策略路由,是一種比基於目標網絡進行路由更加靈活的數據包路由轉發機制,路由器將通過路由圖決定如何對需要路由的數據包進行處理,路由圖決定了一個數據包的下一跳轉發路由器。
策略路由的應用:
acl advanced 3860 ----配置ACL ,用戶源IP地址的匹配
rule 5 permit ip source 10.*.*.* 0
rule 10 permit ip source 10.*.*.* 0
rule 15 permit ip source 10.*.*.* 0
rule 20 permit ip source 10.*.*.* 0
.......
----配置策略路由規則
policy-based-route management permit node 1 -----management是自定義名稱,node 1為序號。permit代表 匹配成功后根據規則進行轉發。
if-match acl 3860 ----指定匹配地址規則引用的ACL
apply next-hop 192.168.53.1 direct ----指定匹配的地址的下一跳
apply output-interface Tunnel1 ----指定匹配的地址的出接口
----啟用規則
----接口下的啟用方法
interface GigabitEthernet1/0/4
ip policy-based-route management ----一般啟用的接口都在需要策略路由的源地址入接口
----本地啟用
ip local policy-based-route management ----local域啟用(本地接口地址,環回地址等)
※華為USG6300防火牆策略路由配置方法:
----創建地址組,用於匹配源IP地址
ip address-set lu86-jz type group ---- lu86-jz 為自定義名稱
address 0 range 10.1.1.1 10.1.1.10 ----這行配置表示,10.1.1.1-10.1.1.10 之間的所有IP地址
----創建地址組,用於匹配需轉發的目的地址
ip address-set lu86-gw type group
address 0 10.0.0.0 0.255.255.255 ----address 0為序號,10.0.0.0為目的地址,0.255.255.255為通配符掩碼
address 1 172.0.0.0 0.255.255.255
address 2 218.206.83.0 0.0.0.255
address 3 117.156.53.0 0.0.0.255
----配置策略路由
policy-based-route ----進入策略路由配置視圖
rule name to-jz ----創建條目,to-jz-lu86為自定義名稱
description jz ----備注
ingress-interface GigabitEthernet1/0/1 ----指定入接口(源地址入接口,一般為內網接口)
source-address address-set lu86-jz ----指定匹配地址引用的地址組
destination-address address-set lu86-gw ----指定目的地址引用的地址組
action pbr egress-interface Tunnel6 next-hop 192.168.9.2 ----啟用該條策略路由規則,並指定egress-interface Tunnel6 出接口,及next-hop 192.168.9.2 下一跳