项目背景:
某医院使用某品牌网闸实现内外网隔离,因网闸上无法实现基于源地址的限制,且在外网防火墙上看到的源地址是被摆渡后的网闸外网端地址,两者都无法限制基于内网真实主机的源地址的访问策略,故在内网交换机上使用策略路由来实现此要求,拓扑如下:
拓扑说明:使用路由器镜像模拟内网防火墙和网闸,使用PC模拟专网服务器和互联网服务器。
项目需求:
1,PC4、PC5、PC6均可访问专网服务区PC8、PC9、PC10;
2,只允许PC4访问互联网,其他PC禁止访问互联网。
实现思路:
在内网交换机SW上配置策略路由PBR1,将目的为专网地址的数据包的下一跳指向内网防火墙FW,将源地址为PC4的其他数据包的下一跳指向网闸WZ,不给其他PC配路由或者策略路由来实现其禁止访问互联网的需求。注意,必须将去往专网的数据包的策略路由条目放在前面(node0)让它优先匹配,否则会让专网流量也去往网闸。
配置步骤:
PC和服务器的配置略。
内网防火墙FW:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
interface GigabitEthernet0/0
ip address 10.10.0.254 255.255.255.0
#
interface GigabitEthernet0/1
ip address 10.20.0.254 255.255.255.0
#
interface GigabitEthernet0/2
ip address 10.30.0.254 255.255.255.0
#
interface GigabitEthernet5/0
ip address 192.168.12.1 255.255.255.0
#
ip route-static 192.168.0.0 24 192.168.12.2
#内网的回程路由
内网交换机SW:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
interface GigabitEthernet1/0/1
port link-mode route
combo enable fiber
ip address 192.168.12.2 255.255.255.0
#
interface GigabitEthernet1/0/5
port link-mode route
combo enable fiber
ip address 99.99.99.1 255.255.255.0
#
acl advanced 3001
rule 0 permit ip destination 10.10.0.0 0.0.255.255
rule 5 permit ip destination 10.20.0.0 0.0.255.255
rule 10 permit ip destination 10.30.0.0 0.0.255.255
#配置ACL匹配专网流量
acl advanced 3002
rule 0 permit ip source 192.168.0.1 0
#配置ACL匹配PC4的外网流量
policy-based-route pbr1 permit node 0
if-match acl 3001
apply next-hop 192.168.12.1
#将去往专网的数据包的下一跳指向FW(注:此条必须在前,使用node0)
policy-based-route pbr1 permit node 1
if-match acl 3002
apply next-hop 99.99.99.2
#将去往外网的数据包的下一跳指向WZ
#
interface Vlan-interface1
ip address 192.168.0.254 255.255.255.0
ip policy-based-route pbr1
#在内网的入口vlan1上应用策略路由
网闸WZ:
1
2
3
4
5
6
7
8
9
#
interface GigabitEthernet0/0
ip address 99.99.99.2 255.255.255.0
#
interface GigabitEthernet0/1
ip address 8.8.8.254 255.255.255.0
#
ip route-static 192.168.0.0 24 99.99.99.1
#内网的回程路由
结果验证:
PC4、PC5、PC6访问专网:
PC4访问互联网:
PC5、PC6访问互联网:
结果均符合需求。
