配置基于用户的策略路由

通过配置策略路由实现不同用户通过不同的链路接入Internet。

组网需求

某企业主要分为总裁部、市场部和研发部三个部门，组网如图1所示，FW位于企业网出口，该企业部署了两条接入Internet的链路ISP-A、ISP-B。ISP-A上网速度快、网络速度稳定但费用较高，ISP-B上网费用低廉，但是网速相对慢一些。

需求如下：

总裁部、市场部对网速要求比较高，这两个部门通过链路ISP-A访问Internet。
研发部对网速要求不高，通过链路ISP-B来访问Internet。

图1 基于用户的策略路由

本例着重介绍策略路由相关的配置，其余配置如NAT请根据实际组网进行配置。

操作步骤

配置接口IP地址和安全区域，完成网络基本参数配置。

选择“网络 > 接口”，配置接口IP地址，并将接口加入安全区域。

GigabitEthernet 1/0/2
安全区域	untrust
IP地址	10.10.1.1/24
GigabitEthernet 1/0/3
安全区域	trust
IP地址	10.1.1.1/24
GigabitEthernet 1/0/4
安全区域	untrust
IP地址	10.20.1.1/24

配置Trust区域和Untrust区域之间的安全策略，允许企业内网用户访问外网资源。假设内部用户网段为10.1.1.0/24。
选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”。

名称

policy_sec_trust_untrust

源安全区域

trust

目的安全区域

untrust

源地址/地区

10.1.1.0/24

动作

允许
配置IP-Link功能，检测链路状态。
1. 选择“系统 > 高可靠性 > IP-Link”，开启“IP-Link功能”。
2. 在“IP-Link列表”，单击“新建”，按如下参数配置。
配置安全策略，允许FW发送IP-Link探测报文。

对于V500R001C80之前的版本，IP-Link探测报文受安全策略控制，需要在Local区域与报文出接口所在安全区域之间配置安全策略，允许FW发送IP-Link探测报文。对于V500R001C80及之后的版本，IP-Link探测报文不受安全策略控制，默认被放行，无需配置安全策略。

选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”。

名称

ip_link

源安全区域

local

目的安全区域

untrust

动作

允许
创建策略路由规则“pbr_1”和“pbr_2”，使属于市场部和总裁部的报文都由接口GE1/0/2发出，通过ISP-A到达Internet；属于研发部的报文都由接口GE1/0/4发出，通过ISP-B到达Internet。

假设市场部、总裁部和研发部的用户组和认证策略已经配置完毕，市场部属于用户组“marketing”，总裁部属于用户组“president”，研发部属于用户组“research”，且所有用户访问网络资源均需做身份认证。在此只介绍配置策略路由的内容。

请确保FW上存在相应的路由配置，使总裁部、市场部和研发部的流量在没有策略路由时仍然可以正常传输。

选择“网络 > 路由 > 智能选路”，单击“智能选路策略”页签，在“策略路由列表”区域，单击“新建”。

名称	policy_sec_trust_untrust
源安全区域	trust
目的安全区域	untrust
源地址/地区	10.1.1.0/24
动作	允许

名称	ip_link
源安全区域	local
目的安全区域	untrust
动作	允许

配置脚本

#
interface GigabitEthernet1/0/2
 ip address 10.10.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/4
 ip address 10.20.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/3
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
 add interface GigabitEthernet1/0/4
#
security-policy 
 rule name policy_sec_trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 24
  action permit
 rule name ip_link
source-zone local
destination-zone untrust
action permit                
#
 ip-link check enable
 ip-link name pbr_1
  destination 10.10.1.2 interface GigabitEthernet 1/0/2
 ip-link name pbr_2
  destination 10.20.1.2 interface GigabitEthernet 1/0/4
#
policy-based-route
 rule name pbr_1
  description pbr_1
  source-zone trust
  track ip-link pbr_1
  user user-group /default/marketing
  user user-group /default/president
  action pbr egress-interface GigabitEthernet1/0/2 next-hop 10.10.1.2
 rule name pbr_2
  description pbr_2
  source-zone trust
  track ip-link pbr_2
  user user-group /default/research
  action pbr egress-interface GigabitEthernet1/0/4 next-hop 10.20.1.2
#
return

阅读剩余

作者：SE_YT

链接：https://www.cnesa.cn/9284.html

文章版权归作者所有，未经允许请勿转载。

THE END