策略路由配置
策略路由(Policy Based Routing,简称PBR)根据数据包的源地址、源用户、目的地址和服务,选择路由,进行转发。
新建策略路由及策略路由规则
新建策略路由并创建策略路由规则,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置
网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 点击策略路由列表左上角的『新建』按钮,在下拉菜单中选择并点击<策略路由>,弹出<策略路由配置>对话框。
- 在『基本』标签页,进行策略路由基本配置。
| 选项 |
说明 |
| 策略路由名称 |
指定策略路由名称。 |
| 设置下一跳 |
指定策略路由规则对应的下一跳。选中<设置下一跳>复选框,并在滑出区域指定下一跳类型,包括:
- IP地址:在文本框中输入IP地址,指定IP地址类型的下一跳。
- 接口:在下拉菜单中选择出接口名称,指定接口类型的下一跳。
|
| 描述 |
指定策略路由规则的描述信息。 |
| 绑定到 |
绑定策略路由条目到接口或者安全域。在下拉菜单中选择需要的接口或者安全域。 |
- 在『源地址』标签页,进行策略路由规则源地址配置。策略路由规则源地址可以为地址簿成员、IP成员、主机成员和IP范围之间的任意组合。
| 选项 |
说明 |
| 地址类型 |
IP地址:选中单选按钮指定“IP地址”类型的源地址,并在<IP>文本框中输入IP地址,在<网络掩码>文本框输入网络掩码。 |
| 主机名称:选中单选按钮指定“主机名称”类型的源地址,并在<主机名称>文本框中输入主机名称。 |
| IP范围:选中单选按钮指定“IP范围”类型的源地址,并在<起始IP地址>文本框中输入指定范围的起始IP地址,在<终止IP地址>文本框输入指定范围的终止IP地址。 |
| 地址簿:选中单选按钮指定“地址簿”类型的源地址,并从下拉菜单选中需要的地址条目。 |
| 添加 |
点击该按钮将配置的源地址条目添加到系统。已添加的源地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的源地址条目对应的复选框,点击该按钮删除相应的源地址条目。 |
- 在『源用户』标签页,进行策略路由规则源用户配置。策略路由规则源用户可以为角色、用户和用户组之间的任意组合。
| 选项 |
说明 |
| 用户类型 |
角色:选中单选按钮指定“角色”类型的源用户,并从<角色>下拉菜单选中需要的角色。 |
| 用户:选中单选按钮指定“用户”类型的源用户,并分别在<AAA服务器>和<用户名>下拉菜单选中需要的AAA服务器和用户。 |
| 用户组:选中单选按钮指定“用户组”类型的源用户,并分别在<AAA服务器>和<用户组名>下拉菜单选中需要的AAA服务器和用户组。 |
| 添加 |
点击该按钮将配置的源用户条目添加到系统。已添加的源用户条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的源用户条目对应的复选框,点击该按钮删除相应的源用户条目。 |
- 在『目的地址』标签页,进行策略路由规则目的地址配置。策略路由规则目的地址可以为地址簿成员、IP成员、主机成员和IP范围之间的任意组合。
| 选项 |
说明 |
| 地址类型 |
IP地址:选中单选按钮指定“IP地址”类型的目的地址,并在<IP>文本框中输入IP地址,在<网络掩码>文本框输入网络掩码。 |
| 主机名称:选中单选按钮指定“主机名称”类型的目的地址,并在<主机名称>文本框中输入主机名称。 |
| IP范围:选中单选按钮指定“IP范围”类型的目的地址,并在<起始IP地址>文本框中输入指定范围的起始IP地址,在<终止IP地址>文本框输入指定范围的终止IP地址。 |
| 地址簿:选中单选按钮指定“地址簿”类型的目的地址,并从下拉菜单选中需要的地址条目。 |
| 添加 |
点击该按钮将配置的目的地址条目添加到系统。已添加的目的地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的目的地址条目对应的复选框,点击该按钮删除相应的目的地址条目。 |
- 在『服务』标签页,进行策略路由规则服务类型配置。策略路由规则的服务可以为系统预定义的服务、用户自定义的服务和服务组之间的任意组合。添加服务,在<可用成员>列表选中需要的服务或服务组,点击右箭头,将服务或服务组添加到<组成员>列表。若需要删除已添加的服务或服务组,在<组成员>列表中选中需要删除的服务或服务组,点击左箭头,将服务或服务组从<组成员>列表中删除。
- 点击『确定』按钮保存所做配置。
添加策略路由规则
为已创建的策略路由添加规则,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 点击策略路由列表左上角的『新建』按钮,在下拉菜单中选择并点击<规则>,弹出<规则配置>对话框。
- 在『基本』标签页,进行策略路由规则基本配置。
| 选项 |
说明 |
| 策略路由名称 |
在下拉菜单选中已创建的策略路由的名称。 |
| 设置下一跳 |
指定策略路由规则对应的下一跳。选中<设置下一跳>复选框,并在滑出区域指定下一跳类型,包括:
- IP地址:在文本框中输入IP地址,指定IP地址类型的下一跳。
- 接口:在下拉菜单中选择出接口名称,指定接口类型的下一跳。
|
| 描述 |
指定策略路由规则的描述信息。 |
- 在『源地址』标签页,进行策略路由规则源地址配置。策略路由规则源地址可以为地址簿成员、IP成员、主机成员和IP范围之间的任意组合。
| 选项 |
说明 |
| 地址类型 |
IP成员:选中单选按钮指定“IP成员”类型的源地址,并在<IP>文本框中输入IP地址,在<网络掩码>文本框输入网络掩码。 |
| 主机成员:选中单选按钮指定“主机成员”类型的源地址,并在<主机名称>文本框中输入主机名称。 |
| IP范围:选中单选按钮指定“IP范围”类型的源地址,并在<起始IP地址>文本框中输入指定范围的起始IP地址,在<终止IP地址>文本框输入指定范围的终止IP地址。 |
| 地址簿:选中单选按钮指定“地址簿条目”类型的源地址,并从下拉菜单选中需要的地址条目。 |
| 添加 |
点击该按钮将配置的源地址条目添加到系统。已添加的源地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的源地址条目对应的复选框,点击该按钮删除相应的源地址条目。 |
- 在『源用户』标签页,进行策略路由规则源用户配置。策略路由规则源用户可以为角色、用户和用户组之间的任意组合。
| 选项 |
说明 |
| 用户类型 |
角色:选中单选按钮指定“角色”类型的源用户,并从<角色>下拉菜单选中需要的角色。 |
| 用户:选中单选按钮指定“用户”类型的源用户,并分别在<AAA服务器>和<用户名>下拉菜单选中需要的AAA服务器和用户。 |
| 用户组:选中单选按钮指定“用户组”类型的源用户,并分别在<AAA服务器>和<用户组名>下拉菜单选中需要的AAA服务器和用户组。 |
| 添加 |
点击该按钮将配置的源用户条目添加到系统。已添加的源用户条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的源用户条目对应的复选框,点击该按钮删除相应的源用户条目。 |
- 在『目的地址』标签页,进行策略路由规则目的地址配置。策略路由规则目的地址可以为地址簿成员、IP成员、主机成员和IP范围之间的任意组合。
| 选项 |
说明 |
| 地址类型 |
IP成员:选中单选按钮指定“IP成员”类型的目的地址,并在<IP>文本框中输入IP地址,在<网络掩码>文本框输入网络掩码。 |
| 主机成员:选中单选按钮指定“主机成员”类型的目的地址,并在<主机名称>文本框中输入主机名称。 |
| IP范围:选中单选按钮指定“IP范围”类型的目的地址,并在<起始IP地址>文本框中输入指定范围的起始IP地址,在<终止IP地址>文本框输入指定范围的终止IP地址。 |
| 地址簿:选中单选按钮指定“地址簿条目”类型的目的地址,并从下拉菜单选中需要的地址条目。 |
| 添加 |
点击该按钮将配置的目的地址条目添加到系统。已添加的目的地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的目的地址条目对应的复选框,点击该按钮删除相应的目的地址条目。 |
- 在『服务』标签页,进行策略路由规则服务类型配置。策略路由规则的服务可以为系统预定义的服务、用户自定义的服务和服务组之间的任意组合。添加服务,在<可用成员>列表选中需要的服务或服务组,点击右箭头,将服务或服务组添加到<组成员>列表。若需要删除已添加的服务或服务组,在<组成员>列表中选中需要删除的服务或服务组,点击左箭头,将服务或服务组从<组成员>列表中删除。
- 点击『确定』按钮。
编辑/删除/移动策略路由规则
编辑/删除/移动策略路由规则,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 在策略路由规则列表部分,选中需要编辑/删除/移动的路由规则对应的复选框,点击列表上方的『编辑』、『删除规则』或『移动』按钮编辑/删除/移动相应的路由规则。
| 选项 |
说明 |
| 移到首位 |
选中该单选按钮,将策略路由规则移动到所有规则的顶部。 |
| 移到末位 |
选中该单选按钮,将策略路由规则移动到所有规则的底部。 |
| 该ID之前 |
选中该单选按钮,并在其后的文本框中输入ID,将策略路由规则移动到该ID规则之前。 |
| 该ID之后 |
选中该单选按钮,并在其后的文本框中输入ID,将策略路由规则移动到该ID规则之后。 |
注意: PBR策略中的规则通过ID进行唯一标识。流量进入安全网关时,安全网关对PBR策略规则进行顺序查找,然后按照查找到的相匹配的第一条规则对流量进行处理。但是,PBR策略规则ID的大小顺序并不是规则查找时的匹配顺序。用户可根据需要,移动策略路由规则的位置进而调整规则的匹配顺序,使其处在首位或者处在末位,也可以位于某个ID之前或之后。
启用/禁用策略路由规则
默认情况下,配置好的PBR策略规则会在系统中立即生效。用户可以禁用某条策略路由规则,使其不对流量进行控制。
禁用或者启用某条策略路由规则,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 在策略路由规则列表部分,选中需要启用/禁用的路由规则对应的复选框,点击策略路由规则列表上方的『启用』/『禁用』按钮,启用/禁用相应的策略路由规则。
删除策略路由
删除策略路由,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 点击策略路由规则列表上方的『删除策略』按钮,弹出<策略路由删除>对话框。
- 在<策略路由名称>下拉菜单中选中需要删除的策略路由名称。
- 点击『确定』按钮删除相应的策略路由,同时删除该策略路由相关的所有路由规则。
应用策略路由
可以通过绑定PBR策略到接口或者安全域来实现PBR策略的应用。应用策略路由,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 点击策略路由规则列表上方的『策略绑定』按钮,弹出<策略路由绑定>对话框。
- 在<策略路由名称>下拉菜单中选中需要绑定的策略路由条目名称。
- 在<绑定到>下拉菜单选中需要绑定到的接口或者安全域。
- 点击『确定』按钮。