Come configurare Policy Based Routing (PBR) su uno switch multilivello o un router Cisco per inoltrare il traffico al server WSA?

Opzioni per il download

  • PDF     (236.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (93.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (76.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:5 agosto 2014
ID documento:118156

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Domanda:

Domanda:

Come configurare Policy Based Routing (PBR) su uno switch multilivello o un router Cisco per inoltrare il traffico al server WSA?

Ambiente: Cisco Web Security Appliance (WSA), modalità trasparente - switch L4

Quando WSA è configurato in modalità trasparente utilizzando uno switch L4, non è necessaria alcuna configurazione su WSA. Il reindirizzamento è controllato dallo switch L4 (o router).

È possibile utilizzare Policy Based Routing (PBR) per reindirizzare il traffico Web al WSA. A tal fine, è necessario far corrispondere il traffico corretto (basato sulle porte tcp) e istruire il router/switch di reindirizzare il traffico al server WSA.

Nell'esempio seguente, l'interfaccia dati/proxy WSA (M1 o P1 a seconda della configurazione) si trova su un'interfaccia VLAN dedicata dello switch/router multilivello (Vlan 3) e il router Internet su un'interfaccia VLAN dedicata (Vlan4). I client si trovano sulla Vlan1 e sulla Vlan2.

 Configurazione iniziale (vengono visualizzate solo le parti rilevanti)


interface Vlan1
desc Utente VLAN 1
indirizzo ip 10.1.1.1 255.255.255.0
!
interface Vlan2
desc User VLAN 2
indirizzo ip 10.1.2.1 255.255.255.0
!
interface Vlan3
desc Cisco WSA dedicato VLAN
indirizzo ip 192.168.1.1 255.255.255.252
!
interface Vlan4
VLAN dedicata desc Internet Router
indirizzo ip 192.168.2.1 255.255.255.252
!
ip route 0.0.0.0 0.0.0.0 192.168.2.2


In base all'esempio precedente, se l'indirizzo IP di Cisco è 192.168.1.2, è possibile aggiungere i seguenti comandi per configurare Policy Based Routing (PBR):

 Passaggio 1: Definire il traffico Web
 ! Corrispondenza traffico HTTP
 access-list 100 allow tcp 10.1.1.0 0.0.0.255 any eq 80
 access-list 100 allow tcp 10.1.2.0 0.0.0.255 any eq 80
 ! Corrispondenza traffico HTTPS
 access-list 100 allow tcp 10.1.1.0 0.0.0.255 any eq 443
 access-list 100 allow tcp 10.1.2.0 0.0.0.255 any eq 443
 Passaggio 2: Definire una mappa dei percorsi per controllare dove vengono inviati i pacchetti.
  route-map ForwardWeb permission 10
  abbina indirizzo ip 100
  set ip next-hop 192.168.1.2
 Passaggio 3: Applicare la mappa del percorso all'interfaccia corretta.
 !Notare che deve essere applicata all'interfaccia di origine (lato client)
 interface Vlan1
 ip policy route-map ForwardWeb
 !
 interface Vlan2
 ip policy route-map ForwardWeb


Nota: questo metodo di reindirizzamento del traffico (PBR) presenta alcune limitazioni. Il problema principale di questo metodo è che il traffico verrà sempre reindirizzato al server di accesso alla rete anche se l'accessorio non è raggiungibile (ad esempio a causa di problemi di rete). Quindi, non vi è alcuna opzione di failover.


Per risolvere questo problema, è possibile configurare uno dei seguenti elementi:

  1. PBR con opzioni di rilevamento quando si utilizzano router Cisco. Questa funzione viene usata per verificare la disponibilità dell'hop successivo prima di reindirizzare il traffico.

    Ulteriori dettagli sul seguente articolo:
    Routing basato su criteri con configurazione della funzionalità Opzioni di rilevamento multiple
  2. Le opzioni di rilevamento non sono disponibili per gli switch Cisco Catalyst. Tuttavia, è disponibile una soluzione avanzata per ottenere lo stesso comportamento.

    Ulteriori informazioni sono disponibili sul seguente wiki di Cisco:
    Policy-based Routing (PBR) con rilevamento per gli switch Catalyst 3xxx - Soluzione alternativa tramite EEM

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
05-Aug-2014
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Vladimir Sousa and Siddharth Rajpathak
    Cisco TAC Engineers.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti