策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。
策略路由的应用:
1、可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。
2、为QoS服务。使用route-map及策略路由可以根据数据包的特征修改其相关QoS项,进行为QoS服务。
3、负载平衡。使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。
在实际的网络场景中,普通静态或动态路由,已可满足大部分网络场景。但网段和业务一旦复杂起来,普通的路由就难以胜任了,如以下场景:
公司有 网段A,做A业务,需要通过A网关进行通信。同时 又有B网段,做B业务,需要通过B网关进行通信。
如果A,B两个业务,同时都需要访问10.0.0.0/8网段。因普通路由,无法对源地址进行区分与分别路由,此时如果仅用普通路由进行配置,那么 网段A与网段B ,都只能选择一个下一跳网关,造成其中一个业务无法正常开展。
此时就需要使用策略路由,对源IP地址进行匹配,并根据源IP地址分别进行路由。
※华三F100系列防火墙策略路由配置:
acl advanced 3860 ----配置ACL ,用户源IP地址的匹配
rule 5 permit ip source 10.*.*.* 0 rule 10 permit ip source 10.*.*.* 0
rule 15 permit ip source 10.*.*.* 0
rule 20 permit ip source 10.*.*.* 0
.......----配置策略路由规则
policy-based-route management permit node 1 -----management是自定义名称,node 1为序号。permit代表 匹配成功后根据规则进行转发。
if-match acl 3860 ----指定匹配地址规则引用的ACL
apply next-hop 192.168.53.1 direct ----指定匹配的地址的下一跳
apply output-interface Tunnel1 ----指定匹配的地址的出接口----启用规则
----接口下的启用方法
interface GigabitEthernet1/0/4
ip policy-based-route management ----一般启用的接口都在需要策略路由的源地址入接口
----本地启用
ip local policy-based-route management ----local域启用(本地接口地址,环回地址等)
※华为USG6300防火墙策略路由配置方法:
----创建地址组,用于匹配源IP地址
ip address-set lu86-jz type group ---- lu86-jz 为自定义名称
address 0 range 10.1.1.1 10.1.1.10 ----这行配置表示,10.1.1.1-10.1.1.10 之间的所有IP地址----创建地址组,用于匹配需转发的目的地址
ip address-set lu86-gw type group
address 0 10.0.0.0 0.255.255.255 ----address 0为序号,10.0.0.0为目的地址,0.255.255.255为通配符掩码
address 1 172.0.0.0 0.255.255.255
address 2 218.206.83.0 0.0.0.255
address 3 117.156.53.0 0.0.0.255----配置策略路由
policy-based-route ----进入策略路由配置视图
rule name to-jz ----创建条目,to-jz-lu86为自定义名称
description jz ----备注
ingress-interface GigabitEthernet1/0/1 ----指定入接口(源地址入接口,一般为内网接口)
source-address address-set lu86-jz ----指定匹配地址引用的地址组
destination-address address-set lu86-gw ----指定目的地址引用的地址组
action pbr egress-interface Tunnel6 next-hop 192.168.9.2 ----启用该条策略路由规则,并指定egress-interface Tunnel6 出接口,及next-hop 192.168.9.2 下一跳
