强叔侃墙_出口选路_策略路由_基于源IP地址的策略路由

最新推荐文章于 2024-05-09 12:54:13 发布
最新推荐文章于 2024-05-09 12:54:13 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: 强叔侃墙华为防火墙技术漫淡 文章标签: 防火墙 管理 员工 企业 流量
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjjingpan/article/details/77367448
版权

FW1为企业出口网关,通过不同ISP的两条链路连接到internet,其中经过AR1的链路带宽速率较高,假设为10Mbit/s,经过AR2的链路带宽速率较小,为2Mbit/s。为保证企业管理者访问Internet的用户体检,让其访问流量经过AR1链路进行转发,而员工的访问流量经过AR2的链路转发。

示例(防火墙用USG5500)
防火墙FW1作为企业出口网关,通过两条链路连接到Internet,其中经过AR1为isp1,经过AR2为isp2,访问10.10.11.11从AR1走,访问10.10.10.10从AR2走。
步骤
1、根据报文目的地址设置匹配条件
#acl number 3002
 rule 5 permit ip source 192.168.1.0 0.0.0.255
#
acl number 3003
 rule 5 permit ip source 192.168.10.0 0.0.0.255
#

2、配置策略路由
policy-based-route boss permit node 10
  if-match acl 3003
  apply ip-address next-hop 10.1.1.2
policy-based-route employee permit node 10
  if-match acl 3002
  apply ip-address next-hop 10.1.2.2
3、应用策略路由
interface GigabitEthernet0/0/1
 ip address 192.168.1.1 255.255.255.0
 ip policy-based-route employee

#
interface GigabitEthernet0/0/4
 ip address 192.168.10.1 255.255.255.0
 ip policy-based-route boss

注意事项
1、增加两个安全区域
#
firewall zone name isp1
 set priority 10
 add interface GigabitEthernet0/0/2
#
firewall zone name isp2
 set priority 20
 add interface GigabitEthernet0/0/3
#

2、配置trust到isp1和isp2区域出方向安全策略
policy interzone trust isp1 outbound
 policy 1
  action permit
  policy source 192.168.10.0 0.0.0.255
#
policy interzone trust isp2 outbound
 policy 1
  action permit
  policy source 192.168.1.0 0.0.0.255
#

3、将g0/0/1和g0/0/4端口增加到trust区域

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/1
 add interface GigabitEthernet0/0/4
#
4、FW1,AR1,AR2,AR3,之间用静态路由实现互通。

验证

PC1   和PC2 ping 10.10.10.10,查看防火墙上的会话信息。

<FW1>display firewall session table verbose 

  icmp  VPN:public --> public
  Zone: trust--> isp2  TTL: 00:00:20  Left: 00:00:01
  Interface: GigabitEthernet0/0/3  NextHop: 10.1.2.2  MAC: 00-e0-fc-59-1d-dd
  <--packets:3 bytes:276   -->packets:6 bytes:552
  192.168.1.2:1632-->10.10.10.10:2048

  icmp  VPN:public --> public
  Zone: trust--> isp1  TTL: 00:00:20  Left: 00:00:13
  Interface: GigabitEthernet0/0/2  NextHop: 10.1.1.2  MAC: 00-e0-fc-f8-13-51
  <--packets:3 bytes:276   -->packets:5 bytes:460
  192.168.10.2:4448-->10.10.10.10:2048

管理者(192.168.10.2)访问server2的流量从AR1(10.1.1.2)连接的链路转发的,而员工(192.168.1.2)从AR2(10.1.2.2)连接的链路转发的,满足

了优先级高的流量走高速链路,优先级低的流量走低速链路的用户需求。

tjjingpan
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用两种方式实现基于地址的策略路由
11-07 4279
实验环境:有一台路由器两个S口,一个E0口,其中E0地址段为:10.1.1.1/24; S0口配置:192.168.1.5/30,S1口配置:192.168.2.5/30;姑且我们这样看待; 其中策略路由如下:只允许E0口中的10.1.1.2地址从S0口上网,只允许10.1.1.3地址从S1口上网,至于回来的路由方式不由我们这里控制; 1. 通过静态路由以及列表上网;此上网方式会使上网速度比较慢,
基于目的地址的策略路由
04-07
基于目的地址的策略路由并结合nat设置.提升网络速度。
基于ip地址策略路由
最新发布
qq_70752974的博客
05-09 408
pc1:(都可以访问)
实验:基于地址的策略路由
weixin_34248705的博客
11-15 1792
在上一篇笔记中,我说过马上作策略路由的实验吧~ 现在将这个实验留在51CTO的博客吧~ 实验目的: 根据不同来地址的流量,通过策略路由选择不同的出口: 在这个实验中,地址为211.141.1.0/24的数据必须经由R2的F0/0流出,经过R3再到达VMware PC 192.168.2.1; 在这个实验中,地址为172.16.1.0/24的...
策略路由(Policy Route)
热门推荐
whoim_i的博客
12-22 1万+
目录什么叫策略路由策略路由优点策略路由流程route-map概念定义route-map格式route-map特征相关配置基于地址的策略路由基于目的地址的策略路由基于报文长度的策略路由 什么叫策略路由? 所谓策略路由,顾名思义,即是根据一定的策略进行报文转发,因此策略路由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进...
Portal: 强叔侃
阿群的笔记(同步备份自简书)
02-11 734
http://blog.csdn.net/nanfeng1686/article/details/45742679
策略路由PBR原理详解.doc
05-11
策略路由可以满足基于IP地址、目的IP地址、协议字段、TCP/UDP/目的端口号等多种组合进行选路策略路由的实现原理 策略路由的实现原理基于Route-map来配置策略路由的流程。策略路由只对入口数据包有效,需要...
TCP/IP协议详解卷1_008(IP选路)
01-20
此外,使用netstat命令可以查看和分析路由表,如以-n选项列出IP地址的格式。 简而言之,IP选路是网络通信中复杂而至关重要的部分,它涉及到网络接口、路由表、路由协议和策略等多个层面。了解这一过程对于理解TCP/...
计算机病毒与防护:IP路由基础.pptx
06-10
计算机病毒与防护是网络安全的重要组成部分,而IP路由基础则是网络通信的核心。在这份名为"计算机病毒与防护:IP路由基础.pptx"的文件中,主要涵盖了两个关键领域:自治系统(AS)的概念以及IP路由的基本原理。 ...
visio信息化设计实例有线网络部署-策略的路由(PBR)路由选路拓扑.zip
04-16
1. **定义策略**:明确需要根据哪些参数(如IP地址、端口号等)来制定路由决策。 2. **创建访问列表**:使用IP访问列表或扩展访问列表,筛选出符合策略的数据包。 3. **设置路由映射**:定义当数据包匹配到访问列表...
路由跟踪与IP选路PPT学习教案.pptx
10-06
所有的IP路由选择只为数据报传输提供下一站路由器的IP地址。它假定下一站路由器比发送数据报的主机更接近目的,而且下一站路由器与该主机是直接相连的。 IP选路的过程可以分为三步: 1. 查找匹配的主机地址; 2. ...
H3C路由器配置基于地址的策略路由图文教程
06-28
H3C路由器配置基于地址的策略路由图文教程整理
强叔侃03.pdf
09-09
华为防火墙学习资料,强叔侃第一季03强叔侃第一季03强叔侃第一季03强叔侃第一季03强叔侃第一季03
强叔侃02期
07-23
华为防火墙强叔侃,以幽默风趣的方式讲解了防火墙技术!
华为USG防火墙配置---案例三(2)(单负载多出口NAT上网)--基于带宽/权重负载
ZhouGuo520的博客
12-21 1946
案例三(1):用户多出口连接到电信DX和移动YD,防火墙出口互联设备。 电信提供的地址如下 ip:200.1.1.1-4/24,网关:200.1.1.5 带宽100M 移动提供的地址如下 ip:119.1.1.1-4/24,网关:119.1.1.5 带宽50M防火墙配置:健康j监测俩ISP连路, 局域网规划172.16.0.0/16,可以细化到单个C地址,交换机配置dhcp作为网关,默认路由指向防火墙即可。说明:防火墙与局域网互联配置 172.16.0.1/30(交换机配置默认路由指向这个地址) 交换..
学习笔记:防火墙智能路由选路
TKE_yinian的博客
02-28 3514
简介 当FW作为网络出口设备拥有多条出口链路时,智能选路功能可以根据管理员设置的带宽、权重和优先级自动探测链路质量并动态地选择出接口,保证链路资得到充分利用,提升用户的上网体验。 • 全局选路策略 • 当FW上存在多条等价路由时,全局选路策略带宽、链路质量,权重和优先级动态地选择出接口,保证链路资得到充分利用,提升用户的上网体验。 • 策略路由策略路由能够依据用户制定的策略进行数据的转发...
eNSP防火墙任务配置
m0_64118193的博客
10-17 6530
进入untrust区域。#进入trust区域。
H3C路由器怎么设置基于地址的策略路由
ljhao01的博客
07-09 2838
1. 配置需求定义策略aaa的策略路为由控制所有从以太网口E3/0/0接口接收的TCP报文,使用串口serial1/0/0发送,对其它报文,仍然按照查找路由表的方式进行转发。5号节点,表示匹配acl 3101的以太网报文将被发往串口serial1/0/0;10号节点,表示匹配acl 3102的任何报文不做策略路由处理;来自Ethernet3/0/0的报文将依次试图匹配5、10号节点的if-matc...
配置策略路由(基于IP地址)示例
GUOJUNWEI11的博客
12-14 194
策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制,其优先级高于直连路由、静态路由和通过动态路由协议生成的路由。设备配置策略路由后,若接收的报文(包括二层报文)匹配策略路由的规则,则按照规则转发;若匹配失败,则根据目的地址按照正常转发流程转发。说明。
网络层深度解析:特定主机路由与IP选路策略
"特定主机路由是一种网络管理策略,允许网络管理员对特定目的主机指定特定的路由,以增强网络控制和安全性。这通常用于测试和解决安全问题。网络层是计算机网络中的核心层次,负责数据包的选路和转发。IPV4是网络层...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值