策略路由配置示例.doc

文档名称文档密级基于源地址的策略路由配置示例组网需求如图14-1所示，定义策略mypolicy，控制所有从GigabitEthernet0/2接口接收的TCP报文使用接口GigabitEthernet0/0发送，其他报文仍然按照查找路由表的方式进行转发：l 5号节点用于匹配ACL 3101规则的报文将被发往接口GigabitEthernet0/0。l 10号节点用于匹配ACL 3102规则的任何报文不做策略路由处理。来自GigabitEthernet0/2的报文将依次试图匹配5、10号节点的if-match子句。如果匹配了permit语句的节点，执行相应的apply子句；如果匹配了deny语句的节点，拒绝通过该节点的过滤，并且不会进行下一个节点的测试，退出策略路由处理。图14-1 基于源地址的策略路由配置组网图配置步骤配置基于源地址的策略路由，需要进行如下操作。 步骤 1 配置ACL规则# 创建ACL 3101，并定义ACL规则。 system-viewUSG3000 acl number 3101USG3000-acl-adv-3101 rule permit tcpUSG3000-acl-adv-3101 quit# 创建ACL 3102，并定义ACL规则。USG3000 acl number 3102USG3000-acl-adv-3102 rule permit ipUSG3000-acl-adv-3102 quit 步骤 2 配置策略路由的if-match和apply# 定义5号节点。USG3000 route-policy mypolicy permit node 5# 使匹配ACL 3101的任何TCP报文被发往接口GigabitEthernet 0/0。USG3000-route-policy-mypolicy-5 if-match acl 3101USG3000-route-policy-mypolicy-5 apply output-interface GigabitEthernet 0/0USG3000-route-policy-mypolicy-5 quit# 定义10号节点。USG3000 route-policy mypolicy deny node 10# 使匹配ACL 3102的报文不做策略路由处理。USG3000-route-policy-mypolicy-10 if-match acl 3102USG3000-route-policy-mypolicy-10 quit 步骤 3 应用策略路由# 在GigabitEthernet 0/2上应用策略mypolicy。USG3000 interface GigabitEthernet 0/2USG3000-GigabitEthernet0/2 ip policy route-policy mypolicy-结束14.4.2 基于报文长度的策略路由配置示例组网需求如图14-2所示，在USG3000统一安全网关的GigabitEthernet 0/0接口上应用IP策略路由lab1。该策略按照以下规则进行路由转发：l 将大小为64100字节的报文配置150.1.1.2作为下一转发IP地址。l 将大小为1011000字节的报文配置151.1.1.2作为下一转发IP地址。l 所有其他长度的报文都按基于目的地址的路由进行转发。图14-2 基于报文长度的策略路由配置组网图配置步骤配置基于报文长度的策略路由，需要进行如下操作。 步骤 1 配置USG3000统一安全网关接口地址及路由# 配置GigabitEthernet 0/0的IP地址。 system-viewUSG3000 interface GigabitEthernet 0/0USG3000-GigabitEthernet0/0 ip address 192.1.1.1 255.255.255.0USG3000-GigabitEthernet0/0 quit# 配置GigabitEthernet 0/1的IP地址。USG3000 interface GigabitEthernet 0/1USG3000-GigabitEthernet0/1 ip address 150.1.1.1 255.255.255.0USG3000-GigabitEthernet0/1 quit# 配置GigabitEthernet 0/2的IP地址。USG3000 interface GigabitEthernet 0/2USG3000-GigabitEthernet0/2 ip address 151.1.1.1 255.255.255.0USG3000-GigabitEthernet0/2 quit# 配置RIP。USG3000 ripUSG3000-rip network 192.1.1.0USG3000-rip network 150.1.1.0USG3000-rip network 151.1.1.0USG3000-rip quit 步骤 2 配置策略路由# 配置一个route-policy名为lab1，其节点序列号为10，匹配模式为permit，并进入Route policy视图。USG3000 route-policy lab1 permit node 10# 配置报文长度在64100字节之间报文被匹配，并将下一跳设置为150.1.1.2。USG3000-route-policy-lab1-10 if-match packet-length 64 100USG3000-route-policy-lab1-10 apply ip-address next-hop 150.1.1.2USG3000-route-policy-lab1-10 quit# 配置一个route-policy名为lab1，其节点序列号为20，匹配模式为permit，并进入Route policy视图。USG3000 route-policy lab1 permit node 20# 配置报文长度在1011000字节之间报文被匹配，并将下一跳设置为151.1.1.2。USG3000-route-policy-lab1-20 if-match packet-length 101 1000USG3000-route-policy-lab1-20 apply ip-address next-hop 151.1.1.2USG3000-route-policy-lab1-20 quit 步骤 3 在GigabitEthernet 0/0接口上应用策略路由# 在GigabitEthernet 0/0上应用策略lab1。USG3000 interface GigabitEthernet 0/0USG3000-GigabitEthernet0/0 ip policy route-policy lab1USG3000-GigabitEthernet0/0 quitUSG3000 quit 步骤 4 配置Router路由器# 进入系统视图。 system-view# 进入GigabitEthernet 0/0视图。Router interface GigabitEthernet 0/0# 配置GigabitEthernet 0/0的IP地址。Router-GigabitEthernet0/0 ip address 150.1.1.2 255.255.255.0# 退回系统视图。Router-GigabitEthernet0/0 quit# 进入GigabitEthernet 0/1视图。Router interface GigabitEthernet 0/1# 配置GigabitEthernet 0/1的IP地址。Router-GigabitEthernet0/1 ip address 151.1.1.2 255.255.255.0# 退回系统视图。Router-GigabitEthernet0/1 quit# 配置RIP。Router ripRouter-rip network 150.1.1.0Router-rip network 151.1.1.0Router-rip quit-结束在USG3000统一安全网关用debugging ip policy命令监视策略路由。64字节的报文与路由策略lab1的序号为10的入口项匹配，向150.1.1.2转发。 debugging ip policy*0.483448-POLICY-8-POLICY-ROUTING:IP Policy routing success : next-hop : 150.1.1.2在USG3000统一安全网关，改变报文长为101字节，再用debugging ip policy命令监视策略路由。注意101字节的报文与路由策略lab1的序号为20的入口项匹配，从而向151.1.1.2转发。 debugging ip policy*0.483448-POLICY-8-POLICY-ROUTING:IP Policy routing success : next-hop : 151.1.1.2在USG3000统一安全网关，改变报文长为1001字节，再用debugging ip policy命令监视策略路由。注意这个报文不匹配lab1中的任何入口项，所以按正常方式转发，策略路由没有输出转发报文的调试信息。基于报文长度的策略路由配置示例组网需求如图14-2所示，在USG3000统一安全网关的GigabitEthernet 0/0接口上应用IP策略路由lab1。该策略按照以下规则进行路由转发：l 将大小为64100字节的报文配置150.1.1.2作为下一转发IP地址。l 将大小为1011000字节的报文配置151.1.1.2作为下一转发IP地址。l 所有其他长度的报文都按基于目的地址的路由进行转发。图14-2 基于报文长度的策略路由配置组网图配置步骤配置基于报文长度的策略路由，需要进行如下操作。 步骤 1 配置USG3000统一安全网关接口地址及路由# 配置GigabitEthernet 0/0的IP地址。 system-viewUSG3000 interface GigabitEthernet 0/0USG3000-GigabitEthernet0/0 ip address 192.1.1.1 255.255.255.0USG3000-GigabitEthernet0/0 quit# 配置GigabitEthernet 0/1的IP地址。USG3000 interface GigabitEthernet 0/1USG3000-GigabitEthernet0/1 ip address 150.1.1.1 255.255.255.0USG3000-GigabitEthernet0/1 quit# 配置GigabitEthernet 0/2的IP地址。USG3000 interface GigabitEthernet 0/2USG3000-GigabitEthernet0/2 ip address 151.1.1.1 255.255.255.0USG3000-GigabitEthernet0/2 quit# 配置RIP。USG3000 ripUSG3000-rip network 192.1.1.0USG3000-rip network 150.1.1.0USG3000-rip network 151.1.1.0USG3000-rip quit 步骤 2 配置策略路由# 配置一个route-policy名为lab1，其节点序列号为10，匹配模式为permit，并进入Route policy视图。USG3000 route-policy lab1 permit node 10# 配置报文长度在64100字节之间报文被匹配，并将下一跳设置为150.1.1.2。USG3000-route-policy-lab1-10 if-match packet-length 64 100USG3000-route-policy-lab1-10 apply ip-address next-hop 150.1.1.2USG3000-route-policy-lab1-10 quit# 配置一个route-policy名为lab1，其节点序列号为20，匹配模式为permit，并进入Route policy视图。USG3000 route-policy lab1 permit node 20# 配置报文长度在1011000字节之间报文被匹配，并将下一跳设置为151.1.1.2。USG3000-route-policy-lab1-20 if-match packet-length 101 1000USG3000-route-policy-lab1-20 apply ip-address next-hop 151.1.1.2USG3000-route-policy-lab1-20 quit 步骤 3 在GigabitEthernet 0/0接口上应用策略路由# 在GigabitEthernet 0/0上应用策略lab1。USG3000 interface GigabitEthernet 0/0USG3000-GigabitEthernet0/0 ip policy route-policy lab1USG3000-GigabitEthernet0/0 quitUSG3000 quit 步骤 4 配置Router路由器# 进入系统视图。 system-view# 进入GigabitEthernet 0/0视图。Router interface GigabitEthernet 0/0# 配置GigabitEthernet 0/0的IP地址。Router-GigabitEthernet0/0 ip address 150.1.1.2 255.255.255.0# 退回系统视图。Router-GigabitEthernet0/0 quit# 进入GigabitEthernet 0/1视图。Router interface GigabitEthernet 0/1# 配置GigabitEthernet 0/1的IP地址。Router-GigabitEthernet0/1 ip address 151.1.1.2 255.25