15.1 思科ASA:配置策略路由pbr实现流量的引流

15.1  思科ASA:配置策略路由pbr实现流量的引流

asa1_2022.08.30.22时41分06秒.txt

sw1_2022.08.30.22时41分51秒.txt

sw2_2022.08.30.22时42分08秒.txt

需求:

PC1:10.12.12.150 访问192.168.1.1 从防火墙的eth1方向出去。

PC2:10.12.160.10 访问192.168.1.1 从防火墙的eth2方向出去。

1)拓扑图

图片.png

2SW1的配置

interface GE1/0/0

 undo portswitch

 undo shutdown

 ip address 10.10.10.1 255.255.255.0

#

interface LoopBack1

 ip address 192.168.1.1 255.255.255.0

#

ip route-static 0.0.0.0 0.0.0.0 10.10.10.254

 

 

3SW2的配置

interface GE1/0/0

 undo portswitch

 undo shutdown

 ip address 11.11.11.1 255.255.255.0

#

interface LoopBack1

 ip address 192.168.1.1 255.255.255.0

#

ip route-static 0.0.0.0 0.0.0.0 11.11.11.254

 

3asa的基础配置

 

配置管理接口的ip地址、安全区域与配置ASDM访问

interface gigabitEthernet 0/0

   nameif inside

   security-level 90

   ip address 10.12.7.7 255.255.0.0

   no shutdown

 

访问规则:允许所有

命令行配置:permit any any

ciscoasa(config)# access-list global_access_1 extended permit ip any any

ciscoasa(config)# access-group global_access_1 global

access-list global_access_1 extended permit ip any any

access-group global_access_1 global

 

配置ASDM来管理ASA防火墙 (图形化界面管理防火墙)

ciscoasa(config)# username admin password admin privilege 15    //创建15级帐户

ciscoasa(config)# http server enable

ciscoasa(config)# http 0.0.0.0 0.0.0.0 manager  //开启http的访问的范围

username admin password admin privilege 15

http server enable

http 0.0.0.0 0.0.0.0 manager

http 0.0.0.0 0.0.0.0 inside

 

interface gigabitEthernet 0/1

 nameif outside1

 security-level 80

 ip address 10.10.10.254 255.255.0.0

 no shutdown

 

interface gigabitEthernet 0/2

 nameif outside2

 security-level 70

 ip address  11.11.11.254  255.255.0.0

 no shutdown

 

4.1)策略路由PBR简介

策略路由主要对经过路由器的数据流进行分流和过滤以及感兴趣的数据流

Route-MAP

Route-map 包含两元,一个是 match(匹配)还有一个是 set(执行动作)。

执行 set 动作将数据丢给下一跳,需要注意这个下一跳一定是我直连的下一跳,Set 动作的意思就是我将数据包丢给我的下一跳路由器,让它帮我转发数据

 Route-map 默认为 permit,默认序列号 10,序列号不会自动递增,需要指定序列号

Route-map 执行从最小的序列号开始执行,如果一旦匹配住将不再执行下边序列号的语句,如果一个都没有匹配住,Route-map 末尾隐含 deny any 语句。

单条 match 语句包含多个条件时,使用逻辑 or 运算(或运算)

多条 match 语句时,使用逻辑 and 运算(且运算)

策略路由主要对经过路由器的数据流进行分流和过滤以及感兴趣的数据流

示例:

Route-map name {permit|deny} 10

     match  xxx  zzz     //xxx和zzz只要匹配住一个这个 match 就成真

     Set yy 执行 set 动作

Route-map name {permit|deny} 20

     match xxx

     match zzz    //xxx 和 zzz 两个 match 都必须匹配住这个序列号中的 set 动作才会执行

     set yy

Route-map name deny   隐含 deny any 语句

PBR 对数据的处理流程:

数据包到了接口,路由器查看是否应用 PBR 工具,如果有执行 PBR 的 match 语句,如果被 match 语句匹配住则执行 set 动作,如果没有被 match 语句匹配住,这个数据包流量将会按照传统路由表进行转发,而不是丢弃。这是 PBR 很重要的一个 处理数据包的流程概念,PBR 的 set 动作是优于路由表的。

PBR 的配制分为三个步骤:

    用 ACL 匹配数据

    再 Route-map 中部署 PBR

    调用 PBR

如果你只在 Route-map 中部署 PBR 而不调用,PBR 是不生效的。

 

4.2)策略路由PBR配置

1、配置 ACL 抓取感兴趣流

access-list acl-name-1 line 1 extended permit ip host 10.12.12.150 host 192.168.1.1

access-list acl-name-2 line 1 extended permit ip host 10.12.160.10 host 192.168.1.1

 

2、配置 route-map

route-map 1 permit 10

 match ip address acl-name-1

 set ip next-hop 10.10.10.1

!

route-map 1 permit 20

 match ip address acl-name-2

 set ip next-hop 11.11.11.1

 

3、将 route-map 挂载(内网,进来的流量)接口上

interface gigabitEthernet 0/0

   policy-route route-map 1

1.png

2.png

ciscoasa# show route-map

route-map 1, permit, sequence 10

  Match clauses:

    ip address (access-lists): acl-name-1

  Set clauses:

    ip next-hop 10.10.10.1

route-map 1, permit, sequence 20

  Match clauses:

    ip address (access-lists): acl-name-2

  Set clauses:

    ip next-hop 11.11.11.1

ciscoasa#

 

5)测试

开启debug icmp

ISP-LT#debug ip icmp

ICMP packet debugging is on

ISP-DX#debug ip icmp

ICMP packet debugging is on

 

ICMP echo request from inside:10.12.160.10 to outside2:192.168.1.1 ID=1 seq=696 len=32

ICMP echo request from inside:10.12.12.150 to outside1:192.168.1.1 ID=1 seq=753 len=32

1.png

关闭debug

ciscoasa# undebug all


思科Cisco ASA防火墙(列表、list、全)asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 15.1 思科ASA:配置策略路由pbr实现流量的引流

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!