策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。

策略路由的应用:

1、可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。
2、为QoS服务。使用route-map及策略路由可以根据数据包的特征修改其相关QoS项,进行为QoS服务。
3、负载平衡。使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。
 
在实际的网络场景中,普通静态或动态路由,已可满足大部分网络场景。但网段和业务一旦复杂起来,普通的路由就难以胜任了,如以下场景:
公司有 网段A,做A业务,需要通过A网关进行通信。同时 又有B网段,做B业务,需要通过B网关进行通信。
如果A,B两个业务,同时都需要访问10.0.0.0/8网段。因普通路由,无法对源地址进行区分与分别路由,此时如果仅用普通路由进行配置,那么 网段A与网段B ,都只能选择一个下一跳网关,造成其中一个业务无法正常开展。
此时就需要使用策略路由,对源IP地址进行匹配,并根据源IP地址分别进行路由。
 
※华三F100系列防火墙策略路由配置:

acl advanced 3860    ----配置ACL ,用户源IP地址的匹配
rule 5 permit ip source 10.*.*.* 0

rule 10 permit ip source 10.*.*.* 0

rule 15 permit ip source 10.*.*.* 0

rule 20 permit ip source 10.*.*.* 0

.......

----配置策略路由规则

policy-based-route management permit node 1      -----management是自定义名称,node 1为序号。permit代表 匹配成功后根据规则进行转发。
if-match acl 3860     ----指定匹配地址规则引用的ACL
apply next-hop 192.168.53.1 direct    ----指定匹配的地址的下一跳
apply output-interface Tunnel1     ----指定匹配的地址的出接口

----启用规则

----接口下的启用方法

interface GigabitEthernet1/0/4

ip policy-based-route management   ----一般启用的接口都在需要策略路由的源地址入接口

----本地启用

ip local policy-based-route management    ----local域启用(本地接口地址,环回地址等)

※华为USG6300防火墙策略路由配置方法:

----创建地址组,用于匹配源IP地址

ip address-set lu86-jz type group    ---- lu86-jz 为自定义名称
address 0 range 10.1.1.1 10.1.1.10  ----这行配置表示,10.1.1.1-10.1.1.10 之间的所有IP地址

----创建地址组,用于匹配需转发的目的地址

ip address-set lu86-gw type group
address 0 10.0.0.0 0.255.255.255     ----address 0为序号,10.0.0.0为目的地址,0.255.255.255为通配符掩码
address 1 172.0.0.0 0.255.255.255
address 2 218.206.83.0 0.0.0.255
address 3 117.156.53.0 0.0.0.255

----配置策略路由

policy-based-route   ----进入策略路由配置视图
rule name to-jz    ----创建条目,to-jz-lu86为自定义名称
description jz    ----备注
ingress-interface GigabitEthernet1/0/1    ----指定入接口(源地址入接口,一般为内网接口)
source-address address-set lu86-jz    ----指定匹配地址引用的地址组
destination-address address-set lu86-gw    ----指定目的地址引用的地址组
action pbr egress-interface Tunnel6 next-hop 192.168.9.2    ----启用该条策略路由规则,并指定egress-interface Tunnel6 出接口,及next-hop 192.168.9.2 下一跳

华三F100系列、华为USG6300系列防火墙 策略路由配置实例的更多相关文章

  1. 华三F100系列防火墙 、华为USG6300系列防火 GRE 隧道配置

    GRE概述: 通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPV4网络中传输 ...

  2. 华三F100 系列防火墙 - 浮动路由联动NQA 实现双线路自动切换

    公司 有两条公网线路,一条移动作为日常主用线路,一条联通作为备用线路. 为了实现主备线路自动切换,配置了浮动路由 但浮动路由只能在 主用接口为down状态时才能浮出接管默认路由.如果故障为非物理链路故 ...

  3. [转帖]来聊聊,华为与H3C(华三)的前世今生!

    本篇,是以真实事件改编,将以故事篇的方式呈现出来. 本故事将分为两个篇幅讲述. 在中国的网络通信设备市场,有两个华字辈的选手,一名叫“华为技术有限公司”,另一名叫“杭州华三通信技术有限公司”. 这两个 ...

  4. [转帖]探秘华为(二):华为和H3C(华三)的分道扬镳

    探秘华为(二):华为和H3C(华三)的分道扬镳 https://baijiahao.baidu.com/s?id=1620781715767053734&wfr=spider&for= ...

  5. 华为USG6000V防火墙简单配置案例

    如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1 ...

  6. 讲真,你是因为什么才买华为P20系列手机!

    华为P20系列手机上市两个半月发货600万台!600万台?!看到这个亮瞎我钛合金狗眼的数据,且容我掰着手指脚趾算一下,算了,还是容我毫不夸张的感叹一句吧:华为做手机不用桨,不需风,全靠“浪”……. 两 ...

  7. 华为S5700配置端口镜像和华三S5120配置802.1X认证记录

    一.说明 事情的起因是我们部门有个华为的S5700交换机,想配置端口镜像抓包但让助理买的串口线很久都还没到:而昨天测试部的同事说他们那有台华三的S5120想要配802.1X认证,但只有华为交换机的文档 ...

  8. 华为QUIDWAY系列交换机的console重置

    作者:邓聪聪 华为QUIDWAY系列交换机的console重置 这里以华为QUIDWAY S3700密码清除为例: 各位看官请自行注意,这是两个不同版本设备的重置方法. 一:方法1 首先在电脑上新建一 ...

  9. 华为云测平台服务再升级!华为M5系列平板调测能力正式上线!

    ​​​6月1日,华为M5系列平板设备兼容性测试和远程真机调试功能在华为终端开放实验室正式上线!助力您的产品在大屏适配上快人一步! 华为终端开放实验室DevEco平台现已提供基于华为M5系列平板设备的兼 ...

随机推荐

  1. docker 共享卷

    宿主机与容器共享存储 [root@docker02 ~]# docker run -it -v /var/webroot:/abc 192.168.1.21:5000/busybox # 宿主机文件 ...

  2. MFC 可编辑文本框,MFC控件关联变量总结

    Edit Control控件,默认状态下,按回车会调用OnOK()关闭窗体.解决此bug可以,类视图中单击CMFCApplication3Dlg,下方重写OnOK(),注释掉其中的代码即可. Edit ...

  3. 桥接模式(Bridge)---结构型

    1 基础知识 定义:将抽象部分与它的具体实现部分分离,使得它们都可以独立变化.特征:通过组合的方式建立两个之间的联系而不是继承. 使用场景:抽象和具体实现之间增加更多的灵活性:一个类存在两个(多个)独 ...

  4. 分布式hadoop 架构图

    zk:zookeeper NN:namenode DN:datanode ZF Failover Controller:简称zkfc ,是zk的客户端,只运行在主备的namenode上,主要作用是判断 ...

  5. learning armbian steps(9) ----- armbian 源码分析(四)

    在上一节的分析当中,我们知道是通过对话框来选择到底编译的是哪块板子,基于什么样的配置. 接下来我们来拿一个实例来分析一下具体的案例,我们会选中如下所示的版本 iotx-3 AM335X 1Gb SoC ...

  6. 路由器配置——OSPF协议(1)

    一.实验目的:用OSPF协议使全网互通 二.拓扑图 三.具体步骤配置 (1)R1路由器配置 Router>enableRouter#configure terminalEnter configu ...

  7. MySQL单机安装

    操作系统:CentOS 7 MySQL:5.6 MySQL的卸载 查看MySQL软件 卸载MySQL 查看是否还有 MySQL 软件,有的话继续删除. 安装MySQL 启动MySQL 设置root用户 ...

  8. Leetcode题目49.字母异位词分组(中等)

    题目描述: 给定一个字符串数组,将字母异位词组合在一起.字母异位词指字母相同,但排列不同的字符串. 示例: 输入: ["eat", "tea", "t ...

  9. python排序之冒泡排序

    def sort(list): for i in range(len(list)): for j in range(len(list) - i - 1): if list[j] < list[j ...

  10. Docker搭建ELK分析tomat日志

    最近公司的项目中用到了ELK,正好有时间自己搭建一个学习一下.在实体机或虚拟机中搭建还需要安装软件,使用docker镜像安装是省时省力的,如下是步骤. 1. 下载elasticsearch镜像: #d ...