سؤال:
كيف يمكنني تكوين التوجيه المستند إلى السياسة (PBR) على محول أو موجه متعدد الطبقات من Cisco لإعادة توجيه حركة مرور البيانات إلى WSA؟
البيئة: جهاز أمان الويب (WSA) من Cisco، الوضع الشفاف - محول L4
عندما يتم تكوين WSA في الوضع الشفاف باستخدام محول L4، فلا حاجة إلى تكوين على WSA. يتم التحكم في إعادة التوجيه بواسطة المحول L4 switch (أو الموجه).
من الممكن إستخدام التوجيه المستند إلى السياسة (PBR) لإعادة توجيه حركة مرور الويب إلى WSA. ويتم تحقيق ذلك من خلال مطابقة حركة المرور الصحيحة (استنادا إلى منافذ TCP) وتوجيه الموجه/المحول لإعادة توجيه حركة المرور هذه إلى WSA.
في المثال التالي، توجد واجهة البيانات/الوكيل الخاصة ب WSA (إما M1 أو P1 حسب التكوين) على واجهة شبكة VLAN مخصصة للمحول/الموجه متعدد الطبقات (VLAN 3) وموجه الإنترنت على واجهة شبكة VLAN مخصصة أيضا (VLAN4). زبون على VLAN1 و VLAN2.
| التهيئة الأولية (يتم عرض الأجزاء ذات الصلة فقط) |
interface VLAN1
مستخدم VLAN 1 DESC
عنوان IP 10.1.1.1 255.255.255.0
!
interface VLAN2
مستخدم VLAN 2 DESC
عنوان IP 10.1.2.1 255.255.255.0
!
interface VLAN3
برنامج Cisco WSA المخصص لشبكة VLAN
عنوان IP 192.168.1.1 255.255.255.252
!
قارن VLAN4
موجه الإنترنت DESC لشبكة VLAN المخصصة
عنوان IP 192.168.2.1 255.255.255.252
!
ip route 0.0.0.0.0.0.0.0 192.168.2.2
|
بافتراض المثال المذكور أعلاه، و Cisco WSA الذي يحتوي على عنوان IP رقم 192.168.1.2، يمكنك إضافة الأوامر التالية لإعداد التوجيه المستند إلى السياسة (PBR):
| الخطوة 1: تحديد حركة مرور الويب |
! مطابقة حركة مرور HTTP
يسمح access-list 100 ب TCP 10.1.1.0.0.0.255 أي eq 80
السماح ل access-list 100 ب TCP 10.1.2.0 0.0.255 أي eq 80
! مطابقة حركة مرور HTTPS
يسمح access-list 100 ب TCP 10.1.1.0.0.0.255 any eq 443
يسمح access-list 100 ب TCP 10.1.2.0 0.0.0.255 any eq 443 |
| الخطوة 2: حدد خريطة مسار للتحكم في مكان إخراج الحزم. |
تصريح الويب المتقدم لخريطة الطريق 10
مطابقة عنوان IP 100
set ip next-hop 192.168.1.2 |
| الخطوة 3: تطبيق خريطة المسار على الواجهة الصحيحة. |
!لاحظ أنه يجب تطبيق هذا على واجهة المصدر (جانب العميل)
interface VLAN1
ip policy route-map ForwardWeb
!
interface VLAN2
ip policy route-map ForwardWeb |
ملاحظة: تحتوي هذه الطريقة لإعادة توجيه حركة المرور (PBR) على بعض القيود. المشكلة الرئيسية مع هذا الأسلوب أن حركة المرور ستتم دائما إعادة توجيهها إلى WSA حتى إذا لم يكن الجهاز يمكن الوصول إليه (بسبب مشاكل الشبكة على سبيل المثال). لذا، فليس هناك فشل بشأن الخيار.
لحل هذا النقص، يمكنك تكوين أي مما يلي:
- PBR مع خيارات التتبع عند إستخدام موجهات Cisco. استعملت هذا سمة أن يدقق التوفر من التالي جنجل قبل أن يعيد حركة مرور.
المزيد من التفاصيل حول المقالة التالية:
التوجيه المستند إلى السياسة مع مثال تكوين ميزة خيارات التعقب المتعددة
- خيارات التتبع غير متوفرة لمحولات Cisco Catalyst Switches. ومع ذلك، هناك حل بديل متقدم متاح لتحقيق نفس السلوك.
يمكن العثور على التفاصيل على موقع Cisco Wiki التالي:
التوجيه القائم على السياسة (PBR) مع تعقب محولات Catalyst 3xxx - حل بديل باستخدام IM
التعليقات