질문:
Cisco Multilayer Switch 또는 Router에서 PBR(Policy Based Routing)을 구성하여 WSA에 트래픽을 전달하려면 어떻게 해야 합니까?
환경: Cisco WSA(Web Security Appliance), 투명 모드 - L4 스위치
L4 스위치를 사용하여 WSA를 투명 모드로 구성하는 경우 WSA에서 어떤 컨피그레이션도 필요하지 않습니다. 리디렉션은 L4 스위치(또는 라우터)에 의해 제어됩니다.
PBR(Policy Based Routing)을 사용하여 웹 트래픽을 WSA로 리디렉션할 수 있습니다. 이는 올바른 트래픽(tcp 포트 기반)을 일치시키고 라우터/스위치에 이 트래픽을 WSA로 리디렉션하도록 지시함으로써 달성할 수 있습니다.
다음 예에서 WSA의 데이터/프록시 인터페이스(구성에 따라 M1 또는 P1)는 멀티레이어 스위치/라우터(Vlan 3)의 전용 VLAN 인터페이스에 있고 인터넷 라우터는 전용 VLAN 인터페이스(Vlan 4)에도 있습니다. 클라이언트는 Vlan1 및 Vlan2에 있습니다.
| 초기 구성(관련 부품만 표시됨) |
인터페이스 VLAN1
desc 사용자 VLAN 1
ip 주소 10.1.1.1 255.255.255.0
!
인터페이스 VLAN2
desc 사용자 VLAN 2
ip 주소 10.1.2.1 255.255.255.0
!
인터페이스 VLAN3
desc Cisco WSA 전용 VLAN
ip 주소 192.168.1.1 255.255.255.252
!
인터페이스 VLAN4
desc 인터넷 라우터 전용 VLAN
ip 주소 192.168.2.1 255.255.255.252
!
ip 경로 0.0.0.0 0.0.0 192.168.2.2
|
위의 예에서 Cisco WSA의 IP 주소가 192.168.1.2인 경우 다음 명령을 추가하여 PBR(Policy Based Routing)을 설정할 수 있습니다.
| 1단계: 웹 트래픽 정의 |
! HTTP 트래픽 일치
access-list 100 permit tcp 10.1.1.0 0.0.0.255 any eq 80
access-list 100 permit tcp 10.1.2.0 0.0.0.255 any eq 80
! HTTPS 트래픽 일치
access-list 100 permit tcp 10.1.1.0 0.0.0.255 any eq 443
access-list 100 permit tcp 10.1.2.0 0.0.0.255 any eq 443 |
| 2단계: 경로 맵을 정의하여 패킷이 출력되는 위치를 제어합니다. |
route-map ForwardWeb 허용 10
ip 주소 100 일치
ip next-hop 192.168.1.2 설정 |
| 3단계: 올바른 인터페이스에 경로 맵을 적용합니다. |
!이는 소스 인터페이스(클라이언트 측)에 적용되어야 합니다.
인터페이스 VLAN1
ip 정책 route-map ForwardWeb
!
인터페이스 VLAN2
ip 정책 route-map ForwardWeb |
참고: 이 PBR(Traffic Redirection) 방법은 몇 가지 제한이 있습니다. 이 방법의 주요 문제는 어플라이언스에 연결할 수 없는 경우에도(예: 네트워크 문제로 인해) 트래픽이 항상 WSA로 리디렉션된다는 것입니다. 따라서 장애 조치 옵션은 없습니다.
이러한 결함을 해결하려면 다음 중 하나를 구성할 수 있습니다.
- Cisco 라우터를 사용할 때 추적 옵션이 있는 PBR 이 기능은 트래픽을 리디렉션하기 전에 다음 홉의 가용성을 확인하는 데 사용됩니다.
다음 문서에 대한 자세한 정보:
다중 추적 옵션 기능 컨피그레이션을 사용한 정책 기반 라우팅 예
- Cisco Catalyst 스위치에는 추적 옵션을 사용할 수 없습니다. 그러나 동일한 동작을 달성하는 데 사용할 수 있는 고급 해결 방법이 있습니다.
자세한 내용은 다음 Cisco Wiki를 참조하십시오.
Catalyst 3xxx 스위치에 대한 추적을 통한 PBR(Policy-based Routing) - EEM을 사용한 해결 방법
피드백