Cấu hình định tuyến dựa trên chính sách theo mạng nguồn (Source Networks) trên Firewall Cisco

Định tuyến dựa trên chính sách theo mạng nguồn (Policy Based Routing According to Source Networks) trên Firewall Cisco

Ta có sơ đồ mạng như bên dưới:



Định tuyến Dựa trên Chính sách PBR sẽ được cấu hình để xử lý các mạng nguồn LAN1 và LAN2. Yêu cầu là định tuyến LAN1 qua ISP1 và LAN2 qua ISP2.

Cấu hình (Configuration) Firewall Cisco

Bước 1 (Step 1)

Đầu tiên hãy cấu hình các giao diện:

interface GigabitEthernet0/0
nameif LAN1
security-level 100
ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet0/1
nameif LAN2
security-level 100
ip address 192.168.2.1 255.255.255.0

interface GigabitEthernet0/2
nameif ISP1
security-level 0
ip address 50.50.50.1 255.255.255.252

interface GigabitEthernet0/3
nameif ISP2
security-level 0
ip address 55.55.55.1 255.255.255.252

Bước 2 (Step 2)

Tạo Danh sách kiểm soát truy cập (ACL) phù hợp với lưu lượng muốn được xử lý bởi chính sách PBR.

access-list PBR_ACL1 extended permit ip 192.168.1.0 255.255.255.0 any <– khớp với LAN1
access-list PBR_ACL2 extended permit ip 192.168.2.0 255.255.255.0 any <– khớp với LAN2

Hai ACL ở trên khớp với lưu lượng truy cập từ LAN1 và LAN2 đi ra bất kỳ điểm đến nào.

Bước 3 (Step 3)

Cấu hình bản đồ tuyến đường(route-map) phù hợp với lưu lượng trong ACL được tạo ở trên và sau đó áp dụng chính sách định tuyến cho các luồng traffic.

route-map PBR permit 2 <– tạo route-map và đặt tên “PBR”
match ip address PBR_ACL1 <– khớp với lưu lượng của LAN1 được xác định trong ACL1 được tạo ở trên
set ip next-hop 50.50.50.2 <– thiết lập next hop của lưu lượng LAN1 là ISP1

route-map PBR permit 3 <– tạo một route-map khác
match ip address PBR_ACL2 <– khớp với lưu lượng của LAN2 được xác định trong ACL2 được tạo ở trên
set ip next-hop 55.55.55.2 <– thiết lập next hop của lưu lượng LAN2 là ISP2

Bước 4 (Step 4)

Áp dụng chính sách PBR cho giao diện “Ingress” muốn thực thi chính sách định tuyến này. Trong trường hợp này, sẽ áp dụng cùng một chính sách cho cả hai mạng nội bộ (LAN1, LAN2).

interface GigabitEthernet0/0
nameif LAN1
security-level 100
ip address 192.168.1.1 255.255.255.0
policy-route route-map PBR <– áp dụng chính sách PBR cho giao diện này

interface GigabitEthernet0/1
nameif LAN2
security-level 100
ip address 192.168.2.1 255.255.255.0
policy-route route-map PBR <– áp dụng chính sách PBR tương tự cho giao diện này

Bước 5 (Step 5)

Cấu hình NAT dịch các mạng IP nội bộ riêng (private) thành địa chỉ IP công cộng (public) để truy cập Internet.

nat (LAN1,ISP1) 1 source dynamic any interface
nat (LAN2,ISP2) 2 source dynamic any interface

Cấu hình một tuyến mặc định nếu bạn muốn hướng tới ISP chính của mình như được hiển thị bên dưới (tùy chọn).

route ISP1 0.0.0.0 0.0.0.0 50.50.50.2

Chi tiết xem thêm:
- Cấu hình định tuyến dựa trên chính sách PBR (Policy Based Routing) với Firewall Cisco