当不同网段用户需要通过不同的路由到达同一目的地址时,可以配置策略路由实现。 组网需求
如图所示,在企业内网出口部署一台USG,其中和内部网络相连的接口位于Trust区域,和外部网络相连的两个接口位于Untrust区域。内网中两个不同网段(网段A和网段B)的用户通过不同的路由访问Internet。
需求如下: 内部A网段从ISP-A线路出去,并且配置ISP-B为备份链路。 内部B网段从ISP-B线路出去,并且配置ISP-A为备份链路。
配置思路 1在USG配置与Router_A、Router_B的互联数据,并配置两条去往Internet的缺省路由。 2在USG上配置策略路由,使源地址为10.1.1.0/24的报文的下一跳指定为202.168.10.1,源地址为10.1.2.0/24的报文的下一跳指定为202.169.10.1。 3在USG上配置IP-Link,监控下一跳是否可达。如果不可达,则策略路由失效。策略路由失效后,流量将根据设备上生效的缺省路由到达Internet。 
操作步骤
1配置USG的接口IP地址并将接口加入对应安全区域。 # 配置USG接口IP地址。 system-view [USG] interface GigabitEthernet 0/0/2 [USG-GigabitEthernet0/0/2] ip address 10.1.1.1 24 [USG-GigabitEthernet0/0/2] ip address 10.1.2.1 24 sub [USG-GigabitEthernet0/0/2] quit [USG] interface GigabitEthernet 0/0/3 [USG-GigabitEthernet0/0/3] ip address 202.168.10.2 30 [USG-GigabitEthernet0/0/3] quit [USG] interface GigabitEthernet 0/0/4 [USG-GigabitEthernet0/0/4] ip address 202.169.10.2 30 [USG-GigabitEthernet0/0/4] quit 配置接口加入相应安全区域。 [USG] firewall zone trust [USG-zone-trust] add interface GigabitEthernet 0/0/2 [USG-zone-trust] quit [USG] firewall zone untrust [USG-zone-untrust] add interface GigabitEthernet 0/0/3 [USG-zone-untrust] add interface GigabitEthernet 0/0/4 [USG-zone-untrust] quit
2 在Trust和Untrust域间出方向配置防火墙策略。 [USG] policy interzone trust untrust outbound [USG-policy-interzone-trust-untrust-outbound] policy 0 [USG-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0 0.0.0.255 [USG-policy-interzone-trust-untrust-outbound-0] policy source 10.1.2.0 0.0.0.255 [USG-policy-interzone-trust-untrust-outbound-0] action permit [USG-policy-interzone-trust-untrust-outbound-0] return
3 配置策略路由 # 定义ACL 3001匹配源地址为10.1.1.0/24的报文,ACL 3002匹配源地址为10.1.2.0/24的报文。 [USG] acl number 3001 [USG-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 [USG-acl-adv-3001] quit [USG] acl number 3002 [USG-acl-adv-3002] rule permit ip source 10.1.2.0 0.0.0.255 [USG-acl-adv-3002] quit 创建名为test的策略,定义5号节点,使源地址为10.1.1.0/24的报文被发到下一跳202.168.10.1。 [USG_A] policy-based-route test permit node 5 [USG_A-policy-based-route-test-5] if-match acl 3001 [USG_A-policy-based-route-test-5] apply ip-address next-hop 202.168.10.1 [USG_A-policy-based-route-test-5] quit 定义10号节点,使源地址为10.1.2.0/24的报文被发到下一跳202.169.10.1。 [USG_A] policy-based-route test permit node 10 [USG_A-policy-based-route-test-10] if-match acl 3002 [USG_A-policy-based-route-test-10] apply ip-address next-hop 202.169.10.1 [USG_A-policy-based-route-test-10] quit 在接口GigabitEthernet 0/0/2上应用定义的策略test,处理此接口接收的报文。 [USG_A] interface GigabitEthernet 0/0/2 [USG_A-GigabitEthernet0/0/2] ip policy-based-route test [USG_A-GigabitEthernet0/0/2] quit
4 配置IP-Link1,监控202.168.10.1是否可达,如果不可达,则策略路由失效,策略路由失效后,ISP-A线路流量根据默认路由经ISP-B到达Internet;配置IP-Link2,监控202.169.10.1是否可达,如果不可达,则策略路由失效,策略路由失效后,ISP-B线路流量根据默认路由经ISP-A到达Internet。 [USG] ip-link check enable [USG] ip-link 1 destination 202.168.10.1 interface GigabitEthernet 0/0/3 [USG] ip-link 2 destination 202.169.10.1 interface GigabitEthernet 0/0/4
5 配置静态路由。 与USG的接口GigabitEthernet 0/0/3相连路由器的接口IP地址为202.168.10.1/24。 [USG] ip route-static 0.0.0.0 0.0.0.0 202.168.10.1 track ip-link 1 与USG的接口GigabitEthernet 0/0/4相连路由器的接口IP地址为202.169.10.1/24。 [USG] ip route-static 0.0.0.0 0.0.0.0 202.169.10.1 track ip-link 2 为了更好地帮助大家学习并了解网络工程师,等相关内容,我特意将所有资料进行了系统整理,这里也免费分享大家。为大家整理的网工必备资料,包括: 华为认证思维导图(超细); 华为认证必备知识文档(pdf); 网工必备知识文档合集; 网工必备工具包; 网工必备实验包; 网工必备视频面试包。 …… 资料有点多 我就不全列出来了,先写到这,需要资料或者是有任何问题,都可以欢留言、私信交流讨论~ 
