防火墙的逆向路由和路由器的反向接口策略路由

逆向路由:

如果启用,则向外转发数据包时需查询路由表

如果禁用,则向外转发数据包不查路由表,而根据会话信息实现数据包从哪里来,就从哪里出去。​

接口的逆向路由 影响到 运营商(联通)链路设备的连通!

假设防火墙上接口1的IP地址为202.0.0.1/30,接口2的IP地址为61.0.0.1/30 ,接口3的IP地址为219.1.1.1/30

有一条路由为 210.0.0.0/8 next-hop 61.0.0.2

一数据包源IP地址为210.0. 0.1 目的IP地址为 219.1.1.2的数据包从接口1收到,

接口1如果不开启逆向路由,源IP219.1.1.2 目的IP210.0.0.1的回复数据包会从接口1转发(原路返回,匹配会话表),

接口1如果开启逆向路由,会查找路由表,这样SOURCE_IP 219.1.1.2 D_IP 210.0.0.1的回复数据包将从接口2转发。​

反向接口策略路由:​​ 华三AR6600系列路由器 配置案例

1. 组网需求

网关设备Router A通过两个接口(Serail2/2/0和Serial2/2/1)和公网连接。用户PC从公网访问内网的HTTP Server服务,不妨设PC请求报文从Router A接口Serial2/2/0进入,通过网关设备转发,从Router A的私网接口GigabitEthernet2/1/1进入内网访问HTTP Server服务器。

要求:从私网返回的响应报文从Router A的接口GigabitEthernet2/1/1进入,经Router A转发时,能够从原来请求报文的入接口Serial2/2/0进入公网,返回用户PC。​

配置步骤

# 配置Router A各接口IP地址,并保证Router A与公网连通(略)。

# 在接口Serial2/2/0上配置内部服务器功能,将HTTP Server的IP地址192.168.1.2/24映射为2.1.1.100/16(和Router A的接口Serial2/2/0的IP地址在同一网段)。

system-view

[RouterA] interface serial 2/2/0

[RouterA-Serial2/2/0] nat server protocol tcp global 2.1.1.100 www inside 192.168.1.2 www

[RouterA-Serial2/2/0] quit

# 在接口Serial2/2/1上配置内部服务器功能,将HTTP Server的IP地址192.168.1.2/24映射为2.2.1.100/16(和Router A的接口Serial2/2/1的IP地址在同一网段)。

[RouterA] interface serial 2/2/1

[RouterA-Serial2/2/1] nat server protocol tcp global 2.2.1.100 www inside 192.168.1.2 www

[RouterA-Serial2/2/1] quit

# 定义10号节点,使匹配反向入接口Serial2/2/0的报文的下一跳地址为2.1.1.2/16。

system-view

[RouterA] policy-based-route test permit node 10

[RouterA-pbr-test-10] if-match reverse-input-interface serial 2/2/0

[RouterA-pbr-test-10] apply ip-address next-hop 2.1.1.2

[RouterA-pbr-test-10] quit

# 在以太网接口GigabitEthernet2/1/1上应用策略test。

[RouterA] interface GigabitEthernet 2/1/1

[RouterA-GigabitEthernet2/1/1] ip policy-based-route test