在一个策略路由规则内可以包含多个匹配条件,匹配条件之间是” 与 “的关系,报文必须同时满足配置的所有条件才可以执行后续定义的转发动作。服务类型,应用类型,用户作为匹配条件,则只要其中一个匹配即可。
        策略路由动作如下:

        · 报文发送指定下一跳设备。

        · 从指定出接口发送报文。

        · 利用智能选路功能,从多个出接口选择一个出接口发送报文。

        · 把报文发送到指定的虚拟系统。

         注:如果没有匹配到策略路由则按现有的路由表进行转发。

二,策略路由实验

2.1实验拓扑和配置

一,实验拓扑

二,需求

        配置策略路由,PC1匹配策略路由通过连接ISP1的链路访问互联网,PC2匹配策略路由通过连接ISP2的链路访问互联网。

2.2配置过程

1.IP地址,安全区域划分如图所示配置略。ISP1和ISP2均有配置访问互联网的路由配置略。

2.配置IP-Link监控ISP1和ISP2的网关

[FW]ip-link  check  enable  
[FW]ip-link  name ISP1
[FW-iplink-ISP1]destination  202.100.1.200  interface  GigabitEthernet  1/0/2 mode  icmp  next-hop  202.100.1.200
[FW]ip-link  name ISP2
[FW-iplink-ISP2]destination  202.100.2.200  interface  GigabitEthernet  1/0/3  mode  icmp  next-hop  202.100.2.200

3.配置静态路由并联动IP-Link

[FW]ip route-static  0.0.0.0 0 202.100.1.200 track  ip-link  ISP1
[FW]ip route-static  0.0.0.0 0 202.100.2.200 track  ip-link  ISP2

4.配置Easy-IP

[FW]nat-policy  
[FW-policy-nat]rule name PC_Internet
[FW-policy-nat-rule-PC_Internet]source-zone trust
[FW-policy-nat-rule-PC_Internet]destination-zone untrust
[FW-policy-nat-rule-PC_Internet]source-address 10.1.1.0 24
[FW-policy-nat-rule-PC_Internet]source-address 10.1.2.0 24
[FW-policy-nat-rule-PC_Internet]action  source-nat  easy-ip

5.配置安全策略

[FW]security-policy 
[FW-policy-security]rule name PC1/2_Internet
[FW-policy-security-rule-PC1/2_Internet]source-zone trust
[FW-policy-security-rule-PC1/2_Internet]destination-zone untrust
[FW-policy-security-rule-PC1/2_Internet]source-address 10.1.1.0 24
[FW-policy-security-rule-PC1/2_Internet]source-address 10.1.2.0 24
[FW-policy-security-rule-PC1/2_Internet]action  permit

6.配置策略路由

配置PC1的策略路由:

[FW]policy-based-route
[FW-policy-pbr]rule name PC1_ISP1
[FW-policy-pbr-rule-PC1_ISP1]source-zone trust 
[FW-policy-pbr-rule-PC1_ISP1]source-address 10.1.1.0 24
[FW-policy-pbr-rule-PC1_ISP1]track ip-link ISP1
[FW-policy-pbr-rule-PC1_ISP1]action pbr egress-interface GigabitEthernet1/0/2 next-hop 202.100.1.200

配置PC2的策略路由:

[FW-policy-pbr]rule name PC2_ISP2
[FW-policy-pbr-rule-PC2_ISP2]source-zone trust
[FW-policy-pbr-rule-PC2_ISP2]source-address 10.1.2.0 24
[FW-policy-pbr-rule-PC2_ISP2]track ip-link  ISP2
[FW-policy-pbr-rule-PC2_ISP2]action  pbr  egress-interface  GigabitEthernet  1/0/3  next-hop  202.100.2.200

2.3验证结果

1.使用PC1和PC2 ping www.baidu.com [180.101.50.188],查看会话表。PC1从ISP1链路访问外网。PC2则从ISP2链路访问外网。

 icmp  VPN: public --> public  ID: c487f23f2eae4d8111563fb6379
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:20
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/2  NextHop: 202.100.1.200  MAC: 00e0-fca8-686d
 <--packets: 52 bytes: 3,120 --> packets: 52 bytes: 3,120
 10.1.1.1:1[202.100.1.10:2049] --> 36.152.44.96:2048 PolicyName: PC1/2_Internet


 icmp  VPN: public --> public  ID: c487f23f2eae7901a1663fb6387
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:19
 Recv Interface: GigabitEthernet1/0/1
 Interface: GigabitEthernet1/0/3  NextHop: 202.100.2.200  MAC: 00e0-fc05-091e
 <--packets: 37 bytes: 2,220 --> packets: 37 bytes: 2,220
 10.1.2.1:1[202.100.2.10:2048] --> 36.152.44.96:2048 PolicyName: PC1/2_Internet

2.查看IP-Link和PBR的状态,均为使能或UP。

[FW]display  ip-link  
2023-02-26 13:51:30.490 
Current Total Ip-link Number : 2
Name                              Member   State   Up/Down/Init
ISP1                              1        up      1  0    0   
ISP2                              1        up      1  0    0   
[FW]display  policy-based-route  rule  all  
2023-02-26 13:51:44.100  
Total:3 
RULE ID  RULE NAME                         STATE      ACTION       HITS        
------------------------------------------------------------------------------- 
1        PC1_ISP1                          enable     pbr          86           
2        PC2_ISP2                          enable     pbr          26          
0        default                           enable     no-pbr       1589        
-------------------------------------------------------------------------------

3.制造ISP1链路故障查看现象

[FW]display  ip-link  
2023-02-26 13:53:22.090 
Current Total Ip-link Number : 2
Name                              Member   State   Up/Down/Init
ISP1                              1        down    0  1    0   
ISP2                              1        up      1  0    0

4.PC1匹配默认路由从ISP2链路访问互联网

 icmp  VPN: public --> public  ID: c487f23f2ea4220111563fb6450
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:20
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/3  NextHop: 202.100.2.200  MAC: 00e0-fc05-091e
 <--packets: 48 bytes: 2,880 --> packets: 48 bytes: 2,880
 10.1.1.1:1[202.100.2.10:2049] --> 36.152.44.96:2048 PolicyName: PC1/2_Internet

 icmp  VPN: public --> public  ID: c487f23f2eae7901a1663fb6387
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:20
 Recv Interface: GigabitEthernet1/0/1
 Interface: GigabitEthernet1/0/3  NextHop: 202.100.2.200  MAC: 00e0-fc05-091e
 <--packets: 248 bytes: 14,880 --> packets: 248 bytes: 14,880
 10.1.2.1:1[202.100.2.10:2048] --> 36.152.44.96:2048 PolicyName: PC1/2_Internet

L_F_A_L
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
下一代防火墙设计方案V2.doc
12-25
惠尔顿下一代防火墙 (NGWF) 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日 目 录 一、方案背景 1 二、网络安全现状 1 三、惠尔顿下一代防火墙(NGWF)介绍及优势 5 四、惠尔顿NGWF功能简介 8 五、部署模式...
安全技术及设备
u010025781的博客
05-15 514
信息安全是对信息和信息系统进行保护,防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。 信息安全管理体系是人员、管理与技术三者的互动。在现在的安全因素中,安全的管理能力显得特别重要。在安全管理政策及策略下,再通过相关的技术手段来提高安全的能力。 安全能力可以分为四种: • Protection(防护):采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和责任性。 • Detection(检测):检查系统可能存在的脆弱性。 • Response(响应):系统遭到破坏
防火墙(NGFW)与UTM本质上的区别
weixin_43283381的博客
05-27 8978
防火墙(NGFW)与UTM本质上的区别: 先说说传统的安全设备: 入侵防御设备 IPS 应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏...
linux网络设置
Katie_ff的博客
05-18 4556
traceroute 180.101.50.188————————测试到180.101.50.188有多少个网关。vim /etc/sysconfig/static-routes——————————修改。netstat -antp | grep 22———————查看端口号22的相关信息。systemctl restart network————————————重启。systemctl restart network————————重新启动。
7.Linux虚拟机连接互联网
weixin_43346403的博客
04-01 320
Linux联网
Linux网络配置与抓包工具介绍
qq_64612585的博客
01-09 1561
查看网卡配置详情信息,在不带任何选项和参数执行ifconfig命令时,将显示当前主机中已启用(活动)的网络接口信息。#“ens33”中的“en”是“EtherNet”的缩写,表示网卡以太网(局域网中的一种) 互联网类型为以太网,“s”表示热插拔插槽上的设备(hot-plug Slot),数字“33”表示插槽编号该接口已启用,支持广播、正在运行 支持组播 最大传输单元1500字节IP地址 子网掩码 广播地址IPV6地址 子网长度 作用域 link表示仅该接口有效。
天融信防火墙配置手册.zip
07-14
目录 ACM NGTOS WAF 防毒墙 防火墙 负载均衡 静态隧道 漏扫 入侵防御 网闸
Linux网络设置及DHCP
m0_58076958的博客
05-19 5758
本文介绍了一些基础的Linux网络上的命令;讲解了DHCP以及如何设置DHCP服务器
1、hadoop集群搭建
赞的心路历程
07-04 554
这两种shell的主要区别在于,它们启动时会加载不同的配置文件,login shell启动时会加载/etc/profile,~/.bash_profile,~/.bashrc。面临问题:数据统计主要用HiveSQL,没有数据倾斜,小文件已经做了合并处理,开启的JVM重用,而且IO没有阻塞,内存用了不到50%。Linux的环境变量可在多个文件中配置,如/etc/profile,/etc/profile.d/*.sh,~/.bashrc,~/.bash_profile等,下面说明上述几个文件之间的关系和区别。
Wireshark—网络分析工具
m0_51451952的博客
08-18 398
本文使用WireShark辅助网络协议的学习
C++ JSON库的一般使用方法
大草的博客
03-28 3328
C++ JSON库的一般使用方法。文中尝试了:Boost json、Qt json、nlohmann json,这三种json库。
【保姆级教学】抓包工具Wireshark使用教程
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-16 6903
首先安装完了之后,我们打开抓包软件可以看到有很多的网络接口,那我们应该如何选择呢?选择我们现在正在上网的网卡这里用的wifi 就直接抓wlan这个网卡了。直接鼠标双击点进去可以看到有很多的数据包整体来说,界面主要分为以下几部分:菜单栏:Wireshark的标准菜单栏。工具栏:常用功能的快捷图标按钮,提供快速访问菜单中经常用到的项目的功能。过滤器:提供处理当前显示过滤得方法。Packet List面板:显示每个数据帧的摘要。
网络 || 网络层
qq_60271706的博客
08-20 382
IP指网际互连协议,Internet Protocol的缩写,是TCP/IP体系中的网络层协议。IP地址:其实就是互联网协议里使用的地址一台电脑(computer)就是一台主机(host)一个服务器就是一个主机一个主机就是一个节点(node)主机唯一的标识,保证主机间正常通信一种网络编码,用来确定网络中一个节点IP地址由32位二进制(32bit)组成ip地址里的数字(10进制)的范围0~255。
第五周至第六周作业题
XinyuzheWang的博客
05-07 213
OSI模型是一个通信协议参考模型,分为七个层次。每一层都提供了一组特定的功能,以实现网络通信。以下是每一层的作用及对应的协议:物理层:负责传输原始的比特流,它定义了如何在物理媒介上传输数据。例如,传输介质可以是电缆、光纤或无线信号。物理层没有具体的协议。数据链层:在物理层之上建立逻辑连接,并将数据分成帧进行传输。数据链层还处理错误检测和纠正,并控制访问共享介质。常见的协议有以太网(Ethernet)和无线局域网(Wi-Fi)。
Linux网络设置
m0_57554344的博客
05-18 761
直接执行“route”命令无法直接看出默认网关地址,可执行命令“route -n”后,输出信息中的“*”/etc/resolv.conf 文件中记录了本机默认使用的 DNS 服务器的地址信息,对该文件所做 的修改。当目标网段为“default”时,表示此行是默认网关记录;地址将显示为“0.0.0.0”,默认网关记录中的“default”也将显示为“0.0.0.0”。通常使用“-anpt”组合选项,以数字形式显示当前系统中所有的 TCP 连接信息,同时显示对。冒号后的0代表的是虚拟网卡的序号,不能重复使用。
策略管理
Gow_an的博客
07-31 733
RHEL 提供了一组命令来管理策略由,其中,主命令是ip rule,子命令主要包括show·list·add·delete·以及flush等。 如列出当前系统的策略: 添加一条策略,匹配规则是所有来自192.168.10.0/24 子网的数据包。所使用的由表是12号由表,如示例:下面命令根据数据包的目的地匹配策略,所有发送到192.168.10
邂逅天融信防火墙 - 新增公网链
vbaspdelphi的专栏
01-30 1244
机房本来有一条移动链,由于业务需要,另外添加了一条联通线,可是这条线应该怎么融入进去我们的系统呢。 搞定端口映射 先来看看 我们如何面对端口映射,因为业务总是对外服务的,所以通过端口映射,可以达到让外界用户访问内部资源的需求: 如上图,通过添加一条PBR,也就是策略由。对于外网端口映射的情况,当外界访问的时候,数据包经过把DST转换成内部地址进入内部是没有问题的,但是当数
策略由配置示例
扎实基础方能走远
11-30 2696
  设备 192.200.235.91 由问题和解决办法 场景: a. 3网卡 eth0:192.200.235.91  eth2: 192.200.235.82   eth3:192.200.235.93  共同默认网关192.200.235.81 b. 到目的ip 10.191.88.1走 eth2   到目的ip 10.191.88.33 走eth3 问题: a. 内网其他设备pin...
使用Nginx将服务器目录、文件共享出来
最新发布
cpych的专栏
05-22 189
如果在Linux服务器上共享磁盘给Windows使用,这样会导致存放的文件名的编码是ISO-8859-1格式的,因此需要制定读取目录及文件的编码 charset utf-8;1.配置映射径,加入映射目录。2.重载Nginx配置。
用于与 HTTP 服务器通信的函数
安徽锐锋科技-沐雨潇竹
05-21 760
将对在不更改结构的情况下不允许用于 URL 的所有字母进行掩蔽。将指定数据从 Base64 编码解码为原始状态,对传递的 Base64 编码文本中的二进制数据进行转换。decodeQuotedPrintableString 函数取消掩蔽由引用的可打印编码掩蔽的所有字母,将其转换为原始形式的传递文本。对引用的可打印编码中传递的字符串进行编码,其中将掩蔽不允许在 URL 中使用的所有字母,而不更改其结构。字符串数据类型的 FileName 参数用于指定要将解码后的数据保存到其中的文件的名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值