内网指定出口问题

seasonli72658 · ‎04-13-2020

我想让核心上面的一个VLAN走备用防火墙的联通出口出去，是不是一定要策略路由才可以，还有其他方案吗，在不影响生产环境下实施，因为现在调试要在生产环境下调试

YilinChen · ‎04-13-2020

根据楼主目前描述的信息，策略路由是风险最小的也是唯一可行的实现方法，匹配源地址段，下一跳走备用防火墙，注意回程流量的路径

seasonli72658 · ‎04-13-2020

YilinChen 发表于 2020-4-14 09:24
根据楼主目前描述的信息，策略路由是风险最小的也是唯一可行的实现方法，匹配源地址段，下一跳走备用防火墙 ...

access-list 100 permit ip 10.99.202.0 255.255.255.0 any
route-map rm-test permit 10
match ip address 100
set ip next-hopc10.99.202.1
interface Port-channel1
no switchport
ip address 10.99.201.4 255.255.255.248
policy-route route-map rm-test
这样写是不是可以呢，主防火墙做了port-channel 把route-map应用到channel上
回程的流量路径怎么写呢

YilinChen · ‎04-13-2020

seasonli72658 发表于 2020-4-14 11:00
access-list 100 permit ip 10.99.202.0 255.255.255.0 any
route-map rm-test permit 10

备用防火墙上总得有回程路由吧:P

seasonli72658 · ‎04-14-2020

YilinChen 发表于 2020-4-14 14:49
备用防火墙上总得有回程路由吧

access-list 100 permit ip 10.99.202.0 255.255.255.0 any
route-map rm-test permit 10
match ip address 100
set ip next-hopc10.99.209.1===下一跳到备用防火墙的inside接口

核心去往主防火墙的接口
interface Port-channel1
no switchport
ip address 10.99.201.4 255.255.255.248
policy-route route-map rm-test
route inside 10.99.202.0 255.255.255.0 10.99.209.4 1---防火墙回程路由
能帮我看一下这样写是对的吗？谢谢

YilinChen · ‎04-14-2020

seasonli72658 发表于 2020-4-14 15:01
access-list 100 permit ip 10.99.202.0 255.255.255.0 any
route-map rm-test permit 10

为什么是去往主防火墙？看图联路线路不是接在备防火墙上么？

seasonli72658 · ‎04-14-2020

YilinChen 发表于 2020-4-14 16:52
为什么是去往主防火墙？看图联路线路不是接在备防火墙上么？

:L 应用错了，route-map应当应用到VLAN202上就可以了，感谢