轉載:http://active.blog.51cto.com/1100981/1119894/
公司一直使用電信10M線路用於訪問互聯網,同時基於此線路與各個子公司建立VPN傳輸業務數據,近期新增了一條10M聯通線路用於流量分流,要求在不調整電信線路的基礎上實現:
1.VPN流量依舊通過電信線路進行處理
2.總公司內部網段能夠正常互訪
3.總公司10網段互聯網流量通過聯通轉發,90網段互聯網流量通過電信轉發
因出口使用的是SSG140查詢相關資料後準備使用PBR功能實現此需求,拓撲圖如下:
PBR(Policy Basic Routing)功能是指依據特定的策略將符合策略標準的數據包按照指定的路由進行轉發,可以依據源地址、源端口、協議、目的地址、目的端口等標準進行轉發。而不符合策略的流量就按照默認的路由表進行轉發,OK,let’s go!
一、 配置聯通線路接入
聯通線路接入到SSG140的E0/7端口,因此需要在此端口上配置聯通的公網IP、工作模式等信息,WEB登陸後選擇NetworkàInterfaceàEthernet0/7,配置如下:
備註:Ethernet0/7端口綁定到Untrust區域
二、 配置PBR功能
PBR功能的實現需要依次配置EACL/Match_GROUP/Active_Group/Policy/Binding等內容,下面開始一步步的進行配置:
1.EACL是定義符合策略的元素,比如源地址、目的地址等,按照我們的需求在這裏建立2個EACL。
EACL1:內部流量,即目的地址是10、90、172段的流量
EACL2:10段訪問互聯網的流量,即從源地址10到0.0.0.0的流量
由於90段的流量默認是通過電信線路進行轉發,所以我們這裏無需爲90段創建EACL
WEB登錄防火牆定位到Network > Routing > PBR > Extended ACL List 創建EACL,如下圖:
備註:創建EACL時要選擇創建到trust-vr路由表中
2.創建Match Group,由於EACL中包含很多條記錄且使用數字進行命名,不便於識別,所以使用更便於識別的Match Group來標示。我們也只需創建2個MatchGroup,Intranet用於匹配內部流量的EACL,Internet-LT匹配10段的公網流量。點擊Network > Routing > PBR > Match Group List配置,如下圖:
3.創建ActionGroup,它的作用是指定數據包的處理方式,也就是如何路由轉發數據,對於10段的公網流量直接轉至聯通線路,即E0/7接口;對於內部流量則無需指定處理方式,防火牆會按照默認路由表進行處理,點擊Network > Routing > PBR > Action Group List配置,如下圖:
4.創建策略,策略是將前面步驟中創建的MatchGroup和ActiveGroup關聯起來,也就實現了將符合EACL的數據包按照指定的ActionGroup進行處理。需要注意的是,一個策略集當中會包含多條策略,而策略的執行是按照ID大小從上到下開始執行,所以要將內部流量的策略放在最上面。點擊Network > Routing > PBR > Policy List進行配置,如下圖:
5.綁定策略,這裏完成的是如何讓已經創建好的策略生效,只有策略生效過後數據包纔會按照我們的需求被轉發。策略可以綁定到接口、安全區域、虛擬路由等地方,我們這裏選綁定到接口,即10段所在的接口E0/0,點擊Network > Routing > PBR > Policy Binding配置,如下圖:
至此,我們完成了PBR功能的各項設置,現在開始檢測數據是否按照我們的要求被處理
三、 驗證結果
1.VPN流量是否是通過電信線路處理
由於VPN是通過電信線路建立的,而我們並沒有在聯通線路上建立VPN通道,所以只要內部網段能夠正常的訪問VPN連接的子公司,那麼VPN流量就是正常的。
我們分別從90和10段主機上Ping子公司所在的網段,如下圖:
2.總公司內部網段能否互通,通過在90段主機上Ping10段IP,正常通過
3.10段和90段公網流量是否走對應的線路?我們分別在10和90段選擇一臺主機登錄到IP138.COM查詢它的公網IP,如下圖:
10段主機:
90段主機:
可以直接在百度輸入IP,看看自己的外網IP就可判斷訪問外網走那條線。
本文出自 “OnMyWay” 博客,請務必保留此出處http://active.blog.51cto.com/1100981/1119894