如何配置策略转发 (Policy Based Forwarding)

cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
L1 Bithead
Did you find this article helpful? Yes No
No ratings
随着大量社交媒体、 Web 应用访问和其他高带宽的应用程序的日益增长,对办公环境的带宽需求也持续增加,很多公司通过增加 ISP 备用链路来应对当前挑战。利用增加的 ISP 备用链路去卸载SLA较低的、非关键的 Web 流量,从而保障关键应用程序的带宽需求。
 
为了实现上述需求,下面给大家介绍防火墙的一个非常酷的技巧:基于策略的转发(Policy Based Forwarding)。
 
基于策略的转发允许您绕过路由表,转而使用基于应用程序、源或目标配置的策略指定的路由选项。简而言之,这意味着您可以选择让某些应用程序使用不同的ISP链路,而无需对路由表做出调整。
 
1.png
 
 
 
 
 
 
 
 
 
 
 
 
 
 
下面我们详细看一下示例防火墙是如何配置的:
  • ISP1 是用于关键应用程序的主要链路;
  • ISP2 是具有高带宽但没有SLA保证的备用链路;
2.png
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
虚拟路由器的默认网关配置为指向 ISP1;另外也配置了具有更高Metric值的 ISP2 链路作为备份,预防 ISP1链路出现中断。
 
3.png
 
 
 
 
 
 
 
 
 
 
 
 
 
 
首先打开策略 Policies  —> Policy Based Forwarding ,创建一个新的策略:
 
4.png
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  • 配置源区域或接口;
  • 将目标应用程序设置为网站浏览(web-browsing); 或选择另一个您希望通过 ISP2链路重新路由的应用程序(ftp, tftp...);
  • 最佳实践是将服务(service)设置为应用程序默认(application-default);

5.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 
 
 
在转发选项卡中:
  • 将 Action 设置为转发模式;
  • 将 Egress Interface 设置为对应 ISP2 链路的接口;
  • 将 Next Hop 设置为 ISP2 链路的路由器 IP 地址,以便将数据包正确路由到此设备;
  • 勾选Monitor复选框;
  • 创建配置文件以实现Fail Over;
  • 勾选“如果下一跳/监控IP地址不可达时禁用此规则”复选框:当 ISP2 链路中断时禁用此策略,以通过默认网关重新路由会话;
  • 设置ISP2的路由器IP为监控目标
至此,您已成功配置基于策略的转发路由!剩下要做的就是创建安全策略,以允许会话从信任区域到 ISP2 区域建立,如果有必要,还需配置 NAT 规则:
 
6.png
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Commit提交上述配置后,您可以使用几个有用的 CLI 命令来验证 PBF 规则是否正常运行以及是否正在使用中:
 
> show pbf rule all

Rule       ID    Rule State Action   Egress IF/VSYS  NextHop                                 NextHop Status
========== ===== ========== ======== =============== ======================================= ==============
ISP2_webac 1     Active     Forward  ethernet1/2     172.16.31.1                             UP          
 
> show running pbf-policy

ISP2_webaccess {
        id 1;
        from trust;
        source any;
        destination any;
        user any;
        application/service [ ftp/tcp/any/21 web-browsing/tcp/any/80 ];
        action Forward;
        symmetric-return no;
        forwarding-egress-IF/VSYS ethernet1/2;
        next-hop 172.16.31.1;
        terminal no;
}

 

> test pbf-policy-match from trust application web-browsing source 192.168.0.7 destination 93.184.216.34 protocol 6 destination-port 80

ISP2_webaccess {
        id 1;
        from trust;
        source any;
        destination any;
        user any;
        application/service [ ftp/tcp/any/21 web-browsing/tcp/any/80 ];
        action Forward;
        symmetric-return no;
        forwarding-egress-IF/VSYS ethernet1/2;
        next-hop 172.16.31.1;
        terminal no;
}

 

> show session all filter pbf-rule ISP2_webaccess

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
9873         web-browsing   ACTIVE  FLOW  NS   192.168.0.7[4015]/trust/6  (172.16.31.2[7914])
vsys1                                          93.184.216.34[80]/ISP2  (93.184.216.34[80])


> show session id 9873

Session            9873

        c2s flow:
                source:      192.168.0.7 [trust]
                dst:         93.184.216.34
                proto:       6
                sport:       4015            dport:      80
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown
                pbf rule:    ISP2_webaccess 1

        s2c flow:
                source:      93.184.216.34 [ISP2]
                dst:         172.16.31.2
                proto:       6
                sport:       80              dport:      7914
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    unknown

 

Rate this article:
Register or Sign-in
Contributors
Labels
Article Dashboard
Version history
Last update:
‎12-18-2022 07:43 PM
Updated by: