F1050防火墙策略路由不生效
- 1关注
- 1收藏,1571浏览
问题描述:
object-group ip address add_server
200 network host address 192.168.0.12
acl advanced 100
description next to 1.1.1.1
rule 30 permit ip source 192.168.0.0 0.0.0.255
rule 50 deny ip source 192.168.0.12 0
acl advanced 200
description next to 2.2.2.2
rule 10 permit ip source 192.168.0.12 0
policy-based-route pbr_internet permit node 110
if-match acl 200
apply next-hop 2.2.2.2
policy-based-route pbr_internet permit node 30
if-match acl 100
apply next-hop 1.1.1.1
想通过iacl 100和acl 200单独将p地址 192.168.0.12 从网段192.168.0.0/24分开 然后走线路2.2.2.2但是目前该ip还是走线路1.1.1.1 不知道哪行代码有问题 谢谢
组网及组网描述:
三层交换机作为内网网关,防火墙作为外网出口
- 2022-01-25提问
- 举报
-
(0)
最佳答案
把acl advanced 100(你把编号改了吧,实际应该不是100)里的rule 30和50颠倒一下,先rule 30 deny ip source 192.168.0.12 0,再rule 50 permit ip source 192.168.0.0 0.0.0.255。
acl默认遵循顺序匹配(按规则的编号从小到大进行比较,一但匹配上某一条rule就不再查询之后的rule),策略路由的节点也是。原来的写法会导致192.168.0.12直接匹配acl 100里的permit ip source 192.168.0.0 0.0.0.255以及策略路由的node 30。
- 2022-01-25回答
- 评论(0)
- 举报
-
(0)
您好,看案例吧
防火墙策略路由配置案例
1 配置需求或说明
1.1 适用的产品系列
本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-WiNet、F1000-AK、F10X0等
注:本案例是在F1000-C-G2的Version 7.1.064, Release 9323P1801版本上进行配置和验证的。
1.2 配置需求及实现的效果
防火墙作为网络出口设备,外网有移动和联通两条线路。内网有192.168.1.0和192.168.2.0两个网段,需要实现192.168.1.0网段走移动线路,192.168.2.0网段走联通线路。当两条线路中的一条线路故障时数据可以通过正常链路转发。
2 组网图
3 配置步骤
3.1 上网配置
防火墙上网配置请参考“2.2.2 防火墙外网使用固定IP地址上网配置方法”进行配置,本文只针对策略路由配置进行介绍。
3.2 新建访问控制列表匹配移动和联通数据
3.2.1 创建ACL匹配需要由移动链路转发的数据
# 创建ACL 3000匹配192.168.1.0网段数据
<H3C>system-view
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]quit
3.2.2 创建ACL匹配需要由联通链路转发的数据
# 创建ACL 3001匹配192.168.2.0网段数据
[H3C]acl advanced 3001
[H3C-acl-ipv4-adv-3001]rule 0 permit ip source 192.168.2.0 0.0.0.255
[H3C-acl-ipv4-adv-3001]quit
3.3 创建策略路由
3.3.1 创建移动策略路由节点
# 创建策略路由neiwang节点5匹配192.168.1.0网段的数据由移动线路转发。
[H3C]policy-based-route neiwang node 5
[H3C-pbr-neiwang-5]if-match acl 3000
[H3C-pbr-neiwang-5]apply next-hop 1.1.1.2
[H3C-pbr-neiwang-5]quit
注:next-hop后的地址为移动线路的网关
3.3.2 创建移动策略路由节点
# 创建策略路由neiwang节点10匹配192.168.2.0网段的数据由联通线路转发。
[H3C]policy-based-route neiwang node 10
[H3C-pbr-neiwang-10]if-match acl 3001
[H3C-pbr-neiwang-10]apply next-hop 2.2.2.2
[H3C-pbr-neiwang-10]quit
注:next-hop后的地址为联通线路的网关
3.4 应用策略
# 在防火墙连接内网的接口GigabitEthernet 1/0/4口调用策略路由
[H3C]interface GigabitEthernet 1/0/4
[H3C-GigabitEthernet1/0/4]ip policy-based-route neiwang
[H3C-GigabitEthernet1/0/4]quit
注:策略路由必须调用在内网接口才能生效。
3.5 保存配置
[H3C]save force
- 2022-01-25回答
- 评论(0)
- 举报
-
(0)
暂无评论
acl advanced 100
description next to 1.1.1.1
rule 30 permit ip source 192.168.0.0 0.0.0.255
acl advanced 200
description next to 2.2.2.2
rule 10 permit ip source 192.168.0.12 0
然后先写匹配acl 200走2.2.2.2
然后再写acl 100走1.1.1.1
- 2022-01-25回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论