华三F100系列、华为USG6300系列防火墙 策略路由配置实例
策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。
策略路由的应用:
acl advanced 3860 ----配置ACL ,用户源IP地址的匹配
rule 5 permit ip source 10.*.*.* 0
rule 10 permit ip source 10.*.*.* 0
rule 15 permit ip source 10.*.*.* 0
rule 20 permit ip source 10.*.*.* 0
.......
----配置策略路由规则
policy-based-route management permit node 1 -----management是自定义名称,node 1为序号。permit代表 匹配成功后根据规则进行转发。
if-match acl 3860 ----指定匹配地址规则引用的ACL
apply next-hop 192.168.53.1 direct ----指定匹配的地址的下一跳
apply output-interface Tunnel1 ----指定匹配的地址的出接口
----启用规则
----接口下的启用方法
interface GigabitEthernet1/0/4
ip policy-based-route management ----一般启用的接口都在需要策略路由的源地址入接口
----本地启用
ip local policy-based-route management ----local域启用(本地接口地址,环回地址等)
※华为USG6300防火墙策略路由配置方法:
----创建地址组,用于匹配源IP地址
ip address-set lu86-jz type group ---- lu86-jz 为自定义名称
address 0 range 10.1.1.1 10.1.1.10 ----这行配置表示,10.1.1.1-10.1.1.10 之间的所有IP地址
----创建地址组,用于匹配需转发的目的地址
ip address-set lu86-gw type group
address 0 10.0.0.0 0.255.255.255 ----address 0为序号,10.0.0.0为目的地址,0.255.255.255为通配符掩码
address 1 172.0.0.0 0.255.255.255
address 2 218.206.83.0 0.0.0.255
address 3 117.156.53.0 0.0.0.255
----配置策略路由
policy-based-route ----进入策略路由配置视图
rule name to-jz ----创建条目,to-jz-lu86为自定义名称
description jz ----备注
ingress-interface GigabitEthernet1/0/1 ----指定入接口(源地址入接口,一般为内网接口)
source-address address-set lu86-jz ----指定匹配地址引用的地址组
destination-address address-set lu86-gw ----指定目的地址引用的地址组
action pbr egress-interface Tunnel6 next-hop 192.168.9.2 ----启用该条策略路由规则,并指定egress-interface Tunnel6 出接口,及next-hop 192.168.9.2 下一跳
