Getting Started: Richtlinienbasierte Weiterleitung

Getting Started: Richtlinienbasierte Weiterleitung

186203
Created On 09/25/18 18:56 PM - Last Modified 06/09/23 05:41 AM


Resolution


Was kann meine Firewall zu tun? Richtlinienbasierte Weiterleitung!

 

Aufgrund der steigenden Bandbreiten-Anforderungen am Arbeitsplatz wegen Surfen im Web, social Media und andere Bandbreite verbrauchen Anwendungen, fügen viele Firmen eine sekundäre ISP-Verbindung. Die sekundäre ISP kann mehr Bandbreite aber verringerte sich Service-Level. Im Untergeschoss Service sorgt für Verschiebung weniger wichtigen Webverkehr zu Gunsten der Bandbreite für geschäftskritische Anwendungen zu gewährleisten.

 

Vielleicht haben Sie bereits die Service Qualität und die begrenzte oder garantierte Bandbreite auf der Grundlage der Anwendung überprüft, aber es gibt noch einen weiteren coolen Trick, den die Firewall — Policy-basierter weiterLEITUNG oder PBF machen kann. Auf der Grundlage weiterleiten können Sie die routing-Tabelle zu Gunsten der routing-Optionen durch eine konfigurierbare auf Anwendungen, Quelle oder Ziel beruhende Politik diktiert zu umgehen. Kurz gesagt, bedeutet dies, dass Sie wählen können, um bestimmte Anwendungen, die einen anderen Link verwenden, ohne um zu zwicken die routing-Tabelle haben.

 

Richtlinienbasierte Weiterleitung

Beginnen wir mit einem näheren Blick auf wie die Beispiel-Firewall konfiguriert ist, während Sie Ihre Konfiguration beachten:

 

ISP1 ist die primäre Verbindung verwendet für kritische Anwendungen

ISP2 ist eine backup-Verbindung mit hoher Bandbreite aber keine Service-Level Garantien

Layout

Das Standard-Gateway des virtuellen Routers ist so konfiguriert, dass auf ISP1 verweisen.

Optional: als Backup habe ich ISP2 mit einer höheren Metrik hinzugefügt. Dadurch wird ISP2 der backup-Link, für den Fall, dass ISP1 wurden zu einen Ausfall zu erleben.

 

Virtuellen Router

 

 

Starten Sie durch Öffnen der Politik basierte Weiterleitung Politik und eine neue Richtlinie zu erstellen:

 

 

Richtlinienbasierte Weiterleitung

  • Der Politik einen Anzeigenamen geben
  • Legen Sie die Quelle Zone oder Schnittstelle
  • Geben Sie das Ziel Anwendung, Web-browsing und eine andere Anwendung, die Sie über ISP2 umleiten möchten (ftp,...)
  • Beste Praxis wäre der Dienst auf dem Standard-Anwendung festgelegt

 

Richtlinienbasierte Weiterleitung

 

In der Registerkarte "Weiterleitung":

  • Legen Sie die Aktion für Vorlauf (die anderen Optionen sind "Verwerfen", um jede Sitzung passende PBF Politik oder "NO PBF" PBF nicht zu einer bestimmten Sitzung anzuwenden zu verwerfen)
  • Der Egress-Schnittstelle auf die ISP2 angeschlossene Schnittstelle festgelegt
  • Festlegen Sie nächsten Hop als ISP2s Router IP-Adresse, also Pakete richtig an das Gerät weitergeleitet werden
  • Monitor zu aktivieren
  • Erstellen Sie ein Monitorprofil, die für Fail Over festgelegt ist
  • Aktivieren Sie die Checkbox "Diese Regel deaktivieren", um diese Richtlinie deaktiviert werden, für den Fall, dass ISP2 Erfahrungen ein Ausfall, dies wird die Sitzungen wieder über das Standard-Gateway umleiten zu ermöglichen
  • ISP2 Router-IP als Überwachung Ziel gesetzt

 

Sie haben nun erfolgreich eine Politik Politik basierte Weiterleitung konfiguriert! Das einzige was noch zu tun ist die Schaffung von Sicherheitsrichtlinien zum Sitzungen aus dem Vertrauen in die ISP2 Zone erstellt werden können und bei Bedarf NAT für diese Sitzungen ausführen:

 

PBF-Sicherheitspolitik

NAT pbf

 

Nach dieser Konfiguration begangen worden ist, gibt es mehrere nützliche CLI-Befehle zur Verfügung, um überprüfen, ob die PBF-Regel funktionsfähig ist und wenn es verwendet wird:

 

> PBF-Regel alle

Regel-ID-Regel State Action Egress if/Vsys nexthop nexthop Status = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = [= = = = = = =
 rward Ethernet1/2 172.16.31.1 UP            
  

> Show laufen PBF-Policy

ISP2_webaccess {
 ID 1;
        aus Vertrauen; 
Quelle any; 
Ziel, 
Benutzer; 
Anwendung/Service [FTP/TCP/any/21 Web-Browsing/TCP/any/80]; 
Aktion vorwärts; 
symmetrisch-Rückgabe Nr. 
Spedition-Egress-if/Vsys Ethernet1/2; 
Next-Hop 172.16.31.1; 
Terminal Nr. 
}

 

> Test PBF-Policy-Match von Trust-Anwendung Web-Browsing-Quelle 192.168.0.7 Destination 93.184.216.34 Protokoll 6 Destination-Port 80

ISP2_webaccess {
 ID 1;
        aus Vertrauen; 
Quelle any; 
Ziel, 
Benutzer; 
Anwendung/Service [FTP/TCP/any/21 Web-Browsing/TCP/any/80]; 
Aktion vorwärts; 
symmetrisch-Rückgabe Nr. 
Spedition-Egress-if/Vsys Ethernet1/2; 
Next-Hop 172.16.31.1; 
Terminal Nr. 
}

 

> Session alle Filter PBF-Regel ISP2_webaccess--------------------------------------------------------------------------------ID-Anwendung State Type Flag src [Sport]/Zone/Proto (ÜBERsetzte IP [Port]) Vsys                                          DST [dport]/Zone (übersetzte IP [Port])--------------------------------------------------------------------------------9873 Web-Browsing Active Flow NS 192.168.0.7 [4015]/Trust/6 (172.16.31.2 [7914])vsys1 93,18 4.216.34 [80]/ISP2 (93.184.216.34 [80])> Session ID 9873Session 9873 C2S Flow: Quelle: 192.168.0.7 [Trust] DST: 93.184.216.34 Proto: 6 Sport:       4015 dport: 80 Zustand: init-Typ: Flow src-Nutzer: Unbekannter DST-Nutzer: Unbekannte PBF-Regel: ISP2_webaccess 1 S2C Flow: Quelle:      93.184.216.34 [ISP2] DST: 172.16.31.2 Proto: 6 Sport: 80 dport: 7914 Zustand: init-Typ: Flow src-Benutzer: unbekannt  DST User: unbekannt                      

 

Ich hoffe, Sie fanden diesen Artikel nützlich. Bitte schauen Sie sich die restlichen Episoden an oder hinterlassen Sie einen Kommentar unten!

 

 

Viele Grüße,

Tom
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRzCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language