策略路由重定向问题
- 0关注
- 0收藏,59浏览
问题描述:
所有网关在核心交换机上,该交换机型号S7506E-S,我客户端192.168.66.172访问10.0.54.204,流量来回都需要重定向到WAF10.0.56.116,按如下配置后,回来的流量没重定向到WAF(去的流量有到WAF,tracert看的),请问下配置有什么问题吗
#请求重定向下一跳
acl number 3100
rule 5 permit ip source 192.168.66.172 0 destination 10.0.54.204 0
policy-based-route web_to_waf3100 permit node 5
if-match acl 3100
apply ip-address next-hop 10.0.56.116
int vlan 200
ip policy-based-route web_to_waf3100
#回源重定向下一跳
acl number 3102
rule 5 permit ip source 10.0.54.204 0 destination 192.168.66.172 0
policy-based-route web_to_waf3102 permit node 5
if-match acl 3102
apply ip-address next-hop 10.0.56.116
int vlan 54
ip policy-based-route web_to_waf3102
192.168.66.172所在vlan200
10.0.54.204所在vlan54
10.0.56.116是WAF业务地址
1. 去程流量(Client -> Server)路径分析
- •
源:192.168.66.172 (VLAN 200)
- •
目的:10.0.54.204 (VLAN 54)
- •
流量进入核心交换机的接口:
VLAN 200 - •
当前配置:在
VLAN 200入方向应用策略路由web_to_waf3100,匹配 ACL 3100,强制下一跳为 WAF (10.0.56.116)。此部分配置正确,故去程流量成功重定向。
2. 回程流量(Server -> Client)路径分析
- •
源:10.0.54.204 (Server)
- •
目的:192.168.66.172 (Client in VLAN 200)
- •
流量进入核心交换机的接口:
VLAN 54(因为 Server 网关在核心的 VLAN 54) - •
当前配置:您在
VLAN 54入方向应用了策略路由web_to_waf3102,意图匹配 ACL 3102 (源 10.0.54.204,目的 192.168.66.172),强制下一跳为 WAF (10.0.56.116)。逻辑上正确,但实际位置错误!
3. 关键问题:回程流量为什么没有重定向?
- •
WAF 处理后的流量路径:当 WAF (10.0.56.116) 处理完去程流量后,它会代替 Server (10.0.54.204) 向 Client (192.168.66.172) 发送回程响应。
- •
回程流量的真实源 IP:从核心交换机的视角看,回程流量的源 IP 是 WAF 的 IP (10.0.56.116),目的 IP 是 Client (192.168.66.172)。它不是来自 Server (10.0.54.204)!
- •
ACL 3102 不匹配:您的 ACL 3102 匹配的是
源 10.0.54.204。但实际回程流量的源是10.0.56.116(WAF)。因此,ACL 3102 无法匹配回程流量,策略路由不生效。
修正配置方案
回程流量的策略路由需要应用在 WAF 流量返回核心交换机的入接口上,并匹配 源是 WAF (10.0.56.116),目的是 Client (192.168.66.172) 的流量。
- 1.
确定 WAF 连接核心的接口:
- •
找到 WAF (10.0.56.116) 连接到核心交换机的物理接口或 VLAN 接口。假设 WAF 连接在核心的
VLAN 56上(IP 段 10.0.56.0/24),接口是Vlan-interface 56。
- •
- 2.
创建新的 ACL 匹配回程流量:
acl number 3103 rule 5 permit ip source 10.0.56.116 0 destination 192.168.66.172 0 # 精确匹配 WAF 发给 Client 的流量 - 3.
创建新的策略路由:
policy-based-route waf_to_client permit node 10 if-match acl 3103 apply ip-address next-hop 10.0.56.116 # 关键:下一跳还是 WAF 自身地址为什么下一跳还是 WAF? 这是策略路由的常见用法,强制流量发回给 WAF 进行后续处理(如地址还原、会话保持)。WAF 收到后会进行目的 NAT(DNAT),将目的 IP 从 Client 改为 Server (10.0.54.204),然后转发给 Server。
- 4.
在正确的接口应用策略路由:
interface Vlan-interface 56 # WAF 连接核心的接口 ip policy-based-route waf_to_client
配置修正总结
流量方向 | 原始配置位置 | 问题 | 修正后配置位置 | 关键 ACL 规则 |
|---|---|---|---|---|
去程 |
| ✅ 正确 | 保持不变 |
|
回程 |
| ❌ 错误 |
|
|
最终完整配置建议
! 去程策略 (Client -> Server):保持不变
acl number 3100
rule 5 permit ip source 192.168.66.172 0 destination 10.0.54.204 0
!
policy-based-route web_to_waf3100 permit node 5
if-match acl 3100
apply ip-address next-hop 10.0.56.116
!
interface Vlan-interface 200
ip policy-based-route web_to_waf3100
! 回程策略 (WAF -> Client):新增
acl number 3103
rule 5 permit ip source 10.0.56.116 0 destination 192.168.66.172 0
!
policy-based-route waf_to_client permit node 10
if-match acl 3103
apply ip-address next-hop 10.0.56.116 # 强制回包给WAF做DNAT还原
!
interface Vlan-interface 56 # WAF所在VLAN接口
ip policy-based-route waf_to_client验证方法
- 1.
在 Client (192.168.66.172) 上:
tracert 10.0.54.204 # 应显示第一跳是核心网关,第二跳是 WAF (10.0.56.116) - 2.
在核心交换机上抓包:
# 在 VLAN 56 接口抓去往 Client 的包 capture packet interface Vlan-interface 56 destination 192.168.66.172 # 应看到源IP是 WAF (10.0.56.116),目的IP是 Client - 3.
检查策略路由计数:
display policy-based-route statistics interface Vlan-interface 56 # 查看 waf_to_client 策略的匹配计数是否增加
注意事项
- •
WAF 配置:确保 WAF 已正确配置 目的 NAT (DNAT),将回包目的 IP 从 Client 改为 Server (10.0.54.204)。
- •
路由可达性:核心交换机必须有到 WAF (10.0.56.116) 和 Client (192.168.66.172) 的路由。
- •
策略优先级:确保新策略
waf_to_client的节点号(如 node 10)没有与其他策略冲突。
按照此修正方案调整后,回程流量即可被正确重定向到 WAF 处理。
WAF那边是透明模式,对流量的源目不做修改的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
WAF那边是透明模式,对流量的源目不做修改的