cjh 15.1 思科ASA:配置策略路由pbr实现流量的引流
15.1 思科ASA:配置策略路由pbr实现流量的引流
需求:
PC1:10.12.12.150 访问192.168.1.1 从防火墙的eth1方向出去。
PC2:10.12.160.10 访问192.168.1.1 从防火墙的eth2方向出去。
(1)拓扑图
(2)SW1的配置
interface GE1/0/0
undo portswitch
undo shutdown
ip address 10.10.10.1 255.255.255.0
#
interface LoopBack1
ip address 192.168.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 10.10.10.254
(3)SW2的配置
interface GE1/0/0
undo portswitch
undo shutdown
ip address 11.11.11.1 255.255.255.0
#
interface LoopBack1
ip address 192.168.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 11.11.11.254
(3)asa的基础配置
配置管理接口的ip地址、安全区域与配置ASDM访问
interface gigabitEthernet 0/0
nameif inside
security-level 90
ip address 10.12.7.7 255.255.0.0
no shutdown
访问规则:允许所有
命令行配置:permit any any
ciscoasa(config)# access-list global_access_1 extended permit ip any any
ciscoasa(config)# access-group global_access_1 global
access-list global_access_1 extended permit ip any any
access-group global_access_1 global
配置ASDM来管理ASA防火墙 (图形化界面管理防火墙)
ciscoasa(config)# username admin password admin privilege 15 //创建15级帐户
ciscoasa(config)# http server enable
ciscoasa(config)# http 0.0.0.0 0.0.0.0 manager //开启http的访问的范围
username admin password admin privilege 15
http server enable
http 0.0.0.0 0.0.0.0 manager
http 0.0.0.0 0.0.0.0 inside
interface gigabitEthernet 0/1
nameif outside1
security-level 80
ip address 10.10.10.254 255.255.0.0
no shutdown
interface gigabitEthernet 0/2
nameif outside2
security-level 70
ip address 11.11.11.254 255.255.0.0
no shutdown
(4.1)策略路由PBR简介
策略路由主要对经过路由器的数据流进行分流和过滤以及感兴趣的数据流
Route-MAP
Route-map 包含两元,一个是 match(匹配)还有一个是 set(执行动作)。
执行 set 动作将数据丢给下一跳,需要注意这个下一跳一定是我直连的下一跳,Set 动作的意思就是我将数据包丢给我的下一跳路由器,让它帮我转发数据
Route-map 默认为 permit,默认序列号 10,序列号不会自动递增,需要指定序列号
Route-map 执行从最小的序列号开始执行,如果一旦匹配住将不再执行下边序列号的语句,如果一个都没有匹配住,Route-map 末尾隐含 deny any 语句。
单条 match 语句包含多个条件时,使用逻辑 or 运算(或运算)
多条 match 语句时,使用逻辑 and 运算(且运算)
策略路由主要对经过路由器的数据流进行分流和过滤以及感兴趣的数据流
示例:
Route-map name {permit|deny} 10
match xxx zzz //xxx和zzz只要匹配住一个这个 match 就成真
Set yy 执行 set 动作
Route-map name {permit|deny} 20
match xxx
match zzz //xxx 和 zzz 两个 match 都必须匹配住这个序列号中的 set 动作才会执行
set yy
Route-map name deny 隐含 deny any 语句
PBR 对数据的处理流程:
数据包到了接口,路由器查看是否应用 PBR 工具,如果有执行 PBR 的 match 语句,如果被 match 语句匹配住则执行 set 动作,如果没有被 match 语句匹配住,这个数据包流量将会按照传统路由表进行转发,而不是丢弃。这是 PBR 很重要的一个 处理数据包的流程概念,PBR 的 set 动作是优于路由表的。
PBR 的配制分为三个步骤:
用 ACL 匹配数据
再 Route-map 中部署 PBR
调用 PBR
如果你只在 Route-map 中部署 PBR 而不调用,PBR 是不生效的。
(4.2)策略路由PBR配置
1、配置 ACL 抓取感兴趣流
access-list acl-name-1 line 1 extended permit ip host 10.12.12.150 host 192.168.1.1
access-list acl-name-2 line 1 extended permit ip host 10.12.160.10 host 192.168.1.1
2、配置 route-map
route-map 1 permit 10
match ip address acl-name-1
set ip next-hop 10.10.10.1
!
route-map 1 permit 20
match ip address acl-name-2
set ip next-hop 11.11.11.1
3、将 route-map 挂载(内网,进来的流量)接口上
interface gigabitEthernet 0/0
policy-route route-map 1
ciscoasa# show route-map
route-map 1, permit, sequence 10
Match clauses:
ip address (access-lists): acl-name-1
Set clauses:
ip next-hop 10.10.10.1
route-map 1, permit, sequence 20
Match clauses:
ip address (access-lists): acl-name-2
Set clauses:
ip next-hop 11.11.11.1
ciscoasa#
(5)测试
开启debug icmp
ISP-LT#debug ip icmp
ICMP packet debugging is on
ISP-DX#debug ip icmp
ICMP packet debugging is on
ICMP echo request from inside:10.12.160.10 to outside2:192.168.1.1 ID=1 seq=696 len=32
ICMP echo request from inside:10.12.12.150 to outside1:192.168.1.1 ID=1 seq=753 len=32
关闭debug
ciscoasa# undebug all
思科Cisco ASA防火墙(列表、list、全)asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 15.1 思科ASA:配置策略路由pbr实现流量的引流
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm