策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。

策略路由的应用:

1、可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。
2、为QoS服务。使用route-map及策略路由可以根据数据包的特征修改其相关QoS项,进行为QoS服务。
3、负载平衡。使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。
 
在实际的网络场景中,普通静态或动态路由,已可满足大部分网络场景。但网段和业务一旦复杂起来,普通的路由就难以胜任了,如以下场景:
公司有 网段A,做A业务,需要通过A网关进行通信。同时 又有B网段,做B业务,需要通过B网关进行通信。
如果A,B两个业务,同时都需要访问10.0.0.0/8网段。因普通路由,无法对源地址进行区分与分别路由,此时如果仅用普通路由进行配置,那么 网段A与网段B ,都只能选择一个下一跳网关,造成其中一个业务无法正常开展。
此时就需要使用策略路由,对源IP地址进行匹配,并根据源IP地址分别进行路由。
 
※华三F100系列防火墙策略路由配置:

acl advanced 3860    ----配置ACL ,用户源IP地址的匹配
rule 5 permit ip source 10.*.*.* 0

rule 10 permit ip source 10.*.*.* 0

rule 15 permit ip source 10.*.*.* 0

rule 20 permit ip source 10.*.*.* 0

.......

----配置策略路由规则

policy-based-route management permit node 1      -----management是自定义名称,node 1为序号。permit代表 匹配成功后根据规则进行转发。
if-match acl 3860     ----指定匹配地址规则引用的ACL
apply next-hop 192.168.53.1 direct    ----指定匹配的地址的下一跳
apply output-interface Tunnel1     ----指定匹配的地址的出接口

----启用规则

----接口下的启用方法

interface GigabitEthernet1/0/4

ip policy-based-route management   ----一般启用的接口都在需要策略路由的源地址入接口

----本地启用

ip local policy-based-route management    ----local域启用(本地接口地址,环回地址等)

※华为USG6300防火墙策略路由配置方法:

----创建地址组,用于匹配源IP地址

ip address-set lu86-jz type group    ---- lu86-jz 为自定义名称
address 0 range 10.1.1.1 10.1.1.10  ----这行配置表示,10.1.1.1-10.1.1.10 之间的所有IP地址

----创建地址组,用于匹配需转发的目的地址

ip address-set lu86-gw type group
address 0 10.0.0.0 0.255.255.255     ----address 0为序号,10.0.0.0为目的地址,0.255.255.255为通配符掩码
address 1 172.0.0.0 0.255.255.255
address 2 218.206.83.0 0.0.0.255
address 3 117.156.53.0 0.0.0.255

----配置策略路由

policy-based-route   ----进入策略路由配置视图
rule name to-jz    ----创建条目,to-jz-lu86为自定义名称
description jz    ----备注
ingress-interface GigabitEthernet1/0/1    ----指定入接口(源地址入接口,一般为内网接口)
source-address address-set lu86-jz    ----指定匹配地址引用的地址组
destination-address address-set lu86-gw    ----指定目的地址引用的地址组
action pbr egress-interface Tunnel6 next-hop 192.168.9.2    ----启用该条策略路由规则,并指定egress-interface Tunnel6 出接口,及next-hop 192.168.9.2 下一跳

华三F100系列、华为USG6300系列防火墙 策略路由配置实例的更多相关文章

  1. 华三F100系列防火墙 、华为USG6300系列防火 GRE 隧道配置

    GRE概述: 通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPV4网络中传输 ...

  2. 华三F100 系列防火墙 - 浮动路由联动NQA 实现双线路自动切换

    公司 有两条公网线路,一条移动作为日常主用线路,一条联通作为备用线路. 为了实现主备线路自动切换,配置了浮动路由 但浮动路由只能在 主用接口为down状态时才能浮出接管默认路由.如果故障为非物理链路故 ...

  3. [转帖]来聊聊,华为与H3C(华三)的前世今生!

    本篇,是以真实事件改编,将以故事篇的方式呈现出来. 本故事将分为两个篇幅讲述. 在中国的网络通信设备市场,有两个华字辈的选手,一名叫“华为技术有限公司”,另一名叫“杭州华三通信技术有限公司”. 这两个 ...

  4. [转帖]探秘华为(二):华为和H3C(华三)的分道扬镳

    探秘华为(二):华为和H3C(华三)的分道扬镳 https://baijiahao.baidu.com/s?id=1620781715767053734&wfr=spider&for= ...

  5. 华为USG6000V防火墙简单配置案例

    如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1 ...

  6. 讲真,你是因为什么才买华为P20系列手机!

    华为P20系列手机上市两个半月发货600万台!600万台?!看到这个亮瞎我钛合金狗眼的数据,且容我掰着手指脚趾算一下,算了,还是容我毫不夸张的感叹一句吧:华为做手机不用桨,不需风,全靠“浪”……. 两 ...

  7. 华为S5700配置端口镜像和华三S5120配置802.1X认证记录

    一.说明 事情的起因是我们部门有个华为的S5700交换机,想配置端口镜像抓包但让助理买的串口线很久都还没到:而昨天测试部的同事说他们那有台华三的S5120想要配802.1X认证,但只有华为交换机的文档 ...

  8. 华为QUIDWAY系列交换机的console重置

    作者:邓聪聪 华为QUIDWAY系列交换机的console重置 这里以华为QUIDWAY S3700密码清除为例: 各位看官请自行注意,这是两个不同版本设备的重置方法. 一:方法1 首先在电脑上新建一 ...

  9. 华为云测平台服务再升级!华为M5系列平板调测能力正式上线!

    ​​​6月1日,华为M5系列平板设备兼容性测试和远程真机调试功能在华为终端开放实验室正式上线!助力您的产品在大屏适配上快人一步! 华为终端开放实验室DevEco平台现已提供基于华为M5系列平板设备的兼 ...

随机推荐

  1. Codeforces Round #588 (Div. 2) C. Anadi and Domino(思维)

    链接: https://codeforces.com/contest/1230/problem/C 题意: Anadi has a set of dominoes. Every domino has ...

  2. vue2 练习

    table标签的frame和rules属性,可以控制边框的显示.frame属性控制着表格最外围的四条边框的可见性,而 rules 则控制着表格内部边框的可见性. frame属性可取的值及含义如下: * ...

  3. Window Service安装不成功

    1. 加Winsow Service 2. 加Setup Project    Add -> Project Output , 选中Primary output from Winsow Serv ...

  4. Hdu 2047 Zjnu Stadium(带权并查集)

    Zjnu Stadium Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 32768/32768 K (Java/Others) Total ...

  5. Python 通过文件名批量移动文件

    Python 通过文件名批量移动文件 https://stackoverflow.com/questions/28913088/moving-files-with-wildcards-in-pytho ...

  6. 转:JMeter5的If Controller操作解析

    问题描述 在JMeter中添加了If Controller控制器,然后再控制器的表达式输入框中输入了预先构造的为“真”条件,执行Run发现结果树中并没有监控到执行的记录. 问题分析 在最新版JMete ...

  7. 集合家族——ArrayList

    一.概述: ArrayList 是实现 List 接口的动态数组,所谓动态就是它的大小是可变的.实现了所有可选列表操作,并允许包括 null 在内的所有元素.除了实现 List 接口外,此类还提供一些 ...

  8. vue子组件通知父组件使用方法

    vue子组件通知父组件使用方法 <template> <mt-field placeholder="验证码" v-model="getverifycod ...

  9. js中的bind方法的实现方法

    js中目前我遇见的改变作用域的5中方法:call, apply, eval, with, bind. var obj = { color: 'green' } function demo () { c ...

  10. 计数原理,递推,求从左边能看到l个棒子,右边能看到r个棒子的方案数目

    题意 有高为 1, 2, …, n 的 n 根杆子排成一排, 从左向右能看到 L 根, 从右向左能看到 R 根.求有多少种可能的排列方式.   solution: 数据范围仅200,本来是往组合数学方 ...