Mise en route : Policy Based Forwarding
Resolution
Ce qu’on peut mon pare-feu ? Politique fondée transfert !
En raison de la demande de bande passante sur le lieu de travail en raison de la navigation sur le web, médias sociaux et d’autres applications consommatrices de bande passante, de nombreuses entreprises ajoutent une seconde connexion ISP. L’ISP secondaire peut fournir plus de bande passante, mais a diminué le niveau de service. Le niveau de service inférieur assure le déchargement moins important trafic web en faveur de la garantie de bande passante pour les applications critiques.
Vous avez peut-être déjà vérifié la qualité de service et la bande passante limitée ou garantie basée sur l'application, mais il ya un autre truc cool le pare-feu peut faire-la stratégie de transfert ou PBF. Transmission de la politique basée permet de contourner la table de routage en faveur des options de routage dicté par une politique configurable basée sur des applications, de source ou de destination. En bref, cela signifie que vous pouvez choisir d’avoir certaines applications utiliser un lien différent sans avoir besoin de modifier la table de routage.
Nous allons commencer par prendre un examen approfondi à la configuration du pare-feu d’exemple pendant que vous prenez note de votre configuration :
ISP1 est le lien principal utilisé pour des applications critiques
ISP2 est une connexion de secours avec une bande passante élevée mais aucune garantie de niveau de service
La passerelle par défaut de mon routeur virtuel est configurée pour pointer vers ISP1.
Optionnel: en tant que sauvegarde, J'ai ajouté ISP2 avec une métrique plus élevée. Cela rendra ISP2 le lien de secours au cas où ISP1 devaient expérimente une panne.
Commencez par ouvrir les politiques politique basé transmission et création d’une nouvelle politique :
- Attribuez un nom convivial à la politique
- Définir la Zone de la source ou l’Interface
- Définir la destination demande de navigation sur le web et une autre application que vous souhaitez rediriger sur ISP2 (ftp,...)
- Pratique exemplaire consisterait à définir le service à la demande-défaut
Dans l’onglet envoi :
- Définissez l’Action Forward (les autres options sont « Ignorer » pour ignorer toute session correspondant aux politiques PBF ou « NO PBF » PBF s’appliquent ne pas à certaine une session)
- Configurer l’Interface de sortie sur l’interface connectée ISP2
- Définir Next Hop comme adresse IP du routeur de ISP2 afin que les paquets sont routés correctement à ce dispositif
- Activer le moniteur
- Créer un profil de moniteur qui est défini pour échouer sur
- Activez la case à cocher « Désactiver cette règle » pour permettre à cette politique doit être désactivé dans l’affaire ISP2 expériences une panne de courant, cette volonté rerouter les sessions retour via la passerelle par défaut
- La valeur routeur IP de ISP2 comme une cible de surveillance
Vous avez maintenant correctement configuré une stratégie politique basée Forwarding ! La seule chose qui reste à faire est de créer des stratégies de sécurité pour permettre aux sessions de création de la zone de confiance à la zone ISP2 et si nécessaire, allez NAT sur ces sessions :
Après que cette configuration a été commise, il y a plusieurs commandes CLI utile à votre disposition pour vérifier si la règle PBF est fonctionnelle et si on l’utilise :
> afficher la règle PBF toutes les règles
ID règle d'état d'évacuation si/VSYS nexthop nexthop état = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
ISP2_webac 1 FO actif rward ethernet1/2 172.16.31.1 UP
> afficher l'exécution PBF-Policy
ISP2_webaccess {
ID 1;
de la confiance;
source any;
destination any;
utilisateur any;
application/service [FTP/TCP/any/21 navigation sur le Web/TCP/any/80];
action en avant;
symétrique-Return no;
expédition-sortie-IF/VSYS ethernet1/2;
Next-hop 172.16.31.1;
borne no;
}
> test PBF-Policy-match de l'application de confiance Web-navigation source 192.168.0.7 destination 93.184.216.34 Protocol 6 destination-port 80
ISP2_webaccess {
ID 1;
de la confiance;
source any;
destination any;
utilisateur any;
application/service [FTP/TCP/any/21 navigation sur le Web/TCP/any/80];
action en avant;
symétrique-Return no;
expédition-sortie-IF/VSYS ethernet1/2;
Next-hop 172.16.31.1;
borne no;
}
> Show session tous les filtres PBF-Rule ISP2_webaccess--------------------------------------------------------------------------------ID application État type Flag SRC [Sport]/zone/proto (traduit IP [port])VSys DST [dport]/zone (traduit IP [port])--------------------------------------------------------------------------------9873 Web-navigation active Flow NS 192.168.0.7 [4015]/Trust/6 (172.16.31.2 [7914])vsys1 93,18 4.216.34 [80]/ISP2 (93.184.216.34 [80])> Show session ID 9873session 9873 C2S flux: source: 192.168.0.7 [Trust] DST: 93.184.216.34 proto: 6 sport: 4015 dport: 80 État: init type: Flow src utilisateur: inconnu DST utilisateur: inconnu PBF règle: ISP2_webaccess 1 S2C Flow: source: 93.184.216.34 [ISP2] DST: 172.16.31.2 proto: 6 sport: 80 dport: 7914 État: init type: Flow src utilisateur: inconnu DST utilisateur: inconnu
J’espère que vous avez trouvé cet article utile. S'il vous plaît n'hésitez pas à vérifier le reste des épisodes de Getting Started ou laisser un commentaire ci-dessous!
Cordialement,
Tom