HCIP-Security1.1多出口選路2(策略路由選路)
阿新 • • 發佈:2022-04-14
一,網路拓撲
二,規劃說明
2.1IP地址規劃
| 裝置 | 介面 | 安全區域 | IP地址 |
| FW1 | GE0/0/0 | Local | 192.168.0.10/24 |
| GE1/0/0 | Local | 202.100.2.10/24 | |
| GE1/0/1 | Local | 202.100.1.10/24 | |
| GE1/0/2 | Local | 10.1.1.10/24 | |
| GE1/0/3 | Local | 10.1.2.10/24 | |
| GE1/0/4 | Local | 10.1.3.10/24 | |
| GE1/0/5 | Local | 192.168.34.10/24 | |
| ISP1 | GE0/0/0 | untrust | 11.1.1.20/24 |
| GE0/0/1 | untrust | 202.100.1.20/24 | |
| Loopback0 | untrust | 1.1.1.1/32 | |
| Loopback1 | untrust | 2.2.2.2/32 | |
| ISP2 | GE0/0/0 | untrust | 12.1.1.20/24 |
| GE0/0/1 | untrust | 202.100.2.20/24 | |
| Loopback0 | untrust | 3.3.3.3/32 | |
| Loopback1 | untrust | 4.4.4/32 | |
| Internet | GE0/0/0 | untrust | 11.1.1.30/24 |
| GE0/0/1 | untrust | 12.1.1.30/24 | |
| GE0/0/2 | untrust | 120.1.1.30/24 | |
| http_server | Ethernet0/0/0 | untrust | 120.1.1.2/24 |
| DMZ_Server | Ethernet0/0/0 | dmz | 192.168.34.1/24 |
| kali_linux | Ethernet0/0/0 | trust | 10.1.1.1/24 |
| PC1 | Ethernet0/0/0 | trust | 10.1.2.1/24 |
| PC2 | Ethernet0/0/0 | trust | 10.1.3.1/24 |
| MGMT_PC | Ethernet0/0/0 | trust | 192.168.0.1/24 |
2.2實驗需求
策略路由是在路由表已經產生的情況下,不按照現有的路由表進行轉發,而是根據使用者制定的策略進行路由選擇的機制。策略路由並沒有替代路由表機制,而是優先於路由表生效,為某些特殊業務指定轉發方向。
策略路由可以匹配的條件有:
·源安全區域、入介面、IP地址
·服務型別、應用型別、使用者
匹配後的動作:
·策略路由
·傳送報文到指定下一跳
·傳送報文到指定出口
·不做策略路由
匹配條件可以將要做策略路由的流量區分開來,在一個策略路由規則中,可以包含多個匹配條件,各匹配條件之間是“與”的關係,報文必須同時滿足所有匹配條件,才可以執行後續轉發動作!
策略路由的優勢:
·防火牆可以基於使用者,服務,應用和時間段來配置。
在本次實驗中,配置策略路由,使得kali_linux通過ISP1訪問網際網路的伺服器,而其他PC通過ISP2訪問網際網路。在ISP1或者ISP2不可達時,可以通過其他ISP繼續上網。
三,配置部分
3.1防火牆以外的配置
3.1.1 ISP1路由器
<Huawei>system-view
[Huawei]sysname ISP1
[ISP1]user-interface con 0
[ISP1-ui-console0]idle-timeout 0 0
[ISP1]interface GigabitEthernet 0/0/0
[ISP1-GigabitEthernet0/0/0]ip address 11.1.1.20 24
[ISP1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[ISP1-GigabitEthernet0/0/1]ip address 202.100.1.20 24
[ISP1-GigabitEthernet0/0/1]interface Loopback 0
[ISP1-LoopBack0]ip address 1.1.1.1 32
[ISP1-LoopBack0]interface Loopback 1
[ISP1-LoopBack1]ip address 2.2.2.2 32
[ISP1-LoopBack1]ip route-static 0.0.0.0 0 11.1.1.30
3.1.2ISP2路由器
<Huawei>system-view
[Huawei]sysname ISP2
[ISP2]user-interface con 0
[ISP2-ui-console0]idle-timeout 0 0
[ISP2-ui-console0]interface GigabitEthernet 0/0/0
[ISP2-GigabitEthernet0/0/0]ip address 12.1.1.20 24
[ISP2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[ISP2-GigabitEthernet0/0/1]ip address 202.100.2.20 24
[ISP2-GigabitEthernet0/0/1]interface Loopback 0
[ISP2-LoopBack0]ip address 3.3.3.3 32
[ISP2-LoopBack0]interface Loopback 1
[ISP2-LoopBack1]ip address 4.4.4.4 32
[ISP2-LoopBack1]ip route-static 0.0.0.0 0 12.1.1.30
3.1.3Internet路由器
<Huawei>system-view
[Huawei]sysname Internet
[Internet]user-interface con 0
[Internet-ui-console0]idle-timeout 0 0
[Internet-ui-console0]interface GigabitEthernet 0/0/0
[Internet-GigabitEthernet0/0/0]ip address 11.1.1.30 24
[Internet-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[Internet-GigabitEthernet0/0/1]ip address 12.1.1.30 24
[Internet-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[Internet-GigabitEthernet0/0/2]ip address 120.1.1.30 24
[Internet-GigabitEthernet0/0/2]ip address 120.1.1.30 24
[Internet-GigabitEthernet0/0/2]ip route-static 202.100.1.0 24 11.1.1.20
[Internet]ip route-static 1.1.1.1 32 11.1.1.20
[Internet]ip route-static 2.2.2.2 32 11.1.1.20
[Internet]ip route-static 202.100.2.0 24 12.1.1.20
[Internet]ip route-static 3.3.3.3 32 12.1.1.20
[Internet]ip route-static 4.4.4.4 32 12.1.1.20
3.1.4 Http Server
Http Server是使用ENSP橋接的一臺vmware workstation的一臺虛機,簡單的配置了http。
3.1.5MGMT_PC
MGPT_PC是ENSP橋接到我本地的物理機,可以通過瀏覽器進行圖形化管理FW1。
3.1.6 內網測試主機
3.2 防火牆配置
3.2.1介面地址以及安全區域
<USG6000V1>system-view
[USG6000V1]sysname FW1
[FW1]user-interface con 0
[FW1-ui-console0]idle-timeout 0 0
[FW1-ui-console0]interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0]ip address 192.168.0.10 24
[FW1-GigabitEthernet0/0/0]service-manage http permit
[FW1-GigabitEthernet0/0/0]service-manage https permit
[FW1-GigabitEthernet0/0/0]service-manage ping permit
[FW1-GigabitEthernet0/0/0]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 202.100.2.10 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit
[FW1-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 202.100.1.10 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 10.1.1.10 24
[FW1-GigabitEthernet1/0/2]service-manage ping permit
[FW1-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]ip address 10.1.2.10 24
[FW1-GigabitEthernet1/0/3]service-manage ping permit
[FW1-GigabitEthernet1/0/3]interface GigabitEthernet 1/0/4
[FW1-GigabitEthernet1/0/4]ip address 10.1.3.10 24
[FW1-GigabitEthernet1/0/4]service-manage ping permit
[FW1-GigabitEthernet1/0/4]interface GigabitEthernet 1/0/5
[FW1-GigabitEthernet1/0/5]ip address 192.168.34.10 24
[FW1-GigabitEthernet1/0/5]service-manage ping permit
[FW1-GigabitEthernet1/0/5]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 0/0/0
[FW1-zone-trust]add interface GigabitEthernet 1/0/2
[FW1-zone-trust]add interface GigabitEthernet 1/0/3
[FW1-zone-trust]add interface GigabitEthernet 1/0/4
[FW1-zone-trust]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/5
[FW1-zone-dmz]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/0
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
3.2.2 策略路由選路配置
①控制kali_linux的策略路由我們用CLI來演示
1.配置IP-Link,指定出介面和下一跳,icmp報文探測isp是否存活
[FW1]ip-link check enable [FW1]ip-link name isp1 [FW1-iplink-isp1]destination 202.100.1.20 interface GigabitEthernet 1/0/1 mode icmp [FW1]ip-link name isp2 [FW1-iplink-isp2]destination 202.100.2.20 interface GigabitEthernet 1/0/0 mode icmp
2.配置策略路由,kali_linux處於trust區域,10.1.1.0/24網段,呼叫IP-Link監測isp1存活。指定策略路由出介面是GE1/0/1且下一跳是202.100.1.20。
[FW1]policy-based-route [FW1-policy-pbr]rule name kali_linux [FW1-policy-pbr-rule-kali_linux]source-zone trust [FW1-policy-pbr-rule-kali_linux]source-address 10.1.1.0 24 [FW1-policy-pbr-rule-kali_linux]track ip-link isp1 [FW1-policy-pbr-rule-kali_linux]action pbr egress-interface GigabitEthernet 1/0/1 next-hop 202.100.1.20
②控制PC2選路的策略路由我們用圖形化來演示
1.新建策略路由,命名PC2,安全區域trust,源地址10.1.2.0/24。
2.定義動作,從出介面GE1/0/0轉發下一跳為202.100.2.20,並且呼叫IP-Link監測對端存活。
3.2.3 配置預設路由
去往ISP1的優先順序70,去往ISP2的優先順序60,均聯動IP-Link。IP-Link為up時優先順序60的生效。其他主機均通過預設去往ISP2。當ISP2不可達,其他主機可以通過ISP1上網。
[FW1]ip route-static 0.0.0.0 0 GigabitEthernet 1/0/0 202.100.2.20 track ip-link isp2 [FW1]ip route-static 0.0.0.0 0 GigabitEthernet 1/0/1 202.100.1.20 preference 70 track ip-link isp1
3.2.4 安全策略
[FW1]ip address-set pc type object
[FW1-object-address-set-pc]address 10.1.1.0 mask 24
[FW1-object-address-set-pc]address 10.1.2.0 mask 24
[FW1-object-address-set-pc]address 10.1.3.0 mask 24
[FW1]security-policy
[FW1-policy-security]rule name trust_untrust
[FW1-policy-security-rule-trust_untrust]source-zone trust
[FW1-policy-security-rule-trust_untrust]destination-zone untrust
[FW1-policy-security-rule-trust_untrust]source-address address-set pc
[FW1-policy-security-rule-trust_untrust]action permit
3.2.5 源NAT
[FW1]nat-policy
[FW1-policy-nat]rule name easy-ip
[FW1-policy-nat-rule-easy-ip]source-zone trust
[FW1-policy-nat-rule-easy-ip]destination-zone untrust
[FW1-policy-nat-rule-easy-ip]source-address address-set pc
[FW1-policy-nat-rule-easy-ip]action source-nat easy-ip
四,測試效果
1.檢視IP-Link狀態
2.檢視路由表
3.檢視會話表,kali_linux走ISP1,PC1走ISP2.
4.斷開ISP的鏈路,kali_linux訪問網路未受到明顯影響。檢視會話表,路由表,IP-Link狀態
5.恢復ISP1鏈路,斷開ISP2鏈路檢視效果。