配置策略路由举例

策略路由
建立配置任务
应用环境
要实现基于类的流量监管或策略路由，需要为定义的流分类配置流量监管或策略路由动作。

前置任务
在配置基于类的流量控制之前，需要完成基于类的匹配规则的配置。

数据准备
在配置基于类的流量控制之前，需要准备以下数据：
∙行为名
∙承诺信息速率、承诺突发尺寸、过度突发尺寸
∙策略路由目标的接口和IP地址
配置匹配规则
背景信息
无
操作步骤
1.执行命令system-view，进入系统视图。

2.执行命令traffic classifier classifier-name，定义类并进入类视图。

3.执行命令if-match acl acl-number，定义ACL匹配规则。

应用策略
背景信息
流量监管是在流量接收域的outbound及流量发送域的inbound方向生效；策略路由是在入接口的outbound方向生效。

流量的入接口所属的安全区域为接收域，出接口所属的安全区域为发送域。

操作步骤
1.执行命令system-view，进入系统视图。

2.执行命令qos policy policy-name，定义策略并进入策略视图。

3.执行命令classifier classifier-name behavior behavior-name，指定类所采用的流
行为。

4.执行命令quit，退回系统视图。

5.如果配置的流行为是流量监管则执行以下操作：
a.执行命令firewall zone zone-name，进入安全域视图。

b.执行命令qos apply policy policy-name { inbound | outbound }，配置关
联策略。

6.如果配置的流行为是策略路由则执行以下操作：
a.执行命令interface interface-type interface-number，进入接口视图。

b.执行命令qos apply policy policy-name outbound，配置关联策略。

检查配置结果
检查流量监管和策略路由配置结果的相关操作如表1所示。

配置策略路由举例
介绍匹配ACL规则的报文由指定出接口发送到下一跳地址的配置举例。

组网需求
如图1所示，接口GigabitEthernet 0/0/1位于Trust区域，接口GigabitEthernet 0/0/0、GigabitEthernet 0/0/2位于Untrust区域。

局域网通过USG2200和Internet连接，定义一条名为mypolicy的策略路由，所有出Trust区域的TCP报文都由接口GigabitEthernet 0/0/0发送到下一跳地址202.1.1.10/24，而其他报文仍然按照查找路由表的方式转发。

图1 策略路由配置组网图
数据规划
策略路由配置举例数据规划如表1所示。

操作步骤
1.配置USG2200的基本数据。

# 配置接口的IP地址。

<USG2200> system-view
[USG2200] interface GigabitEthernet 0/0/0
[USG2200-GigabitEthernet0/0/0] ip address 202.1.1.1 255.255.255.0 [USG2200-GigabitEthernet0/0/0] quit
[USG2200] interface GigabitEthernet 0/0/1
[USG2200-GigabitEthernet0/0/1] ip address 10.1.1.1 255.255.255.0
[USG2200-GigabitEthernet0/0/1] quit
[USG2200] interface GigabitEthernet 0/0/2
[USG2200-GigabitEthernet0/0/2] ip address 1.1.1.1 255.255.255.0
[USG2200-GigabitEthernet0/0/2] quit
# 配置接口加入安全区域。

[USG2200] firewall zone trust
[USG2200-zone-trust] add interface GigabitEthernet 0/0/1
[USG2200-zone-trust] quit
[USG2200] firewall zone untrust
[USG2200-zone-untrust] add interface GigabitEthernet 0/0/0
[USG2200-zone-untrust] add interface GigabitEthernet 0/0/2
[USG2200-zone-untrust] quit
# 在Trust和Untrust域间配置防火墙策略。

[USG2200] policy interzone trust untrust outbound
[USG2200-policy-interzone-trust-untrust-outbound] policy 0
[USG2200-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0
0.0.0.255
[USG2200-policy-interzone-trust-untrust-outbound-0] action permit
[USG2200-policy-interzone-trust-untrust-outbound-0] return
# 配置缺省路由，假设Internet上与USG2200的接口GigabitEthernet 0/0/2相连路由器的接口IP地址为1.1.1.2/24。

<USG2200> system-view
[USG2200] ip route-static 0.0.0.0 0 1.1.1.2 24
2.定义类class1，在class1类中定义一组流分类规则匹配ACL3001。

3.[USG2200] acl number 3001
4.[USG2200-acl-adv-3001] rule permit tcp
5.[USG2200-acl-adv-3001] quit
6.[USG2200] traffic classifier class1
7.[USG2200-classifier-class1] if-match acl 3001
[USG2200-classifier-class1] quit
8.定义流行为behavior1，在流行为behavior1中指定下一跳为202.1.1.10，出接口为
GigabitEthernet 0/0/0。

9.[USG2200] traffic behavior behavior1
10.[USG2200-behavior-behavior1] remark ip-nexthop 202.1.1.10 output-interface
GigabitEthernet 0/0/0
[USG2200-behavior-behavior1] quit
11.定义并应用策略。

# 定义策略mypolicy，为类class1指定对应的行为是behavior1。

[USG2200] qos policy mypolicy
[USG2200-qospolicy-mypolicy] classifier class1 behavior behavior1
[USG2200-qospolicy-mypolicy] quit
# 在Trust区域的出方向应用策略mypolicy。

[USG2200] firewall zone trust
[USG2200-zone-trust] qos apply policy mypolicy outbound
注：本例中的ACL3001是基于应用层协议，也可基于源网络或源地址。

配置VLAN
背景信息
无
操作步骤
1.执行命令system-view，进入系统视图。

2.执行命令vlan vlan-id，创建VLAN并进入VLAN视图。

创建VLAN时，如果该VLAN已存在，则直接进入该VLAN视图。

3.（可选）执行命令binding vpn-instance vpn-instance-name，将VLAN和VPN实例绑
定。

4.（可选）执行命令description vlan-description，配置VLAN的描述信息。

5.执行命令port interface interface-type interface-number，配置VLAN包含的端口。

6.执行命令quit，返回系统视图。

7.执行命令interface interface-type interface-number，进入二层以太网接口视图。

8.执行命令port link-type { access | trunk }，配置端口类型。

∙执行命令port access vlan vlan-id，配置该access端口所属VLAN，只有端口类型为access时有效。

∙执行命令port trunk{ pvid vlan-id| permit vlan{ vlan-id1 [ to vlan-id2] } & <1–10> }，配置该trunk端口允许通过的VLAN信息及PVID。

配置通过VLANIF实现VLAN间通信
背景信息
创建完VLAN后，可以为VLAN创建VLANIF（VLAN接口)。

VLANIF在功能上与普通三层物理接口
基本相同，可实现配置IP地址等多种三层特性，实现不同VLAN间的数据通信。

操作步骤
1.执行命令system-view，进入系统视图。

2.执行命令interface vlanif vlan-id，创建VLAN接口，并进入VLAN接口视图。

如果
VLANIF已经存在则直接进入VLAN接口视图。

创建VLAN接口时，相关联的VLAN必须已经存在。

3.执行命令ip address ip-address { mask | mask-length } [ sub ]，配置VLAN接口
的IP地址。

不同VLAN接口的IP地址应该在不同的网段，这样不同VLAN的用户之间才具有可达的路由。

配置举例
组网需求
如图1所示，USG的VLAN2包含Ethernet 1/0/0和Ethernet 1/0/1；VLAN3包含Ethernet 1/0/2和Ethernet 1/0/3。

要求VLAN2内的主机和VLAN3内的主机之间可以相互通信。

图1 VLAN组网图
配置思路
采用如下的思路配置基于端口的VLAN：
1.配置VLAN，并加入接口。

2.配置VLANIF及路由。

3.配置安全域及域间包过滤规则。

4.配置主机网关。

数据准备
为完成此配置举例，需准备以下数据：
∙接口所属VLAN
∙VLANIF接口地址
操作步骤
1.配置VLAN，并加入接口。

# 进入系统视图。

<USG> system-view
# 创建VLAN2。

[USG] vlan 2
# 在VLAN2中加入端口Ethernet 1/0/0。

[USG-vlan-2] port interface Ethernet 1/0/0
# 在VLAN2中加入端口Ethernet 1/0/1。

[USG-vlan-2] port interface Ethernet 1/0/1
# 退回到系统视图。

[USG-vlan-2] quit
# 创建VLAN3。

[USG] vlan 3
# 在VLAN3中加入端口Ethernet 1/0/2。

[USG-vlan-3] port interface Ethernet 1/0/2
# 在VLAN3中加入端口Ethernet 1/0/3。

[USG-vlan-3] port interface Ethernet 1/0/3
# 退回到系统视图。

[USG-vlan-3] quit
2.配置VLANIF接口。

# 创建并进入VLANIF2接口。

[USG] interface vlanif 2
# 配置VLANIF2的IP地址。

[USG-Vlanif2] ip address 120.1.1.1 24
# 退回到系统视图。

[USG-Vlanif2] quit
# 创建并进入VLANIF3接口。

[USG] interface vlanif 3
# 配置VLANIF3的IP地址。

[USG-Vlanif3] ip address 130.1.1.1 24
# 退回到系统视图。

[USG-Vlanif3] quit
3.配置接口加入安全域并配置域间包过滤规则。

[USGA] firewall zone trust
[USGA-zone-trust] add interface vlanif2
[USGA-zone-trust] add interface vlanif3
[USGA-zone-trust] quit。