NGFW-策略路由
一,策略路由
1.1策略路由组成
一条策略路由规则包括匹配条件和动作两部分内容。
匹配条件:
·源安全区域:基于报文的源安全区域进行流量识别
·入接口:基于报文的接收接口来进行流量识别。
·IP/MAC:基于报文源IP/源MAC或目的IP/目的MAC进行流量识别。
·用户:在对应的用户通过设备的身份认证后,基于报文所属的用户进行流量识别。
·服务类型:基于报文所属的服务类型进行流量识别。
·应用类型:基于报文所属的应用类型进行流量识别。
·DSCP优先级:基于报文的DSCP优先级进行流量识别。
在一个策略路由规则中,可以包含多个匹配条件,各匹配条件之间是“与”的关系,报文必须同时满足所有匹配条件,才可以执行后续定义的转发动作。服务类型、应用类型、用户作为匹配条件时,可以同时指定多个服务/服务组、应用/应用组、用户/用户组,只要与其中一个相同,就算满足该匹配条件。
动作:
·实施策略路由:①把报文发送到指定的下一跳设备。②从指定出接口发送报文③利用智能选路功能,从多个出接口中选择一个出接口发送报文。④把报文发送到指定的虚拟系统。
·不做策略路由,按现有的路由表转发。
1.2策略路由匹配过程
当FW配置了多条策略路由规则时,FW会按照匹配顺序,先寻找第一条规则,如果第一条满足,则按照指定动作处理报文。如果不满足就寻找下一条策略路由规则。如果所有策略路由规则的匹配条件都无法满足,报文按照路由表进行转发。
当策略路由为单出口时,如果动作里指定的下一跳或出接口不可达,报文会被直接丢弃。为了提高可靠性,配置FW监测下一跳或者目的地址的可达性,即时下一跳或目的IP不可达,也可以继续查找路由表,避免报文被直接丢弃。
FW在多条策略路由规则时,将按照规则的配置顺序对流量进行依次匹配。只要匹配一条规则的所有条件,即按此规则的动作进行处理,不再继续匹配剩下的规则。所以建议先配置条件精确的规则,后配置条件宽泛的规则,提高匹配的精确度。
二,实验
2.1拓扑
PC1和PC2划入trust区域,PC3和PC4划入trust02区域。trust区域访问公网通过ISP1,trust02区域访问公网通过ISP2。
2.2配置
1.配置IP-Link
[FW1]ip-link check enable [FW1]ip-link name isp1 [FW1-iplink-isp1]destination 202.100.1.2 interface GigabitEthernet 1/0/0 mode icmp next-hop 202.100.1.2 [FW1-iplink-isp1]tx-interval 3 [FW1-iplink-isp1]times 2 [FW1-iplink-isp1]ip-link name isp2 [FW1-iplink-isp2]destination 202.100.2.3 interface GigabitEthernet 1/0/1 mode icmp next-hop 202.100.2.3 [FW1-iplink-isp2]tx-interval 3 [FW1-iplink-isp2]times 2
2.配置策略路由
[FW1]policy-based-route [FW1-policy-pbr]rule name ISP1 [FW1-policy-pbr-rule-ISP1]source-zone trust [FW1-policy-pbr-rule-ISP1]source-address 10.1.1.0 24 [FW1-policy-pbr-rule-ISP1]action pbr egress-interface GigabitEthernet 1/0/0 next-hop 202.100.1.2 [FW1-policy-pbr-rule-ISP1]track ip-link isp1 [FW1-policy-pbr-rule-ISP1]rule name ISP2 [FW1-policy-pbr-rule-ISP2]source-zone trust02 [FW1-policy-pbr-rule-ISP2]source-address 10.1.2.0 24 [FW1-policy-pbr-rule-ISP2]action pbr egress-interface GigabitEthernet 1/0/1 next-hop 202.100.2.3 [FW1-policy-pbr-rule-ISP2]track ip-link isp2
3.配置静态路由绑定ip-link
[FW1]ip route-static 0.0.0.0 0 202.100.1.2 track ip-link isp1 [FW1]ip route-static 0.0.0.0 0 202.100.2.3 track ip-link isp2
2.3测试现象
1.PC1,PC3与公网通信
2.查看会话表
icmp VPN: public --> public ID: c487fc2ae0185c0282363412623 Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:20 Recv Interface: GigabitEthernet1/0/3 Interface: GigabitEthernet1/0/0 NextHop: 202.100.1.2 MAC: 00e0-fcdc-3c0e <--packets: 0 bytes: 0 --> packets: 1 bytes: 60 10.1.1.1:8230[202.100.1.10:2064] --> 114.114.114.114:2048 PolicyName: icmp icmp VPN: public --> public ID: c487fc2ae0183082e5263412622 Zone: trust02 --> untrust TTL: 00:00:20 Left: 00:00:19 Recv Interface: GigabitEthernet1/0/2 Interface: GigabitEthernet1/0/1 NextHop: 202.100.2.3 MAC: 00e0-fc92-2b65 <--packets: 1 bytes: 60 --> packets: 1 bytes: 60 10.1.2.1:7718[202.100.2.10:2053] --> 114.114.114.114:2048 PolicyName: icmp
3.查看PBR命中
[FW1]display policy-based-route rule all 2022-10-08 07:27:35.190 Total:3 RULE ID RULE NAME STATE ACTION HITS ------------------------------------------------------------------------------- 1 ISP1 enable pbr 25 2 ISP2 enable pbr 10 0 default enable no-pbr 100 -------------------------------------------------------------------------------
4.测试监测联动,使用PC1与公网通信,并断开FW与ISP1的连接。短暂的丢包后恢复通信。
5.查看会话表,路由表,IP-Link,PC1通过ISP2访问公网,isp1状态变为down时,联动的策略路由和静态路由均失效。
Current Total Sessions : 19 icmp VPN: public --> public ID: c387fc2ae0156a81f3634126e2 Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:02 Recv Interface: GigabitEthernet1/0/3 Interface: GigabitEthernet1/0/1 NextHop: 202.100.2.3 MAC: 00e0-fc92-2b65 <--packets: 1 bytes: 60 --> packets: 1 bytes: 60 10.1.1.1:56870[202.100.2.10:2092] --> 114.114.114.114:2048 PolicyName: icmp
[FW1]display ip-link 2022-10-08 07:32:59.390 Current Total Ip-link Number : 2 Name Member State Up/Down/Init isp1 1 down 0 1 0 isp2 1 up 1 0 0
浙公网安备 33010602011771号