如何配置在思科多层交换机或路由器的基于策略的路由(PBR)转发流量到WSA ?
环境: 思科Web安全工具(WSA),透明模式- L4交换机
使用L4交换机时,当WSA在透明模式配置,配置在WSA没有必要。重定向是由L4交换机(或路由器)控制的。
使用基于策略的路由(PBR)重定向Web流量到WSA是可能的。这通过匹配正确流量(根据TCP端口)和提示路由器/交换机重定向此流量达到到WSA。
在以下示例中, WSA的数据/代理接口(M1或P1根据配置)在多层交换机/路由器的专用VLAN接口(VLAN 3)和互联网路由器在专用VLAN接口(Vlan4)。客户端是在Vlan1和Vlan2。
| 初始配置(仅相关部分显示) |
|
给上述有示例和的思科WSA 192.168.1.2的IP地址,您会添加以下命令设置基于策略的路由(PBR) :
| 步骤 1:定义Web流量 |
| !匹配HTTP数据流 access-list 100 permit tcp 10.1.1.0 0.0.0.255任何eq 80 access-list 100 permit tcp 10.1.2.0 0.0.0.255任何eq 80 !匹配HTTPS流量 access-list 100 permit tcp 10.1.1.0 0.0.0.255任何eq 443 access-list 100 permit tcp 10.1.2.0 0.0.0.255任何eq 443 |
| 步骤 2:定义路由映射控制输出的地方数据包。 |
| route-map ForwardWeb permit 10 匹配IP地址100 set ip next-hop 192.168.1.2 |
| 步骤 3:应用路由映射对正确接口。 |
| ! 注意应该应用这到源接口(客户端) 建立接口Vlan1 ip策略route-map ForwardWeb ! 接口Vlan2 ip策略route-map ForwardWeb |
Note:此方法流量重定向(PBR)有一些限制。与此方法的主要问题是流量永远将重定向对WSA,即使设备不可及的例如(由于网络问题)。因此,没有故障切换选项。
对应急方案此缺乏,您可以配置之一的下列: