Wie konfiguriere ich richtlinienbasiertes Routing (Policy Based Routing, PBR) auf einem Cisco Multilayer Switch oder Router, um Datenverkehr an die WSA weiterzuleiten?

Download-Optionen

  • PDF     (237.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (98.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (82.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:5. August 2014
Dokument-ID:118156

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Frage:

Frage:

Wie konfiguriere ich richtlinienbasiertes Routing (Policy Based Routing, PBR) auf einem Cisco Multilayer Switch oder Router, um Datenverkehr an die WSA weiterzuleiten?

Umgebung: Cisco Web Security Appliance (WSA), transparenter Modus - L4-Switch

Wenn die WSA mithilfe eines L4-Switches im transparenten Modus konfiguriert wird, ist keine Konfiguration auf der WSA erforderlich. Die Umleitung wird vom L4-Switch (oder -Router) gesteuert.

Sie können richtlinienbasiertes Routing (Policy Based Routing, PBR) verwenden, um den Web-Datenverkehr an die WSA umzuleiten. Dies wird erreicht, indem der richtige Datenverkehr (basierend auf TCP-Ports) abgeglichen wird und der Router bzw. Switch angewiesen wird, diesen Datenverkehr an die WSA umzuleiten.

Im folgenden Beispiel befindet sich die Daten-/Proxy-Schnittstelle der WSA (je nach Konfiguration entweder M1 oder P1) an einer dedizierten VLAN-Schnittstelle des Multilayer-Switches/Routers (VLAN 3) und der Internet-Router an einer dedizierten VLAN-Schnittstelle (VLAN4). Clients befinden sich in VLAN1 und VLAN2.

 Erstkonfiguration (es werden nur relevante Teile angezeigt)


Schnittstelle Vlan1
desc Benutzer-VLAN 1
ip address 10.1.1.1 255.255.255.0
!
Schnittstelle VLAN2
desc Benutzer-VLAN 2
ip address 10.1.2.2.1 255.255.255.0
!
Schnittstelle VLAN3
desc dediziertes VLAN für die Cisco WSA
ip address 192.168.1.1 255.255.255.252
!
Schnittstelle VLAN4
desc Internet Router dediziertes VLAN
ip address 192.168.2.1 255.255.255.252
!
ip route 0.0.0.0 0.0.0.0 192.168.2.2


In Anbetracht des obigen Beispiels und der Cisco WSA mit der IP-Adresse 192.168.1.2 fügen Sie die folgenden Befehle hinzu, um Policy Based Routing (PBR) einzurichten:

 Schritt 1: Definieren des Web-Datenverkehrs
 ! Übereinstimmung mit HTTP-Datenverkehr
 access-list 100 permit tcp 10.1.1.0 0.0.0.255 any eq 80
 access-list 100 permit tcp 10.1.2.0 0.0.0.255 any eq 80
 ! HTTPS-Datenverkehr zuordnen
 access-list 100 permit tcp 10.1.1.0 0.0.0.255 any eq 443
 access-list 100 permit tcp 10.1.2.0 0.0.0.255 any eq 443
 Schritt 2: Definieren Sie eine Routing-Map, um zu steuern, wo Pakete ausgegeben werden.
  route-map ForwardWeb permit 10
  Match-IP-Adresse 100
  set ip next-hop 192.168.1.2
 Schritt 3: Wenden Sie die Routenübersicht auf die richtige Schnittstelle an.
 !Beachten Sie, dass dies auf die Quellschnittstelle (Client-Seite) angewendet werden sollte.
 Schnittstelle Vlan1
 ip policy route-map ForwardWeb
 !
 Schnittstelle VLAN2
 ip policy route-map ForwardWeb


Hinweis: Diese Methode der Datenverkehrsumleitung (PBR) unterliegt gewissen Einschränkungen. Das Hauptproblem bei dieser Methode besteht darin, dass der Datenverkehr immer an die WSA umgeleitet wird, auch wenn die Appliance nicht erreichbar ist (z. B. aufgrund von Netzwerkproblemen). Es gibt also keine Failover-Option.


Um diesen Mangel zu beheben, können Sie eine der folgenden Optionen konfigurieren:

  1. PBR mit Nachverfolgungsoptionen bei Verwendung von Cisco Routern Diese Funktion wird verwendet, um die Verfügbarkeit des nächsten Hop vor der Umleitung des Datenverkehrs zu überprüfen.

    Weitere Informationen zum folgenden Artikel:
    Richtlinienbasiertes Routing mit mehreren Nachverfolgungsoptionen - Konfigurationsbeispiel
  2. Nachverfolgungsoptionen sind für Cisco Catalyst Switches nicht verfügbar. Es gibt jedoch eine erweiterte Problemumgehung, um dasselbe Verhalten zu erreichen.

    Details finden Sie im folgenden Cisco Wiki:
    Richtlinienbasiertes Routing (PBR) mit Nachverfolgung für Catalyst 3xxx Switches - eine Problemumgehung mit EEM

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
05-Aug-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Vladimir Sousa and Siddharth Rajpathak
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.