策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。

策略路由的应用:

1、可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。
2、为QoS服务。使用route-map及策略路由可以根据数据包的特征修改其相关QoS项,进行为QoS服务。
3、负载平衡。使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。
 
在实际的网络场景中,普通静态或动态路由,已可满足大部分网络场景。但网段和业务一旦复杂起来,普通的路由就难以胜任了,如以下场景:
公司有 网段A,做A业务,需要通过A网关进行通信。同时 又有B网段,做B业务,需要通过B网关进行通信。
如果A,B两个业务,同时都需要访问10.0.0.0/8网段。因普通路由,无法对源地址进行区分与分别路由,此时如果仅用普通路由进行配置,那么 网段A与网段B ,都只能选择一个下一跳网关,造成其中一个业务无法正常开展。
此时就需要使用策略路由,对源IP地址进行匹配,并根据源IP地址分别进行路由。
 
※华三F100系列防火墙策略路由配置:

acl advanced 3860    ----配置ACL ,用户源IP地址的匹配
rule 5 permit ip source 10.*.*.* 0

rule 10 permit ip source 10.*.*.* 0

rule 15 permit ip source 10.*.*.* 0

rule 20 permit ip source 10.*.*.* 0

.......

----配置策略路由规则

policy-based-route management permit node 1      -----management是自定义名称,node 1为序号。permit代表 匹配成功后根据规则进行转发。
if-match acl 3860     ----指定匹配地址规则引用的ACL
apply next-hop 192.168.53.1 direct    ----指定匹配的地址的下一跳
apply output-interface Tunnel1     ----指定匹配的地址的出接口

----启用规则

----接口下的启用方法

interface GigabitEthernet1/0/4

ip policy-based-route management   ----一般启用的接口都在需要策略路由的源地址入接口

----本地启用

ip local policy-based-route management    ----local域启用(本地接口地址,环回地址等)

※华为USG6300防火墙策略路由配置方法:

----创建地址组,用于匹配源IP地址

ip address-set lu86-jz type group    ---- lu86-jz 为自定义名称
address 0 range 10.1.1.1 10.1.1.10  ----这行配置表示,10.1.1.1-10.1.1.10 之间的所有IP地址

----创建地址组,用于匹配需转发的目的地址

ip address-set lu86-gw type group
address 0 10.0.0.0 0.255.255.255     ----address 0为序号,10.0.0.0为目的地址,0.255.255.255为通配符掩码
address 1 172.0.0.0 0.255.255.255
address 2 218.206.83.0 0.0.0.255
address 3 117.156.53.0 0.0.0.255

----配置策略路由

policy-based-route   ----进入策略路由配置视图
rule name to-jz    ----创建条目,to-jz-lu86为自定义名称
description jz    ----备注
ingress-interface GigabitEthernet1/0/1    ----指定入接口(源地址入接口,一般为内网接口)
source-address address-set lu86-jz    ----指定匹配地址引用的地址组
destination-address address-set lu86-gw    ----指定目的地址引用的地址组
action pbr egress-interface Tunnel6 next-hop 192.168.9.2    ----启用该条策略路由规则,并指定egress-interface Tunnel6 出接口,及next-hop 192.168.9.2 下一跳

华三F100系列、华为USG6300系列防火墙 策略路由配置实例的更多相关文章

  1. 华三F100系列防火墙 、华为USG6300系列防火 GRE 隧道配置

    GRE概述: 通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPV4网络中传输 ...

  2. 华三F100 系列防火墙 - 浮动路由联动NQA 实现双线路自动切换

    公司 有两条公网线路,一条移动作为日常主用线路,一条联通作为备用线路. 为了实现主备线路自动切换,配置了浮动路由 但浮动路由只能在 主用接口为down状态时才能浮出接管默认路由.如果故障为非物理链路故 ...

  3. [转帖]来聊聊,华为与H3C(华三)的前世今生!

    本篇,是以真实事件改编,将以故事篇的方式呈现出来. 本故事将分为两个篇幅讲述. 在中国的网络通信设备市场,有两个华字辈的选手,一名叫“华为技术有限公司”,另一名叫“杭州华三通信技术有限公司”. 这两个 ...

  4. [转帖]探秘华为(二):华为和H3C(华三)的分道扬镳

    探秘华为(二):华为和H3C(华三)的分道扬镳 https://baijiahao.baidu.com/s?id=1620781715767053734&wfr=spider&for= ...

  5. 华为USG6000V防火墙简单配置案例

    如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1 ...

  6. 讲真,你是因为什么才买华为P20系列手机!

    华为P20系列手机上市两个半月发货600万台!600万台?!看到这个亮瞎我钛合金狗眼的数据,且容我掰着手指脚趾算一下,算了,还是容我毫不夸张的感叹一句吧:华为做手机不用桨,不需风,全靠“浪”……. 两 ...

  7. 华为S5700配置端口镜像和华三S5120配置802.1X认证记录

    一.说明 事情的起因是我们部门有个华为的S5700交换机,想配置端口镜像抓包但让助理买的串口线很久都还没到:而昨天测试部的同事说他们那有台华三的S5120想要配802.1X认证,但只有华为交换机的文档 ...

  8. 华为QUIDWAY系列交换机的console重置

    作者:邓聪聪 华为QUIDWAY系列交换机的console重置 这里以华为QUIDWAY S3700密码清除为例: 各位看官请自行注意,这是两个不同版本设备的重置方法. 一:方法1 首先在电脑上新建一 ...

  9. 华为云测平台服务再升级!华为M5系列平板调测能力正式上线!

    ​​​6月1日,华为M5系列平板设备兼容性测试和远程真机调试功能在华为终端开放实验室正式上线!助力您的产品在大屏适配上快人一步! 华为终端开放实验室DevEco平台现已提供基于华为M5系列平板设备的兼 ...

随机推荐

  1. 数据传输还用 CPU?不如交给 DMA 吧!

    https://mp.weixin.qq.com/s/CQQSV26Xvmt2xuAPFnh-YQ 鱼鹰  鱼鹰谈单片机 3月3日 预计阅读时间: 9 分钟 "数据传输耗时又耗力?交给 DM ...

  2. Bootstrap-轮播图-No.1

    <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8&quo ...

  3. HDU 6042 - Journey with Knapsack | 2017 Multi-University Training Contest 1

    /* HDU 6042 - Journey with Knapsack [ 生成函数,五边形定理 ] | 2017 Multi-University Training Contest 1 题意: n种 ...

  4. learning armbian steps(6) ----- armbian 源码分析(一)

    为了深入学习armbian,前面已经学习了如何手动构建arm ubuntu rootfs. 由于armbian官方的文档比较的匮乏,所以最终还是决定通过其编译的过程来深入地学习. 为了快速度深入地学习 ...

  5. 【luoguP3959 宝藏】-状压DP

    题目描述: 参与考古挖掘的小明得到了一份藏宝图,藏宝图上标出了 n 个深埋在地下的宝藏屋, 也给出了这 n 个宝藏屋之间可供开发的m 条道路和它们的长度. 小明决心亲自前往挖掘所有宝藏屋中的宝藏.但是 ...

  6. python 二维数组 转 矩阵

    x = numpy.array([[,,],[,,],[,,]]) print x print x.shape 输出 [[ ] [ ] [ ]] (3L, 3L) [Finished .2s]

  7. koa 项目实战(七)登录接口

    1.登录接口 /** * @route POST api/users/login * @desc 登录接口地址 * @access 接口是公开的 */ router.post('/login', as ...

  8. sentinel备忘

    git https://github.com/alibaba/Sentinel   https://github.com/dubbo/dubbo-sentinel-supportdubbo http: ...

  9. 【MyBatis】【SQL】没有最快,只有更快,从一千万条记录中删除八百万条仅用1分9秒

    这次直接使用delete from emp where cdate<'2018-02-02',看看究竟会发生什么. Mapper里写好SQL: <?xml version="1. ...

  10. 用key管理可复用元素

    先看看不用key管理可复用元素的代码.Vue 会尽可能高效地渲染元素,通常会复用已有元素而不是从头开始渲染.这么做,除了使 Vue 变得非常快之外,还有一些有用的好处,那就是在切换input时不会清楚 ...