基于源地址的策略路由

一：PBR的功能介绍1:PBR可以用于路由重新分配。

基于PBR我们可以在重新分配路由时有选择的重分配。

(当然还有其它手段passive-interface，distribute-list，还有route-map实现)。

一般来说,PBR是通过路由映射来配置的(route-map)。

2:影响下一跳。

PBR在大规模边界网关协议BGP的运行中，是一个最必不可少的工具。

传统的路由策略来自由路由协议计算出来的路由表。

路由器只能根据报文的目的地址进行数据转发，不能提供有差别的服务。

基于策略的路由可以基于数据包的源地址，甚至是源地址,目的地址，源端口，目的端口，四层协议以及报文大小，应用或者其它策略来选择转发路径。

3:设置优先级。

PBR还可以给予外出数据包设置IP优先级位，这样方便了QOS策略。

网络管理员可以根据实际工作的需要，灵活设置PBR机制，实现比传统路由协议更强的路由控制能力。

4:负载平衡。

使用PBR策略路由设置数据包的行为，比如下一跳，出接口等，这样在存在多条链路的情况下，可以根据数据包的应用不同而使用不同的链路，进而提供高效的负载平衡能力。

二：PBR的特点：PBR影响的只是本地的行为，不会干预其它路由器的选路行为，当可以通过设置优先级位来用于其它路由器配置策略。

当路由器进行数据转发时，路由器根据预先设置的策略对数据包进行匹配，如果匹配到一条PBR，就根据该条策略指定的路由进行转发；如果没有匹配到任何策略，就根据路由表的内容对报文进行转发。

常用的PBR配置命令如下所示：route-map map-tag { permit |deny} [sequence number] [定义PBR] match ip address acl-id[匹配ACL-id定义的流量]match length min-byte max-byte[匹配报文大小为min-byte到max-byte 大小的流量]set ip next-hop ip-address [设置数据包下一条地址]set ip default next-hop ip-address [设置数据包下一条地址]set ip precedence [number|name] [设置IP数据包优先级]set interface slot/number[设置出接口]set default interface slot/number [设置出接口]ip policy route-map map-tag [在接口下应用PBR]ip local policy route-map map-tag [对本地路由器产生的数据包执行PBR]说明：这里要注意set ip next-hop与set ip default next-hop、set interface 与set default interface这两对语句的区别，不含default的语句，是不查询路由表就转发数据包到下一跳IP或接口，而含有default的语句是先查询路由表，在找不到精确匹配的pbr策略路由条目时，才转发数据包到default语句指定的下一跳IP或接口。

一、基于dis‎tribu‎te的路由‎过滤1.定义acl‎ (conf)#acces‎s-list 1 deny 192.168.1.0 0.0.0.255 (conf)#acces‎s-list 1 permi‎t any2.进入路由重‎发布(conf)#route‎r rip (conf-route‎r)#distr‎ibute‎-list 1 out ospf 1 在rip协‎议下，配置dis‎tribu‎te列表，引用acl‎ 1，过滤从os‎p f 1重发布到‎r ip的网‎络路由。

也就是说，通过该路由‎器进行os‎p f的重发‎布到rip‎网络中，过滤acl‎ 1的数据。

在该例中的‎意思就是o‎spf中如‎果有数据属‎于192.168.1.0/24，那么在ri‎p网络中无‎法学习到这‎些路由。

由于重发布‎的命令是r‎e d ist‎r ibut‎e，所以这里可‎以理解为发‎布到rip‎网络中。

=============================================================================== ============================================二、基于rou‎te-map的路‎由过滤1.定义acl‎ (conf)#acces‎s-list 1 deny 192.168.1.0 0.0.0.255 (conf)#acces ‎s-list 1 permi‎t any2.定义rou‎te-map (conf)# route‎-map ospf-rip permi‎t 10 其中osp‎f-rip为r‎o ute-map的名‎称，10为序列‎号，下述条件如‎果成立的话‎动作为pe‎r mit。

注意：route‎-map和a‎c l相同的‎是，在尾部都有‎隐藏的默认‎拒绝所有的‎条件。

3.匹配条件(confi‎g-route‎-map)#match‎ ip addre‎ss 1 查询acl‎ 1是否满足‎4.进入路由重‎发布(conf)#route‎r rip (conf-route‎r)#redis‎tribu‎te ospf 1 metri‎c 4 route‎-map ospf-rip 在路由重发‎布的时候，对rout‎e-map的o‎spf-rip条目‎进行匹配过‎滤。

基于源IP地址的策略路由的研究与实现作者：朱俊黄守明来源：《电脑知识与技术》2013年第04期摘要：文章介绍了策略路由的工作机制，指出了策略路由在复杂网络下的应用具备了节省费用，能为不同的数据流提供不同的服务质量，提高网络的利用率，平衡网络负载，方便管理员进行管理等诸多优点。

并介绍了基于源IP地址的策略路由的配置方法，对配置进行了测试验证。

关键词：策略路由；网络安全；路由表；负载均衡；服务质量中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）04-0764-02随着社会的发展，网络应用变得非常广泛，网络规模和功能也也在扩大，为了方便管理网络和提高安全性，常常划分逻辑子网，普通路由常用于不同网络间通信，而对于更复杂的路由需求，往往需要通过策略路由来实现。

1 策略路由路由器的工作过程是对要转发的数据进行分析，然后和路由表中的记录进行比对，从而决定数据从哪个端口进行发送，这种工作过程很大程度依赖路由表，在路由表中的记录中，将会包含目的网络等相关信息。

策略路由的工作机制不同，它不仅可以根据传统方式中的目的网络信息来选择路由，还要以根据源IP地址、目的IP地址、应用、报文大小、网络协议等来选择合适的路由。

网络管理员可以根据当前网络实际情况，来指定策略路由。

策略路由使用灵活，更能适合当前复杂网络的需求。

策略路由的应用能够节省费用，还能为不同的数据流提供不同的服务质量，从而提高网络的利用率，平衡网络负载。

2 具体实现2.1 网络环境网络拓扑结构图如下图：图1 网络拓扑结构图路由器接口信息如表1。

表1 路由器接口信息[＼&R1＼&R2＼&R3＼&F0/0＼&192.168.3.1＼&192.168.3.2＼&192.168.2.2＼&F0/3＼&192.168.2.1＼&＼&192.168.4.1＼&Loopback＼&192.168.1.1＼&＼&＼&S0/2＼&＼&＼&192.168.5.2＼&S0/3＼&＼&192.168.5.1＼&＼&]2.2 实际需求在R3中使用策略路由，源地址为192.168.4.10的数据经路由器存储转发后，通过IP为192.168.2.1的端口，而源地址为192.168.4.20的数据经路由器存储转发后，通过IP为192.168.5.1的端口。

route-map配置案例route-map配置是网络设备中常用的一种策略路由配置方式，通过route-map可以对路由进行控制和过滤，实现灵活的路由策略。

下面是一些route-map配置案例，旨在帮助读者更好地理解和应用route-map。

1. 配置案例一：基于访问控制列表（ACL）的路由策略控制route-map ACL-POLICY permit 10match ip address ACL-1set metric 100route-map ACL-POLICY permit 20match ip address ACL-2set metric 200route-map ACL-POLICY deny 30set metric 500route-map ACL-POLICY permit 40set metric 300route-map ACL-POLICY permit 50set metric 400这个配置案例中，通过route-map ACL-POLICY对路由进行了访问控制列表ACL-1和ACL-2的匹配，根据匹配结果设置不同的路由度量值（metric）。

ACL-1匹配的路由度量值设置为100，ACL-2匹配的路由度量值设置为200，未匹配的路由度量值设置为500，最后两条permit语句设置了未匹配的路由度量值为300和400。

2. 配置案例二：基于访问控制列表（ACL）和策略路由的路由策略控制route-map ACL-POLICY permit 10match ip address ACL-1set ip next-hop 10.0.0.1route-map ACL-POLICY permit 20match ip address ACL-2set ip next-hop 10.0.0.2route-map ACL-POLICY deny 30set ip next-hop 10.0.0.3route-map ACL-POLICY permit 40set ip next-hop 10.0.0.4route-map ACL-POLICY permit 50set ip next-hop 10.0.0.5这个配置案例中，通过route-map ACL-POLICY对路由进行了访问控制列表ACL-1和ACL-2的匹配，根据匹配结果设置不同的下一跳地址（next-hop）。

防火墙基于策略路由的配置技巧防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

那么防火墙基于策略路由的配置技巧方法有哪些呢?具体介绍问题描述：您可以定义自己的规则来进行数据包的路由而不仅仅由目的地地址所决定。

在这里您可以学到怎么使用基于策略路由的办法来解决这一问题。

在具体的应用中，基于策略的路由有：☆ 基于源IP地址的策略路由☆ 基于数据包大小的策略路由☆ 基于应用的策略路由☆ 通过缺省路由平衡负载这里，讲述了第一种情况的路由策略举例:在这个例子中，防火墙的作用是：把10.0.0.0/8内部网地址翻译成可路由的172.16.255.0/24子网地址。

下面的防火墙配置是为了完整性而加进去的，它不是策略路由配置所必需的。

在这里的防火墙可以被其它类似的产品代替，如PIX或其它类似防火墙设备。

这里的防火墙的配置如下：access-list 1 permit 10.0.0.0 0.255.255.255ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24ip nat inside source list 1 pool net-10interface Ethernet0ip address 172.16.20.2 255.255.255.0ip nat outsideinterface Ethernet1ip address 172.16.39.2 255.255.255.0ip nat insiderouter eigrp 1network 172.16.0.0default-metric 10000 100 255 1 1500ip route 172.16.255.0 255.255.255.0 Null0end在我们的例子中，Cisco WAN路由器上运行策略路由来保证从10.0.0.0/8网络来的IP数据包被发送到防火墙去。

H3C路由器怎么设置基于源地址的策略路由基于源地址的策略路由是一种根据数据包源地址的不同来选择不同转发路径的技术。

通过设定优先级和条件，将不同的源地址组合到不同的策略路由中，从而实现流量的灵活控制与管理。

这种技术可以用来实现各种场景的网络流量控制，例如将特定的源地址流量指定到指定的出口链路。

二、创建策略路由使用H3C路由器配置基于源地址的策略路由的第一步是创建策略路由。

创建策略路由需要指定要匹配的流量条件和对应的转发路径。

下面是创建策略路由的步骤：1. 登录到H3C路由器的命令行界面或Web管理界面，进入系统配置模式。

2.创建策略路由的路由策略，并进入策略路由配置模式：```[Router] route-policy policy1[Router-route-policy-policy1]```3.配置策略路由的流量匹配条件，可以根据源地址进行匹配：```[Router-route-policy-policy1] match ip source-address 1```这里的1表示要匹配的源地址的编号，可以根据实际需要进行调整。

4.配置策略路由的转发路径。

这里需要指定转发的接口和下一跳地址：```[Router-route-policy-policy1] apply interfaceGigabitEthernet0/0/1 ip-address 10.0.0.1```这里的GigabitEthernet0/0/1是需要转发的接口，10.0.0.1是对应的下一跳地址。

5.退出策略路由配置模式。

```[Router-route-policy-policy1] quit```6.保存配置并退出系统配置模式。

```[Router] save[Router] quit```三、应用策略路由策略路由配置完成后，需要将其应用到实际的转发过程中。

应用策略路由需要指定要应用的接口和方向。

下面是应用策略路由的步骤：1. 登录到H3C路由器的命令行界面或Web管理界面，进入系统配置模式。

网络安全策略中防火墙技术的应用【摘要】防火墙一种位于内部网络与外部网络之间的网络安全系统，也是用户网络和互联网相连的标准安全隔离设备。

本文通过介绍防火墙策略路由与nat技术，重点阐述了基于源地址的策略路由的实现形式，并总结了策略路由与路由策略的区别与策略路由的实际应用情况，为类似研究工程提供借鉴的意义。

【关键词】防火墙技术；策略路由；源地址；网络安全1.引言随着互联网的快速发展，网络技术得到不断的普及，非法存取、病毒、网络资源非法占有和黑客攻击等威胁网络安全运行的不安全因素也越来越多，这对网络安全技术的要求也有所提高。

防火墙技术作为网络安全运行的一项重要技术，指的是在内网和外网之间、专用网和公共网之间的界面上建立一道安全屏障，以控制不同信任程度区域间数据流的传输。

防火墙自身具有较强的抗攻击免疫力，所有网络数据流需要符合安全策略数据流的标准才能通过防火墙，这在很大程度上提高了网络安全运行的可靠性，避免了网络运行遭受一些不安全因素的影响。

本文通过探讨网络安全策略中防火墙技术的应用，结合网络地址转换，有效提高了网络出口资源的利用率，保护了校园网络运行的安全。

2.策略路由与nat技术2.1策略路由防火墙的策略路由优先级高于静态路由和缺省路由，低于直连路由。

策略路由可以在指定位置上灵活修改，添加和删除。

一个接口应用策略路由后，将根据预先设定的策略对该接口接收到的所有数据包进行匹配，如果匹配到一条策略，就按照策略路由进行转发；如果没有匹配到任何策略，就按照路由表中转发路径来进行路由。

策略路由分为三种：源地址路由、目的地址路由和智能均衡的策略方式。

源地址路由根据路由源地址来进行策略，目的地址路由根据路由的目的地址来实施策略。

智能均衡策略，是策略路由的发展方向。

2.2 natnat有三种实现方式：静态转换、动态转换和端口多路复用。

静态地址转换为每一个内部地址映射一个唯一的全局地址，内部地址与全局地址是一对一的，一成不变的。

cisco双线双路网络路由器怎么设置思科cisco是全球领先且顶尖的通讯厂商，出产的路由器功能也是很出色的，那么你知道cisco双线双路网络路由器怎么设置吗?下面是店铺整理的一些关于cisco双线双路网络路由器怎么设置的相关资料，供你参考。

cisco双线双路网络路由器设置一，路由策略的优势：经常关注我们IT168网络频道的读者都知道之前我们介绍过如何从本地计算机的路由信息入手解决这种双线双路的实际网络问题，然而该方法只限于在单台计算机上操作，如果企业的员工计算机非常多，一台一台机器的设置肯定不太现实，这时我们就可以通过路由策略实现对企业网络路由器设置出口的统筹管理，将出口网络路由器设置合理的路由策略，从而让网络数据包可以根据不同需求转发到不同的线路。

总体说来路由策略各个命令只需要我们在企业连接网络外部出口的网络路由器设置即可，该路由器实际连接的是双线双路，即一个接口连接通往中国网通的网络，一个接口连接抵达中国电信的网络。

cisco双线双路网络路由器设置二，路由策略命令简单讲解：路由策略的意义在于他可以让路由器根据一定的规则选择下一跳路由信息，这样就可以自动的根据接收来的网络数据包的基本信息，判断其应该按照哪个路由表中的信息进行转发了。

通过路由策略我们可以为一台路由器指定多个下一跳转发路由地址。

下面我们来看一段路由策略指令，然后根据其后面的指示信息来了解他的意义。

(1)路由策略基本信息的设置：route-map src80 permit 10//建立一个策略路由，名字为src80，序号为10，规则为容许。

match ip address 151//设置match满足条件，意思是只有满足ip address符合访问控制列表151中规定的才进行后面的set操作，否则直接跳过。

set ip next-hop 10.91.31.254//满足上面条件的话就将这些数据的下一跳路由信息修改为10.91.31.254。

网络拓扑：设备接口IP情况：需求一：1、使用H3C Lab模拟器或者H3C LITO模拟器，搭建如上网络拓扑，配置接口IP地址。

2、Sw1作为企业内网出口设备，实现内网互联，vlan及实现双出口NAPT，双出口默认路由（备份作用）。

3、实现Area 0区域内的公网路由器互联。

需求二：sw1 实现基于源地址的策略路由，内网1走联通，内网2走电信，使用RT8的loopback 0地址作为测试地址。

同时配置NQA，电信线路或者联通线路断掉了，依然不影响上网业务。

需求三：删除原来的基于源地址的策略路由配置，实现基于目的地址的策略路由，访问7.7.7.7走联通线路，访问8.8.8.8走电信线路。

电信线路或者联通线路断掉了，依然不影响访问7.7.7.7和8.8.8.8。

注意：使用在h3c路由器使用tracert命令测试实际效果，需要开启路由跟踪。

命令：ip redirects enableip ttl-expires enableip unreachables enable需求一的配置：Sw1:System-veiwvlan 10vlan 20vlan 30vlan 40int vlan 10ip address 192.168.1.1 24int vlan 20ip address 192.168.2.1 24int vlan 30ip address 1.1.1.1 24int vlan 40ip address 2.2.2.1 24quitint et0/4/0port access vlan 30int et0/4/1port access vlan 40int et0/4/2port access vlan 10int et0/4/3port access vlan 20quitip redirects enableip ttl-expires enableip unreachables enableip route-static 0.0.0.0 0.0.0.0 Vlan-interface30 1.1.1.2 ip route-static 0.0.0.0 0.0.0.0 Vlan-interface40 2.2.2.2 nat address-group 0 1.1.1.1 1.1.1.1nat address-group 1 2.2.2.1 2.2.2.1int vlan 30nat outbound address-group 0int vlan 40nat outbound address-group 1quitSystem-viewint et0/0/0ip address 3.3.3.2 24int et0/0/1ip address 5.5.5.1 24quitRT2int et0/0/0ip address 4.4.4.2 24int et0/0/1ip address 6.6.6.1 24quitRT3int et0/0/0ip address 1.1.1.2 24int et0/0/1ip address 3.3.3.1 24quitRT4int et0/0/0ip address 2.2.2.2 24int et0/0/1ip address 4.4.4.1 24quitRT5int et0/0/0ip address 192.168.1.10 24quitip route-static 0.0.0.0 0.0.0.0 Ethernet0/0/0 192.168.1.1RT6int et0/0/0ip address 192.168.2.10 24quitip route-static 0.0.0.0 0.0.0.0 Ethernet0/0/0 192.168.2.1int et0/0/0ip address 5.5.5.2 24int et0/0/1ip address 6.6.6.2 24int loopback 0ip address 8.8.8.8 32int loopback 1ip address 7.7.7.7 32quitOSPF的配置：RT2/3/4/8ospf 10area 0network 0.0.0.0 0.0.0.0quitquit需求二的配置：1、首先配置NQA，NQA用于检测链路可达性，实施策略路由，当策略路由有效的时候，执行转发的优先级绝对比其他路由协议高（无视直连路由），因此假设电信线路宕掉了，策略路由依然生效，这样会导致电信线路不通了，内网部分用户访问不了外网了，即便设置了默认路由作为备份路由也无济于事，因此需要一种机制来辅助策略路由是否有效，NQA就是用于检测线路的工具，它监视策略路由可达性，如果可达，策略路由依然生效，如果不可达了，那么它会让该策略路由失效，这个时候备份的默认路由就生效了，数据从联通出去，依然不影响上网业务。

策略路由格式全文共四篇示例，供读者参考第一篇示例：策略路由（Policy-Based Routing）是一种网络路由技术，它允许管理员基于特定的规则或策略来选择路由路径。

传统的路由是基于最佳路径或最短路径算法来选择数据包的传输路径，而策略路由允许管理员根据不同的需求和条件来动态地选择数据包的传输路径。

策略路由格式是指策略路由配置文件中规定的格式和语法，通过定义特定的条件和动作来决定路由选择。

在网络中，不同的数据包可能需要根据不同的条件来选择不同的路径传输。

基于源IP地址、目的IP地址、应用类型、流量大小等条件来进行路由选择。

策略路由可以根据这些条件来确定数据包的传输路径，从而实现灵活的网络流量控制和优化。

策略路由格式通常由几个部分组成：匹配条件、策略动作、下一跳信息等。

匹配条件是指确定路由选择的条件，通常是一组规则或表达式，用于匹配数据包的不同属性。

策略动作是指根据匹配条件确定的路由选择动作，可以包括直接转发、丢弃、重定向等。

下一跳信息是指确定数据包传输路径的下一跳路由设备或地址。

策略路由格式的具体语法和规则可能会因不同的路由器或设备而有所不同。

一般来说，策略路由配置文件可以通过命令行或图形界面来进行配置。

管理员可以根据实际需求和网络拓扑来设计和配置策略路由规则，以实现网络流量的优化和控制。

策略路由的优点在于它能够根据具体需求和条件灵活地选择数据包的传输路径，从而实现网络流量的优化和控制。

可以根据业务需求将特定流量优先经过高速链路传输，提高传输效率；也可以根据流量大小将大流量分流到多条路径上，避免网络拥堵。

策略路由也存在一些挑战和限制。

策略路由的配置相对复杂，需要管理员对网络拓扑和业务需求有深入了解才能进行合理配置。

过多的策略路由规则可能会导致路由器性能下降或配置异常，影响网络的稳定性和可靠性。

在实际应用中，管理员需要根据网络规模、业务需求和性能要求来合理设计和配置策略路由规则。

通过合理配置策略路由，可以实现网络流量的灵活控制和优化，提高网络性能和用户体验。

思科Cisco策略路由（policyroute）详细介绍注:PBR以前是CISCO⽤来丢弃报⽂的⼀个主要⼿段。

⽐如：设置set interface null 0，按CISCO说法这样会⽐ACL的deny要节省⼀些开销。

这⾥我提醒：interface null 0no ip unreachable　//加⼊这个命令这样避免因为丢弃⼤量的报⽂⽽导致很多ICMP的不可达消息返回。

三层设备在转发数据包时⼀般都基于数据包的⽬的地址（⽬的⽹络进⾏转发），那么策略路由有什么特点呢？1、可以不仅仅依据⽬的地址转发数据包，它可以基于源地址、数据应⽤、数据包长度等。

这样转发数据包更灵活。

2、为QoS服务。

使⽤route-map及策略路由可以根据数据包的特征修改其相关QoS项，进⾏为QoS服务。

3、负载平衡。

使⽤策略路由可以设置数据包的⾏为，⽐如下⼀跳、下⼀接⼝等，这样在存在多条链路的情况下，可以根据数据包的应⽤不同⽽使⽤不同的链路，进⽽提供⾼效的负载平衡能⼒。

策略路由影响的只是本地的⾏为，所以可能会引起“不对称路由”形式的流量。

⽐如⼀个单位有两条上⾏链路A与B，该单位想把所有HTTP流量分担到A 链路，FTP流量分担到Ｂ链路，这是没有问题的，但在其上⾏设备上，⽆法保证下⾏的HTTP流量分担到Ａ链路，FTP流量分担到Ｂ链路。

策略路由⼀般针对的是接⼝⼊(in)⽅向的数据包，但也可在启⽤相关配置的情况下对本地所发出的数据包也进⾏策略路由。

本⽂就策略路由的以下四个⽅⾯做相关讲解：１、启⽤策略路由２、启⽤Fast-Switched PBR３、启⽤Local PBR４、启⽤CEF-Switched PBR启⽤策略路由：开始配置route-map。

使⽤route-map map-tag [permit | deny] [sequence-number]进⼊route-map的配置模式。

使⽤match语句定义感兴趣的流量，如果不定义则指全部流量。

策略路由的配置详解和实例Routemap和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中.策略路由(policyroute)实际上是复杂的静态路由,静态路由是基于数据包的目标地址并转发到指定的下一跳路由器,策略路由还利用和扩展IPACL链接,这样就可以提供更多功能的过滤和分类。

策略路由配置实例：ROUTEA:Verion11.2Noerviceudp-mall-erverNoervicetcp-mall-erverHotnamerouterAInterfaceethernet0Ipaddre192.1.1.1255.255.255.0econdaryIpaddre192.1.1.2255.255.255.0econdaryIpaddre192.1.1.3255.255.255.0econdaryIpaddre192.1.1.10255.255.255.0Ippolicyroute-maplab1//策略路由应用于E0口interfaceerial0ipaddr150.1.1.1255.255.255.0interfaceerial1ipaddr151.1.1.1255.255.255.0routerripnetwork192.1.1.0network150.1.0.0network151.1.0.0iplocalpolicyroute-maplab1//使路由器策略路由本地产生报文noipclaleacce-lit1permit192.1.1.1acce-lit2permit192.1.1.2route-maplab1permit10//定义策略路由图名称：LAB1，10为序号，用来标明被匹配的路由顺序。

Matchipaddre1//匹配地址为访问列表1Setinterfaceerial0//匹配下一跳为S0Route-maplab1permit20Matchipaddre2Setinterfaceerial1Linecon0Lineau某0Linevty04LoginEnd路由器B为标准配置略。

基于源地址的策略路由配置示例组网需求如图14-1所示，定义策略mypolicy，控制所有从GigabitEthernet0/2接口接收的TCP报文使用接口GigabitEthernet0/0发送，其他报文仍然按照查找路由表的方式进行转发：●5号节点用于匹配ACL 3101规则的报文将被发往接口GigabitEthernet0/0。

●10号节点用于匹配ACL 3102规则的任何报文不做策略路由处理。

来自GigabitEthernet0/2的报文将依次试图匹配5、10号节点的if-match子句。

如果匹配了permit语句的节点，执行相应的apply子句；如果匹配了deny语句的节点，拒绝通过该节点的过滤，并且不会进行下一个节点的测试，退出策略路由处理。

图14-1 基于源地址的策略路由配置组网图配置步骤配置基于源地址的策略路由，需要进行如下操作。

步骤1配置ACL规则# 创建ACL 3101，并定义ACL规则。

<USG3000> system-view[USG3000] acl number 3101[USG3000-acl-adv-3101] rule permit tcp[USG3000-acl-adv-3101] quit# 创建ACL 3102，并定义ACL规则。

[USG3000] acl number 3102[USG3000-acl-adv-3102] rule permit ip[USG3000-acl-adv-3102] quit步骤2配置策略路由的if-match和apply# 定义5号节点。

[USG3000] route-policy mypolicy permit node 5# 使匹配ACL 3101的任何TCP报文被发往接口GigabitEthernet 0/0。

[USG3000-route-policy-mypolicy-5] if-match acl 3101[USG3000-route-policy-mypolicy-5] apply output-interfaceGigabitEthernet 0/0[USG3000-route-policy-mypolicy-5] quit# 定义10号节点。

ROS配置指南一．概述1．RouerOS 宽带接入服务器的网络接口类型2．RouerOS 宽带接入服务器具有以下网络功能二．基本的配置管理系统的缺省帐号登录方式命令行配置的基本操作远程管理-权限管理日志管理系统时间设置系统热启动三．物理接口的配置管理四．查看当前配置查看全部配置查看子项配置五. IP 参数配置路径功能配置IP 地址及路由配置Firewall配置IP Service，限定远程管理RouerOS 的地址和方式配置Hotspot（WEB 认证）配置IP Pool启用NAT 后的策略路由配置六．配置ppp 参数配置PPP 模板配置Radius-client七．PPPoE 配置八．HOTSPOT 配置九．VLAN 配置十．VPN 配置PPTP VPNEOIP VPN十一．DHCP 配置DHCP ServerMAC 地址(及IP 地址)与端口绑定十二．防火墙配置防“冲击波”病毒十三. 配置文件的备份与恢复显示文件系统备份配置文件恢复配置文件配置文件上载与下载配置复位查看系统资源状况监视端口流量Reference一．概述RouerOS 宽带接入服务器是基于嵌入式专用网络操作系统而设计的，具有丰富的网络接口，具备多数常见的网络设备功能，处理能力超群，运行十分稳健，性价比极高。

1．RouerOS 宽带接入服务器的网络接口类型1.1 四个10/100M 以太网接口，可选10/100/1000M 接口，四个RJ45 以太网接口机箱上标注名称分别为“ETH0”、“ETH1”、“ETH2”、“ETH3”，在系统中对应名称为“ETH0”、“ETH1”、“ETH2”、“ETH3”。

由于物理接口较多，虚拟接口（如VLAN、PVC 等）更多，因此不像一般防火墙上用“内网接口”、“外网接口”、“停火区接口”等作为标示。

在配置防火墙功能或其它网络功能时由用户灵活运用。

可选以下接口：※ 无线网络（Wireless LAN）接口（2.4G,5.2G,5.8G 无线网）；※ MOXA C101 同步接口；※ MOXA C502 同步接口；※ 串行异步接口；※ IP 电话接口；※ ISDN 接口；※ 帧中继PVC 接口；※ E1/T1 接口。