策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。

策略路由的应用:

1、可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。
2、为QoS服务。使用route-map及策略路由可以根据数据包的特征修改其相关QoS项,进行为QoS服务。
3、负载平衡。使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。
 
在实际的网络场景中,普通静态或动态路由,已可满足大部分网络场景。但网段和业务一旦复杂起来,普通的路由就难以胜任了,如以下场景:
公司有 网段A,做A业务,需要通过A网关进行通信。同时 又有B网段,做B业务,需要通过B网关进行通信。
如果A,B两个业务,同时都需要访问10.0.0.0/8网段。因普通路由,无法对源地址进行区分与分别路由,此时如果仅用普通路由进行配置,那么 网段A与网段B ,都只能选择一个下一跳网关,造成其中一个业务无法正常开展。
此时就需要使用策略路由,对源IP地址进行匹配,并根据源IP地址分别进行路由。
 
※华三F100系列防火墙策略路由配置:

acl advanced 3860    ----配置ACL ,用户源IP地址的匹配
rule 5 permit ip source 10.*.*.* 0

rule 10 permit ip source 10.*.*.* 0

rule 15 permit ip source 10.*.*.* 0

rule 20 permit ip source 10.*.*.* 0

.......

----配置策略路由规则

policy-based-route management permit node 1      -----management是自定义名称,node 1为序号。permit代表 匹配成功后根据规则进行转发。
if-match acl 3860     ----指定匹配地址规则引用的ACL
apply next-hop 192.168.53.1 direct    ----指定匹配的地址的下一跳
apply output-interface Tunnel1     ----指定匹配的地址的出接口

----启用规则

----接口下的启用方法

interface GigabitEthernet1/0/4

ip policy-based-route management   ----一般启用的接口都在需要策略路由的源地址入接口

----本地启用

ip local policy-based-route management    ----local域启用(本地接口地址,环回地址等)

※华为USG6300防火墙策略路由配置方法:

----创建地址组,用于匹配源IP地址

ip address-set lu86-jz type group    ---- lu86-jz 为自定义名称
address 0 range 10.1.1.1 10.1.1.10  ----这行配置表示,10.1.1.1-10.1.1.10 之间的所有IP地址

----创建地址组,用于匹配需转发的目的地址

ip address-set lu86-gw type group
address 0 10.0.0.0 0.255.255.255     ----address 0为序号,10.0.0.0为目的地址,0.255.255.255为通配符掩码
address 1 172.0.0.0 0.255.255.255
address 2 218.206.83.0 0.0.0.255
address 3 117.156.53.0 0.0.0.255

----配置策略路由

policy-based-route   ----进入策略路由配置视图
rule name to-jz    ----创建条目,to-jz-lu86为自定义名称
description jz    ----备注
ingress-interface GigabitEthernet1/0/1    ----指定入接口(源地址入接口,一般为内网接口)
source-address address-set lu86-jz    ----指定匹配地址引用的地址组
destination-address address-set lu86-gw    ----指定目的地址引用的地址组
action pbr egress-interface Tunnel6 next-hop 192.168.9.2    ----启用该条策略路由规则,并指定egress-interface Tunnel6 出接口,及next-hop 192.168.9.2 下一跳

华三F100系列、华为USG6300系列防火墙 策略路由配置实例的更多相关文章

  1. 华三F100系列防火墙 、华为USG6300系列防火 GRE 隧道配置

    GRE概述: 通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPV4网络中传输 ...

  2. 华三F100 系列防火墙 - 浮动路由联动NQA 实现双线路自动切换

    公司 有两条公网线路,一条移动作为日常主用线路,一条联通作为备用线路. 为了实现主备线路自动切换,配置了浮动路由 但浮动路由只能在 主用接口为down状态时才能浮出接管默认路由.如果故障为非物理链路故 ...

  3. [转帖]来聊聊,华为与H3C(华三)的前世今生!

    本篇,是以真实事件改编,将以故事篇的方式呈现出来. 本故事将分为两个篇幅讲述. 在中国的网络通信设备市场,有两个华字辈的选手,一名叫“华为技术有限公司”,另一名叫“杭州华三通信技术有限公司”. 这两个 ...

  4. [转帖]探秘华为(二):华为和H3C(华三)的分道扬镳

    探秘华为(二):华为和H3C(华三)的分道扬镳 https://baijiahao.baidu.com/s?id=1620781715767053734&wfr=spider&for= ...

  5. 华为USG6000V防火墙简单配置案例

    如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1 ...

  6. 讲真,你是因为什么才买华为P20系列手机!

    华为P20系列手机上市两个半月发货600万台!600万台?!看到这个亮瞎我钛合金狗眼的数据,且容我掰着手指脚趾算一下,算了,还是容我毫不夸张的感叹一句吧:华为做手机不用桨,不需风,全靠“浪”……. 两 ...

  7. 华为S5700配置端口镜像和华三S5120配置802.1X认证记录

    一.说明 事情的起因是我们部门有个华为的S5700交换机,想配置端口镜像抓包但让助理买的串口线很久都还没到:而昨天测试部的同事说他们那有台华三的S5120想要配802.1X认证,但只有华为交换机的文档 ...

  8. 华为QUIDWAY系列交换机的console重置

    作者:邓聪聪 华为QUIDWAY系列交换机的console重置 这里以华为QUIDWAY S3700密码清除为例: 各位看官请自行注意,这是两个不同版本设备的重置方法. 一:方法1 首先在电脑上新建一 ...

  9. 华为云测平台服务再升级!华为M5系列平板调测能力正式上线!

    ​​​6月1日,华为M5系列平板设备兼容性测试和远程真机调试功能在华为终端开放实验室正式上线!助力您的产品在大屏适配上快人一步! 华为终端开放实验室DevEco平台现已提供基于华为M5系列平板设备的兼 ...

随机推荐

  1. mysql 密码重置或忘记密码相关命令

    方法1: 用SET PASSWORD命令 首先登录MySQL. 格式:mysql> set password for 用户名@localhost = password('新密码'); 例子:my ...

  2. Python3-for-enumerate

    languages = ["C", "C++", "Perl", "Python"] for x in language ...

  3. SpringBoot 测试类 @RunWith & @SpringBootTest

    @RunWith(SpringRunner.class) @SpringBootTest public class RabbitMqTest { @Autowired RabbitMqSender r ...

  4. 记录二:tensorflow2.0写MNIST手写体

    最近学习神经网络,tensorflow,看了好多视频,查找了好多资料,感觉东西都没有融入自己的思维中.今天用tensorflow2.0写了一个MNIST手写体的版本,记录下学习的过程. 复现手写体识别 ...

  5. 最新版Google Chrome 自动加载flash插件的方法

    我们在用Selenium做自动化测试时,有时候需要浏览器自动加载flash插件,69以前的谷歌浏览器,可以通过加载属性的方法自动运行flash插件,如下: prefs={ "profile. ...

  6. [JZOJ6346]:ZYB和售货机(拓扑+基环内向森林)

    题目描述 可爱的$ZYB$来到一个售货机前. 售货机里有一共有$N(\leqslant 10^5)$个物品,每个物品有$A_i$个.自然,还有$N$个购买按钮.正常情况下,按下第$i$个按钮,需要支付 ...

  7. 用Python写一个将Python2代码转换成Python3代码的批处理工具

    之前写过一篇如何在windows操作系统上给.py文件添加一个快速处理的右键功能的文章:<一键将Python2代码自动转化为Python3>,作用就是为了将Python2的文件升级转换成P ...

  8. Python locust性能测试框架模板

    locust框架模板 from locust import HttpLocust, TaskSet, task import Queue class UserBehavior(TaskSet): de ...

  9. 性能测试 | 记一次生产数据库sql由451s优化为0.4s的过程

    概述 最近开发说某个接口跑的很慢,排查了下发现其中一条sql,数据量不大,但居然要跑451s,下面简单记录一下优化的过程. 问题sql SELECT l.location_gid ENUMVALUE, ...

  10. Rsa加密类

    需要导入Base64.jar包 import java.io.ByteArrayOutputStream; import java.security.Key; import java.security ...