22.2 配置策略路由
22.2.1? 創(chuàng)建策略路由
- 配置策略路由之前,需要配置相應(yīng)的地址對(duì)象、服務(wù)對(duì)象、應(yīng)用對(duì)象、時(shí)間對(duì)象和健康檢查模板。
- 進(jìn)入網(wǎng)絡(luò)>路由>策略路由,點(diǎn)擊新建。
參數(shù)說(shuō)明:
啟用:是否啟用本條策略路由,只有啟用的情況下,該策略路由才會(huì)參與匹配。
入接口:指定策略路由匹配入接口,只有從該接口進(jìn)入的報(bào)文才會(huì)進(jìn)入到策略路由流程中 ,any表示所有接口。
源地址:指定策略路由匹配的源地址或網(wǎng)段,any表示所有源地址。
目的地址:指定策略路由匹配的目的地址或網(wǎng)段,any表示所有的目的地址。
服務(wù):指定策略路由匹配的服務(wù)對(duì)象,any表示所有目的服務(wù)。
用戶:
指定clly匹配的用戶對(duì)象,any表示所有用戶。
應(yīng)用:指定策略路由匹配的應(yīng)用對(duì)象,any表示所有應(yīng)用。
域名:指定策略路由匹配的域名對(duì)象,any表示所有域名。
時(shí)間表:指定策略路由匹配的時(shí)間對(duì)象,always表示全部時(shí)間。
目的會(huì)話保持:是否啟用基于目的地址的會(huì)話保持功能。
負(fù)載均衡算法:選擇下一跳的算法,支持輪詢、加權(quán)輪詢。源IP哈希。源IP和端口哈希等。
下一跳地址:路由下一跳地址。
出接口:路由下一跳地址出接口。
健康檢查:引用健康檢查模板,用于探測(cè)下一跳的健康狀態(tài)。
備用健康檢查:引用健康檢查模板,用于探測(cè)下一跳的健康狀態(tài)。主備健康檢查都失敗后則認(rèn)為該網(wǎng)關(guān)地址失效。
?
22.2.2 編輯策略路由
1.進(jìn)入網(wǎng)絡(luò)>路由>策略路由,點(diǎn)擊 ID 字段可編輯對(duì)應(yīng)策略路由。
2.進(jìn)入策略路由編輯界面,如下圖:
3.編輯完成后點(diǎn)擊更新按鈕。
22.2.3 刪除策略路由
1.進(jìn)入網(wǎng)絡(luò)>路由>策略路由,如下圖:
2.點(diǎn)擊
刪除對(duì)應(yīng)策略路由。
3.點(diǎn)擊確定刪除策略路由。
22.2.4 策略路由順序調(diào)整
- 進(jìn)入網(wǎng)絡(luò)>路由>策略路由,如下圖:
- 點(diǎn)擊
調(diào)整對(duì)應(yīng)策略路由的匹配優(yōu)先級(jí)。
規(guī)則 ID:需要被移動(dòng)的策略 ID 號(hào)。
移動(dòng)到:參考策略ID號(hào)。
之前:移動(dòng)到參考策略ID之前。
22.2.5 策略路由啟用禁用
1.進(jìn)入網(wǎng)絡(luò)>路由>策略路由,勾選啟用按鈕,如下圖,策略啟用。
2.進(jìn)入網(wǎng)絡(luò)>路由>策略路由,不勾選啟用按鈕,如下圖,策略禁用。
3.進(jìn)入網(wǎng)絡(luò)>路由>策略路由,點(diǎn)擊 ID 字段編輯對(duì)應(yīng)策略路由,勾選啟用按鈕,點(diǎn)擊更新提交。如下圖,策略啟用。
4.進(jìn)入網(wǎng)絡(luò)>路由>策略路由,點(diǎn)擊 ID 字段編輯對(duì)應(yīng)策略路由,不勾選啟用按鈕,點(diǎn)擊更新提交。如下圖,策略禁用。
22.2.6 查看策略路由列表
1.進(jìn)入網(wǎng)絡(luò)>路由>策略路由,如下圖:
2.策略狀態(tài):
-策略可用,
-沒(méi)有可用下一跳,策略不可用。
- 下一跳狀態(tài): -健康檢查成功,下一跳可用 -健康檢查失敗,下一跳不可用。
- 點(diǎn)擊
即可對(duì)下一跳進(jìn)行展開和收縮操作。
- 點(diǎn)擊
即可重置對(duì)應(yīng)策略路由的命中統(tǒng)計(jì)。
?
22.3 配置案例
22.3.1 策略路由案例 1
案例描述:
企業(yè)需要通過(guò) FW 進(jìn)行互聯(lián)網(wǎng)訪問(wèn),內(nèi)網(wǎng)地址段為 192.168.1.0/24 和192.168.2.0/24。現(xiàn)在有兩條出口鏈路分別屬于電信、網(wǎng)通,電信的公網(wǎng)地址為 10.10.10.10,網(wǎng)關(guān)為 10.10.10.1;網(wǎng)通的公網(wǎng)地址為11.11.11.11,網(wǎng)關(guān)為 11.11.11.1。
用戶需求如下:
- 目的地址為電信 IP 地址,選擇電信的鏈路作為出鏈路。電信鏈路故障以后,選擇網(wǎng)通的鏈路作為出鏈路。
- 目的地址為網(wǎng)通 IP 地址,選擇網(wǎng)通的鏈路作為出鏈路。網(wǎng)通鏈路故障以后,選擇電信的鏈路作為出鏈路。
- 目的地址不屬于電信、網(wǎng)通,可以均勻選擇出鏈路,但是內(nèi)網(wǎng)互訪不受策略路由控制
配置案例組網(wǎng)圖:
配置步驟:
1. 進(jìn)入對(duì)象>地址對(duì)象>地址節(jié)點(diǎn),分別創(chuàng)建包含電信 ISP 地址庫(kù)、網(wǎng) 通 ISP 地址庫(kù)的地址對(duì)象和外網(wǎng)地址對(duì)象,成員為 0.0.0.0/0,同時(shí)將內(nèi)網(wǎng)用戶 192.168.1.0/24 和 192.168.2.0/24 添加到排除地址中。
2. 進(jìn)入對(duì)象>健康檢查,創(chuàng)建 icmp 健康檢查模板。源 IP 和覆蓋 IP 若不填寫,健康檢查會(huì)使用策略路由的下一跳作為目的 IP 進(jìn)行檢查,源 IP 會(huì)自動(dòng)選擇出接口的 IP。
3. 進(jìn)入網(wǎng)絡(luò)>路由>策略路由,分別創(chuàng)建電信策略路由、網(wǎng)通策略路由 和默認(rèn)策略路由。
電信策略路由:
目標(biāo)地址選擇電信地址對(duì)象,網(wǎng)關(guān)添加電信鏈路和網(wǎng)通鏈路,電信鏈路優(yōu)先級(jí)高于網(wǎng)通鏈路,并引用 icmp 健康檢查模板。
網(wǎng)通策略路由:
目標(biāo)地址選擇網(wǎng)通地址對(duì)象,網(wǎng)關(guān)添加電信鏈路和網(wǎng)通鏈路,網(wǎng)通鏈路優(yōu)先級(jí)高于電信鏈路,并引用 icmp 健康檢查模板。
默認(rèn)策略路由
目標(biāo)地址選擇外網(wǎng)地址對(duì)象,外網(wǎng)地址添加了內(nèi)網(wǎng)網(wǎng)段192.168.1.0/24 和 192.168.2.0/24 的排除地址,故內(nèi)網(wǎng)之間的互訪不會(huì)匹配策略路由。網(wǎng)關(guān)添加電信鏈路和網(wǎng)通鏈路,網(wǎng)通鏈路優(yōu)先級(jí)和電信鏈路優(yōu)先級(jí)相同,使其輪詢轉(zhuǎn)發(fā),并引用 icmp 健康檢查模板。
4. 配置完成后查看策略,依據(jù)命中數(shù)可以查看到匹配策略路由調(diào)度的情況。
22.3.2 策略路由案例2
案例描述:
某企業(yè)財(cái)務(wù)部門在工作時(shí)間需要將電子郵件和辦公軟件等辦公類應(yīng)用通過(guò)電信專線訪問(wèn)外網(wǎng),財(cái)務(wù)部門 IP 地址范圍 192.168.0.10 –192.168.0.20。
配置步驟:
- 進(jìn)入對(duì)象>地址對(duì)象>地址節(jié)點(diǎn),創(chuàng)建財(cái)務(wù)部地址對(duì)象。
- 進(jìn)入對(duì)象>應(yīng)用對(duì)象>應(yīng)用組,創(chuàng)建應(yīng)用對(duì)象。
- 進(jìn)入對(duì)象>時(shí)間對(duì)象>周期時(shí)間,創(chuàng)建工作時(shí)間對(duì)象。
- 進(jìn)入對(duì)象>健康檢查,創(chuàng)建 ICMP 健康檢查模板。
- 進(jìn)入網(wǎng)絡(luò)>路由>策略路由,創(chuàng)建財(cái)務(wù)部策略路由。
源地址選擇財(cái)務(wù)部,應(yīng)用選擇辦公應(yīng)用,時(shí)間表選擇工作時(shí)間,網(wǎng)關(guān)填寫電信專線的下一跳網(wǎng)關(guān),健康檢查選擇 icmp,點(diǎn)擊添加,再點(diǎn)擊提 交即可實(shí)現(xiàn)財(cái)務(wù)部在工作時(shí)間辦公應(yīng)用通過(guò)電信專線訪問(wèn)外網(wǎng)。
22.3.3 策略路由案例3
案例描述:
某企業(yè)所有客戶端需要通過(guò) pppoe 服務(wù)器訪問(wèn)外網(wǎng),策略路由可以直接選擇下一跳為出接口。
配置步驟:
?1、進(jìn)入接口>物理接口配置 pppoe 獲取地址
2、進(jìn)入對(duì)象>健康檢查,創(chuàng)建 ICMP 健康檢查模板。需要配置覆蓋 IP
3、進(jìn)入網(wǎng)絡(luò)>路由>策略路由,創(chuàng)建策略路由
22.4 常見(jiàn)故障分析
22.4.1 策略路由不生效
22.4.2 策略路由部分下一跳沒(méi)有命中計(jì)數(shù)
?
?
?
