策略路由配置示例
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于源地址的策略路由配置示例
组网需求
如图14-1所示,定义策略mypolicy,控制所有从GigabitEthernet0/2接口
接收的TCP报文使用接口GigabitEthernet0/0发送,其他报文仍然按照查
找路由表的方式进行转发:
●5号节点用于匹配ACL 3101规则的报文将被发往接口
GigabitEthernet0/0。
●10号节点用于匹配ACL 3102规则的任何报文不做策略路由处理。
来自GigabitEthernet0/2的报文将依次试图匹配5、10号节点的if-match
子句。如果匹配了permit语句的节点,执行相应的apply子句;如果匹
配了deny语句的节点,拒绝通过该节点的过滤,并且不会进行下一个节
点的测试,退出策略路由处理。
图14-1 基于源地址的策略路由配置组网图
配置步骤
配置基于源地址的策略路由,需要进行如下操作。
步骤1配置ACL规则
# 创建ACL 3101,并定义ACL规则。
[USG3000] acl number 3101
[USG3000-acl-adv-3101] rule permit tcp
[USG3000-acl-adv-3101] quit
# 创建ACL 3102,并定义ACL规则。
[USG3000] acl number 3102
[USG3000-acl-adv-3102] rule permit ip
[USG3000-acl-adv-3102] quit
步骤2配置策略路由的if-match和apply
# 定义5号节点。
[USG3000] route-policy mypolicy permit node 5
# 使匹配ACL 3101的任何TCP报文被发往接口GigabitEthernet 0/0。
[USG3000-route-policy-mypolicy-5] if-match acl 3101
[USG3000-route-policy-mypolicy-5] apply output-interface
GigabitEthernet 0/0
[USG3000-route-policy-mypolicy-5] quit
# 定义10号节点。
[USG3000] route-policy mypolicy deny node 10
# 使匹配ACL3102的报文不做策略路由处理。
[USG3000-route-policy-mypolicy-10] if-match acl 3102
[USG3000-route-policy-mypolicy-10] quit
步骤3应用策略路由
# 在GigabitEthernet 0/2上应用策略mypolicy。
[USG3000] interface GigabitEthernet 0/2
[USG3000-GigabitEthernet0/2] ip policy route-policy mypolicy
----结束
14.4.2 基于报文长度的策略路由配置示例
组网需求
如图14-2所示,在USG3000统一安全网关的GigabitEthernet 0/0接口上
应用IP策略路由lab1。该策略按照以下规则进行路由转发:
●将大小为64~100字节的报文配置150.1.1.2作为下一转发IP地址。
●将大小为101~1000字节的报文配置151.1.1.2作为下一转发IP地
址。
●所有其他长度的报文都按基于目的地址的路由进行转发。
图14-2 基于报文长度的策略路由配置组网图
配置步骤
配置基于报文长度的策略路由,需要进行如下操作。
步骤1配置USG3000统一安全网关接口地址及路由
# 配置GigabitEthernet 0/0的IP地址。
[USG3000] interface GigabitEthernet 0/0
[USG3000-GigabitEthernet0/0] ip address 192.1.1.1 255.255.255.0
[USG3000-GigabitEthernet0/0] quit
# 配置GigabitEthernet 0/1的IP地址。
[USG3000] interface GigabitEthernet 0/1
[USG3000-GigabitEthernet0/1] ip address 150.1.1.1 255.255.255.0
[USG3000-GigabitEthernet0/1] quit
# 配置GigabitEthernet 0/2的IP地址。
[USG3000] interface GigabitEthernet 0/2
[USG3000-GigabitEthernet0/2] ip address 151.1.1.1 255.255.255.0
[USG3000-GigabitEthernet0/2] quit
# 配置RIP。
[USG3000] rip
[USG3000-rip] network 192.1.1.0
[USG3000-rip] network 150.1.1.0
[USG3000-rip] network 151.1.1.0
[USG3000-rip] quit
步骤2配置策略路由
# 配置一个route-policy名为lab1,其节点序列号为10,匹配模式为permit,
并进入Route policy视图。
[USG3000] route-policy lab1 permit node 10
# 配置报文长度在64~100字节之间报文被匹配,并将下一跳设置为
150.1.1.2。
[USG3000-route-policy-lab1-10] if-match packet-length 64 100
[USG3000-route-policy-lab1-10] apply ip-address next-hop 150.1.1.2
[USG3000-route-policy-lab1-10] quit
# 配置一个route-policy名为lab1,其节点序列号为20,匹配模式为permit,
并进入Route policy视图。
[USG3000] route-policy lab1 permit node 20
# 配置报文长度在101~1000字节之间报文被匹配,并将下一跳设置为
151.1.1.2。
[USG3000-route-policy-lab1-20] if-match packet-length 101 1000
[USG3000-route-policy-lab1-20] apply ip-address next-hop 151.1.1.2
[USG3000-route-policy-lab1-20] quit
步骤3在GigabitEthernet 0/0接口上应用策略路由