公司一直使用电信10M线路用于访问互联网,同时基于此线路与各个子公司建立VPN传输业务数据,近期新增了一条10M联通线路用于流量分流,要求在不调整电信线路的基础上实现:

1.VPN流量依旧通过电信线路进行处理

2.总公司内部网段能够正常互访

3.总公司10网段互联网流量通过联通转发,90网段互联网流量通过电信转发

因出口使用的是SSG140查询相关资料后准备使用PBR功能实现此需求,拓扑图如下:

PBR(Policy Basic Routing)功能是指依据特定的策略将符合策略标准的数据包按照指定的路由进行转发,可以依据源地址、源端口、协议、目的地址、目的端口等标准进行转发。而不符合策略的流量就按照默认的路由表进行转发,OK,let’s go!

一、 配置联通线路接入

联通线路接入到SSG140的E0/7端口,因此需要在此端口上配置联通的公网IP、工作模式等信息,WEB登陆后选择NetworkàInterfaceàEthernet0/7,配置如下:

备注:Ethernet0/7端口绑定到Untrust区域

二、 配置PBR功能

PBR功能的实现需要依次配置EACL/Match_GROUP/Active_Group/Policy/Binding等内容,下面开始一步步的进行配置:

1.EACL是定义符合策略的元素,比如源地址、目的地址等,按照我们的需求在这里建立2个EACL。

EACL1:内部流量,即目的地址是10、90、172段的流量

EACL2:10段访问互联网的流量,即从源地址10到0.0.0.0的流量

由于90段的流量默认是通过电信线路进行转发,所以我们这里无需为90段创建EACL

WEB登录防火墙定位到Network > Routing > PBR > Extended ACL List 创建EACL,如下图:

备注:创建EACL时要选择创建到trust-vr路由表中

2.创建Match Group,由于EACL中包含很多条记录且使用数字进行命名,不便于识别,所以使用更便于识别的Match Group来标示。我们也只需创建2个MatchGroup,Intranet用于匹配内部流量的EACL,Internet-LT匹配10段的公网流量。点击Network > Routing > PBR > Match Group List配置,如下图:

3.创建ActionGroup,它的作用是指定数据包的处理方式,也就是如何路由转发数据,对于10段的公网流量直接转至联通线路,即E0/7接口;对于内部流量则无需指定处理方式,防火墙会按照默认路由表进行处理,点击Network > Routing > PBR > Action Group List配置,如下图:

4.创建策略,策略是将前面步骤中创建的MatchGroup和ActiveGroup关联起来,也就实现了将符合EACL的数据包按照指定的ActionGroup进行处理。需要注意的是,一个策略集当中会包含多条策略,而策略的执行是按照ID大小从上到下开始执行,所以要将内部流量的策略放在最上面。点击Network > Routing > PBR > Policy List进行配置,如下图:

5.绑定策略,这里完成的是如何让已经创建好的策略生效,只有策略生效过后数据包才会按照我们的需求被转发。策略可以绑定到接口、安全区域、虚拟路由等地方,我们这里选绑定到接口,即10段所在的接口E0/0,点击Network > Routing > PBR > Policy Binding配置,如下图:

至此,我们完成了PBR功能的各项设置,现在开始检测数据是否按照我们的要求被处理

三、 验证结果

1.VPN流量是否是通过电信线路处理

由于VPN是通过电信线路建立的,而我们并没有在联通线路上建立VPN通道,所以只要内部网段能够正常的访问VPN连接的子公司,那么VPN流量就是正常的。

我们分别从90和10段主机上Ping子公司所在的网段,如下图:

2.总公司内部网段能否互通,通过在90段主机上Ping10段IP,正常通过

3.10段和90段公网流量是否走对应的线路?我们分别在10和90段选择一台主机登录到IP138.COM查询它的公网IP,如下图:

10段主机:

90段主机: