问题:
如何在思科多层交换机或路由器上配置基于策略的路由(PBR)以将流量转发到WSA?
环境:思科网络安全设备(WSA),透明模式 — L4交换机
当使用L4交换机以透明模式配置WSA时,无需在WSA上进行配置。重定向由L4交换机(或路由器)控制。
可以使用基于策略的路由(PBR)将网络流量重定向到WSA。这是通过匹配正确的流量(基于tcp端口)并指示路由器/交换机将此流量重定向到WSA来实现的。
在以下示例中,WSA的数据/代理接口(M1或P1,具体取决于配置)位于多层交换机/路由器的专用VLAN接口上(Vlan 3),而Internet路由器也位于专用VLAN接口上(Vlan4)。客户端位于Vlan1和Vlan2上。
| 初始配置(仅显示相关部分) |
interface Vlan1
desc用户VLAN 1
ip address 10.1.1.1 255.255.255.0
!
interface Vlan2
desc用户VLAN 2
ip address 10.1.2.1 255.255.255.0
!
interface Vlan3
desc Cisco WSA专用VLAN
ip address 192.168.1.1 255.255.255.252
!
interface Vlan4
desc Internet路由器专用VLAN
ip address 192.168.2.1 255.255.255.252
!
ip route 0.0.0.0 0.0.0.0 192.168.2.2
|
鉴于上述示例,以及Cisco WSA的IP地址为192.168.1.2,您需要添加以下命令来设置基于策略的路由(PBR):
| 第1步:定义Web流量 |
!匹配HTTP流量
access-list 100 permit tcp 10.1.1.0 0.0.0.255 any eq 80
access-list 100 permit tcp 10.1.2.0 0.0.0.255 any eq 80
!匹配HTTPS流量
access-list 100 permit tcp 10.1.1.0 0.0.0.255 any eq 443
access-list 100 permit tcp 10.1.2.0 0.0.0.255 any eq 443 |
| 第2步:定义路由映射以控制数据包的输出位置。 |
route-map ForwardWeb permit 10
match ip address 100
set ip next-hop 192.168.1.2 |
| 第3步:将路由映射应用到正确的接口。 |
!请注意,这应该应用到源接口(客户端)
interface Vlan1
ip policy route-map ForwardWeb
!
interface Vlan2
ip policy route-map ForwardWeb |
注意:此流量重定向(PBR)方法有一些限制。此方法的主要问题是即使设备无法访问(例如由于网络问题),流量也始终被重定向到WSA。因此,没有故障切换选项。
要解决此缺陷,您可以配置以下任一项:
- PBR与跟踪选项在使用Cisco路由器。此功能用于在重定向流量之前验证下一跳的可用性。
有关以下文章的更多详细信息:
具有多个跟踪选项功能策略路由的配置示例
- Cisco Catalyst交换机不支持跟踪选项。但是,有一个高级解决方法可用于实现相同行为。
详细信息可在以下思科维基上找到:
基于策略的路由(PBR),可跟踪Catalyst 3xxx交换机 — 使用EEM的解决方法
反馈