Eudemon500 策略路由配置

第1章策略路由配置
1.1 策略路由简介
与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由是一种依
据用户制定的策略进行路由选择的机制，可应用于多ISP出口流量分担等目
的。

本系统的策略路由支持基于到达报文的源地址、端口号等信息，灵活地
指定路由。

1.2 策略路由的配置
Eudemon500/1000的策略路由是在安全区域上实现的。

通过traffic
classifier、traffic behavior、qos policy、qos apply policy等命令支持基
于域的策略流量分担。

策略路由配置包括：
●定义ACL规则
●定义类和流分类规则
●定义策略路由动作
●定义策略
●使用策略
此外还可以在流行为中配置流量监管CAR（Committed Access Rate）特性。

1.2.1 定义ACL规则
在系统视图下，使用acl命令定义访问控制列表，并进入ACL视图，在该ACL
视图中使用rule命令定义一组规则。

具体请参考本手册“安全防范”部分。

1.2.2 定义类和流分类规则
1. 定义类并进入类视图
在系统视图下，使用traffic classifier命令定义类，并进入类视图。

表1-1定义一个类并进入类视图
2. 定义流分类规则
在类视图下定义一组流分类规则。

表1-2定义或删除ACL匹配规则
1.2.3 定义策略路由动作
1. 定义流行为并进入流行为视图
在系统视图下，使用traffic behavior命令定义流的动作，并进入流行为视图。

表1-3定义一个流行为并进入流行为视图
behavior-name：流行为名，不允许为系统预定义流行为。

2. 配置重新指定下一跳路由
在流行为中使用remark ip-nexthop命令定义策略路由动作。

请在流行为视图下进行下列配置。

表1-4配置重新指定下一跳路由
1.2.4 定义策略
1. 定义策略并进入策略视图
在系统视图下，使用qos policy命令定义策略并进入策略视图。

表1-5定义策略并进入策略视图
如果某安全区域应用了该策略，则不允许删除该策略，需要在应用的安全区
域上取消对该策略的应用，然后再使用undo qos policy删除该策略。

2. 指定流行为
在策略视图下为使用的类指定对应的流行为。

表1-6在策略中为类指定流行为
tcl-name：类名，必须是已经定义的类，可以是系统定义或用户定义类。

behavior-name：必须是已定义的行为名，可以是系统定义或用户定义行为。

1.2.5 使用策略
在域视图下使用qos apply policy 命令使能策略路由。

qos apply policy命
令是将一个策略映射到具体的安全区域。

一个策略映射可以在多个安全区域
上得到应用。

请在安全区域视图下进行下列配置。

表1-7将安全区域与所设置的策略相关联
1.2.6 在流行为中配置流量监管特性
在安全区域的入方向或出方向配置CAR，可以做到对这个方向上的流量限制，
与ACL配合起来应用，增强了灵活性。

针对某些源、目的地址或端口做流量
限制，能够做到对于不同地址、端口和协议的报文流量做不同的处理。

配置
简单。

请在行为视图下进行下列配置。

表1-8配置使用或取消流量监管
1.3 策略路由典型配置举例
1. 组网需求
局域网通过Eudemon1000防火墙和Internet连接，定义一条名为mypolicy
的策略路由，所有出trust域的TCP报文都由接口Ethernet1/0/0发送到
202.1.1.10，而其它报文仍然按照查找路由表的方式转发。

2. 组网图
图1-1策略路由典型配置组网图
3. 配置步骤
# 在系统视图下定义访问控制列表3001，并进入ACL视图。

[Eudemon] acl number 3001
# 在该ACL视图中定义允许TCP报文通过。

[Eudemon-acl-adv-3001] rule permit tcp
[Eudemon-acl-adv-3001] quit
# 在系统视图下定义类class1，并进入类视图。

[Eudemon] traffic classifier class1
# 在class1类中定义一组流分类规则匹配ACL3001。

[Eudemon-classifier-class1] if-match acl 3001
[Eudemon-classifier-class1] quit
# 在系统视图下定义流的动作behavior1，并进入流行为视图。

[Eudemon] traffic behavior behavior1
# 在流行为behavior1中指定到下一跳202.1.1.10的出接口为Ethernet 1/0/0。

[Eudemon-behavior-behavior1] remark ip-nexthop 202.1.1.10 output-interface Ethernet 1/0/0
[Eudemon-behavior-behavior1] quit
# 在系统视图下定义策略mypolicy。

[Eudemon] qos policy mypolicy
# 在策略视图下为使用的类class1指定对应的流行为behavior1。

[Eudemon-qospolicy-mypolicy] classifier class1 behavior behavior1 [Eudemon-qospolicy-mypolicy] quit
# 进入域视图。

[Eudemon] firewall zone trust
# 在域视图下在trust域的出方向使能策略mypolicy。

[Eudemon-zone-trust] qos apply policy mypolicy outbound。