Hoe vorm ik op beleid gebaseerde routing (PBR) op een Cisco meerlaagse Switch of router om verkeer naar de WSA te doorsturen?

Downloadopties

  • PDF     (236.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (93.5 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (76.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:5 augustus 2014
Document-id:118156

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Vraag:

Vraag:

Hoe vorm ik op beleid gebaseerde routing (PBR) op een Cisco meerlaagse Switch of router om verkeer naar de WSA te doorsturen?

Milieu: Cisco Web Security Appliance (WSA), transparante modus - L4 switch

Wanneer WSA in de transparante modus is geconfigureerd met een L4-switch, is er geen configuratie nodig op de WSA. De omleiding wordt geregeld door de L4-switch (of router).

Het is mogelijk om op beleid gebaseerde routing (PBR) te gebruiken om webverkeer naar de WSA te leiden. Dit wordt bereikt door het juiste verkeer aan te passen (op basis van TCP-poorten) en de router/switch te instrueren om dit verkeer naar de WSA te leiden.

In het volgende voorbeeld is de data/proxy-interface van WSA (ofwel M1 of P1 afhankelijk van de configuratie) op een speciale VLAN-interface van de meerlaagse switch/router (VLAN 3) en de internetrouter bevindt zich ook op een speciale VLAN-interface (VLAN4). De clients bevinden zich op VLAN1 en VLAN2.

 Eerste configuratie (alleen relevante onderdelen weergegeven)


interface-VLAN1
Desc-gebruiker VLAN 1
IP-adres 10.1.1.1 255.255.255.0
!
interface-VLAN2
Desc-gebruiker VLAN 2
IP-adres 10.1.2.1 255.255.255.0
!
interface-VLAN3
desc Cisco WSA toegewezen VLAN
IP-adres 192.168.1.1 255.255.255.252
!
interface-VLAN4
Desc Internet Router toegewezen VLAN
IP-adres 192.168.2.1 255.255.255.252
!
ip-route 0.0.0.0 0.0.0 192.168.2.2


Gezien het bovenstaande voorbeeld en omdat Cisco een IP-adres van 192.168.1.2 heeft, voegt u de volgende opdrachten toe aan de optie Op beleid gebaseerde routing (PBR):

 Stap 1: Webverkeer definiëren
 ! Overeenkomend HTTP-verkeer
 toegang-lijst 100 vergunning tcp 10.1.1.0 0.0.0.255 elke eq 80
 toegangslijst 100 vergunning tcp 10.1.2.0 0.0.0.255 elke eq 80
 ! HTTP-verkeer vergelijken
 toegangslijst 100 vergunning TCP 10.1.1.0 0.0.0.255 elke eq 443
 toegangslijst 100 vergunning TCP 10.1.2.0 0.0.0.255 elke eq 443
 Stap 2: Bepaal een routekaart om te controleren waar de pakketten worden uitgevoerd.
  route-kaart ForwardWeb vergunning 10
  IP-adres afstemmen 100
  set-ip next-hop 192.168.1.2
 Stap 3: Pas de routekaart toe op de juiste interface.
 !Merk op dat dit zou moeten worden toegepast op de broninterface (clientzijde)
 interface-VLAN1
 IP-beleidsroutekaart - ForwardWeb
 !
 interface-VLAN2
 IP-beleidsroutekaart - ForwardWeb


Opmerking: deze methode voor verkeersomleiding (PBR) heeft een aantal beperkingen. Het belangrijkste probleem met deze methode is dat verkeer altijd zal worden omgeleid naar de WSA, zelfs als het apparaat niet bereikbaar is (bijvoorbeeld door netwerkproblemen). Er is dus geen failover-optie.


Om deze tekortkoming op te lossen, kunt u een van de volgende instellingen configureren:

  1. PBR met traceringsopties bij gebruik van Cisco-routers. Deze eigenschap wordt gebruikt om de beschikbaarheid van de volgende hop te verifiëren alvorens verkeer om te leiden.

    Meer informatie over het volgende artikel:
    Op beleid gebaseerde routing met behulp van het configuratievoorbeeld van de meervoudige traceringsopties
  2. Er zijn geen trackingopties beschikbaar voor Cisco Catalyst Switches. Er is echter een geavanceerde tijdelijke oplossing beschikbaar om hetzelfde gedrag te bereiken.

    Details zijn te vinden op de volgende Cisco Wiki:
    Op beleid gebaseerde routing (PBR) met tracering voor Catalyst 3xxx switches - een tijdelijke oplossing met behulp van EEM

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
05-Aug-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Vladimir Sousa and Siddharth Rajpathak
    Cisco TAC Engineers.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten