策略路由配置
策略路由(Policy Based Routing,简称PBR)根据数据包的源地址、源用户、目的地址和服务,选择路由,进行转发。
新建策略路由及策略路由规则
新建策略路由并创建策略路由规则,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置
网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 从<虚拟路由器>下拉菜单选择一个VR,新建的路由将属于该VR,默认为“trust-vr”。
- 点击策略路由列表左上角的『新建』按钮,在下拉菜单中选择并点击<策略路由>,弹出<策略路由配置>对话框。
- 在『基本』标签页,进行策略路由基本配置。
| 选项 |
说明 |
| 策略路由名称 |
指定策略路由名称。 |
| 绑定到 |
绑定策略路由条目到接口或者安全域。在下拉菜单中选择需要的接口或者安全域。 |
| 时间表 |
指定策略路由的时间表。策略路由规则会在指定的时间表内生效。 |
| 描述 |
指定策略路由规则的描述信息。 |
- 在『源地址』标签页,进行策略路由规则源地址配置。策略路由规则源地址可以为地址簿成员、IP成员、主机成员和IP范围之间的任意组合。
| 选项 |
说明 |
| 地址类型 |
IP地址:选中单选按钮指定“IP地址”类型的源地址,并在<IP>文本框中输入IP地址,在<网络掩码>文本框输入网络掩码。 |
| 主机名称:选中单选按钮指定“主机名称”类型的源地址,并在<主机名称>文本框中输入主机名称。 |
| IP范围:选中单选按钮指定“IP范围”类型的源地址,并在<起始IP地址>文本框中输入指定范围的起始IP地址,在<终止IP地址>文本框输入指定范围的终止IP地址。 |
| 地址条目:选中单选按钮指定“地址条目”类型的源地址,并在组合框中输入或选中需要的地址条目。 |
| 添加 |
点击该按钮将配置的源地址条目添加到系统。已添加的源地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的源地址条目对应的复选框,点击该按钮删除相应的源地址条目。 |
- 在『源用户』标签页,进行策略路由规则源用户配置。策略路由规则源用户可以为角色、用户和用户组之间的任意组合。
| 选项 |
说明 |
| 用户类型 |
角色:选中单选按钮指定“角色”类型的源用户,并从<角色>下拉菜单选中需要的角色。 |
| 用户:选中单选按钮指定“用户”类型的源用户,并分别在<AAA服务器>和<用户名>下拉菜单选中需要的AAA服务器和用户。 |
| 用户组:选中单选按钮指定“用户组”类型的源用户,并分别在<AAA服务器>和<用户组名>下拉菜单选中需要的AAA服务器和用户组。 |
| 添加 |
点击该按钮将配置的源用户条目添加到系统。已添加的源用户条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的源用户条目对应的复选框,点击该按钮删除相应的源用户条目。 |
- 在『目的地址』标签页,进行策略路由规则目的地址配置。策略路由规则目的地址可以为地址簿成员、IP成员、主机成员和IP范围之间的任意组合。
| 选项 |
说明 |
| 地址类型 |
IP地址:选中单选按钮指定“IP地址”类型的目的地址,并在<IP>文本框中输入IP地址,在<网络掩码>文本框输入网络掩码。 |
| 主机名称:选中单选按钮指定“主机名称”类型的目的地址,并在<主机名称>文本框中输入主机名称。 |
| IP范围:选中单选按钮指定“IP范围”类型的目的地址,并在<起始IP地址>文本框中输入指定范围的起始IP地址,在<终止IP地址>文本框输入指定范围的终止IP地址。 |
| 地址条目:选中单选按钮指定“地址条目”类型的目的地址,并在组合框中输入或选中需要的地址条目。 |
| 添加 |
点击该按钮将配置的目的地址条目添加到系统。已添加的目的地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的目的地址条目对应的复选框,点击该按钮删除相应的目的地址条目。 |
- 在『服务』标签页,进行策略路由规则服务类型配置。策略路由规则的服务可以为系统预定义的服务、用户自定义的服务和服务组之间的任意组合。添加服务, 在<可用项目>列表选中需要的服务或服务组,点击『增加>』按钮,将服务或服务组添加到<已选项目>列表。若需要删除已添 加的服务或服务组,在<已选项目>列表中选中需要删除的服务或服务组,点击『<删除』按钮,将服务或服务组从<已选项目> 列表中删除。
- 在『应用』标签页,进行策略路由规则应用类型配置。策略路由规则的应用可以为系统预定义的应用、用户自定义的应用和应用组之间的任意组合。添加应用, 在<可用项目>列表选中需要的应用或应用组,点击『增加>』,将应用或应用组添加到<已选项目>列表。若需要删除已添加的 应用或应用组,在<已选项目>列表中选中需要删除的应用或应用组,点击『<删除』按钮,将应用或应用组从<已选项目>列表 中删除。
- 在『下一跳』标签页,进行策略路由规则下一跳配置。下一跳可以为IP地址、接口、当前系统虚拟路由器和其他系统虚拟路由器之间的任意组合。
| 选项 |
说明 |
| 下一跳 |
IP地址:选中单选按钮指定“IP地址”类型的下一跳,并在<IP地址>文本框中输入IP地址,在<路由权值>文本框输入下一跳的权重。如果一条策略路由匹配多个下一跳,系统会按照权重值比例分配流量。 |
| 接口:选中单选按钮指定“接口”类型的下一跳,并在<接口>下拉菜单中选择出接口,在<路由权值>文本框输入下一跳的权重。如果一条策略路由匹配多个下一跳,系统会按照权重值比例分配流量。 |
| 当前系统虚拟路由器:选中单选按钮指定“当前系统虚拟路由器”类型的下一跳,并在<虚拟路由器>下拉菜单中选择虚拟路由器,在<路由权值>文本框输入下一跳的权重。如果一条策略路由匹配多个下一跳,系统会按照权重值比例分配流量。 |
| 其他系统虚拟路由器:选中单选按钮指定“其他系统虚拟路由器”类型的下一跳,并在<虚拟系统>下拉菜单中选择虚拟系统,在<虚拟路由器>下拉菜单中选择所选虚拟系统中的虚拟路由器,在<路由权值>文本框输入下一跳的权重。如果一条策略路由匹配多个下一跳,系统会按照权重值比例分配流量。 |
| 添加 |
点击该按钮将配置的下一跳地址条目添加到系统。已添加的下一跳地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的下一跳地址条目对应的复选框,点击该按钮删除相应的下一跳地址条目。 |
- 点击『确定』按钮保存所做配置。
添加策略路由规则
为已创建的策略路由添加规则,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 从<虚拟路由器>下拉菜单选择一个VR,下面显示该VR所包括的策略路由列表。
- 点击策略路由列表左上角的『新建』按钮,在下拉菜单中选择并点击<规则>,弹出<规则配置>对话框。
- 在『基本』标签页,进行策略路由规则基本配置。
| 选项 |
说明 |
| 策略路由名称 |
指定策略路由名称。 |
| 绑定到 |
绑定策略路由条目到接口或者安全域。在下拉菜单中选择需要的接口或者安全域。 |
| 时间表 |
指定策略路由的时间表。策略路由规则会在指定的时间表内生效。 |
| 描述 |
指定策略路由规则的描述信息。 |
- 在『源地址』标签页,进行策略路由规则源地址配置。策略路由规则源地址可以为地址簿成员、IP成员、主机成员和IP范围之间的任意组合。
| 选项 |
说明 |
| 地址类型 |
IP成员:选中单选按钮指定“IP成员”类型的源地址,并在<IP>文本框中输入IP地址,在<网络掩码>文本框输入网络掩码。 |
| 主机成员:选中单选按钮指定“主机成员”类型的源地址,并在<主机名称>文本框中输入主机名称。 |
| IP范围:选中单选按钮指定“IP范围”类型的源地址,并在<起始IP地址>文本框中输入指定范围的起始IP地址,在<终止IP地址>文本框输入指定范围的终止IP地址。 |
| 地址簿:选中单选按钮指定“地址簿条目”类型的源地址,并从下拉菜单选中需要的地址条目。 |
| 添加 |
点击该按钮将配置的源地址条目添加到系统。已添加的源地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的源地址条目对应的复选框,点击该按钮删除相应的源地址条目。 |
- 在『源用户』标签页,进行策略路由规则源用户配置。策略路由规则源用户可以为角色、用户和用户组之间的任意组合。
| 选项 |
说明 |
| 用户类型 |
角色:选中单选按钮指定“角色”类型的源用户,并从<角色>下拉菜单选中需要的角色。 |
| 用户:选中单选按钮指定“用户”类型的源用户,并分别在<AAA服务器>和<用户名>下拉菜单选中需要的AAA服务器和用户。 |
| 用户组:选中单选按钮指定“用户组”类型的源用户,并分别在<AAA服务器>和<用户组名>下拉菜单选中需要的AAA服务器和用户组。 |
| 添加 |
点击该按钮将配置的源用户条目添加到系统。已添加的源用户条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的源用户条目对应的复选框,点击该按钮删除相应的源用户条目。 |
- 在『目的地址』标签页,进行策略路由规则目的地址配置。策略路由规则目的地址可以为地址簿成员、IP成员、主机成员和IP范围之间的任意组合。
| 选项 |
说明 |
| 地址类型 |
IP成员:选中单选按钮指定“IP成员”类型的目的地址,并在<IP>文本框中输入IP地址,在<网络掩码>文本框输入网络掩码。 |
| 主机成员:选中单选按钮指定“主机成员”类型的目的地址,并在<主机名称>文本框中输入主机名称。 |
| IP范围:选中单选按钮指定“IP范围”类型的目的地址,并在<起始IP地址>文本框中输入指定范围的起始IP地址,在<终止IP地址>文本框输入指定范围的终止IP地址。 |
| 地址簿:选中单选按钮指定“地址簿条目”类型的目的地址,并从下拉菜单选中需要的地址条目。 |
| 添加 |
点击该按钮将配置的目的地址条目添加到系统。已添加的目的地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的目的地址条目对应的复选框,点击该按钮删除相应的目的地址条目。 |
- 在『服务』标签页,进行策略路由规则服务类型配置。策略路由规则的服务可以为系统预定义的服务、用户自定义的服务和服务组之间的任意组合。添加服务,在<可用成员>列表选中需要的服务或服务组,点击右箭头,将服务或服务组添加到<组成员>列表。若需要删除已添加的服务或服务组,在<组成员>列表中选中需要删除的服务或服务组,点击左箭头,将服务或服务组从<组成员>列表中删除。
- 在『下一跳』标签页,进行策略路由规则下一跳配置。下一跳可以为IP地址、接口、当前系统虚拟路由器和其他系统虚拟路由器之间的任意组合。
| 选项 |
说明 |
| 下一跳 |
IP地址:选中单选按钮指定“IP地址”类型的下一跳,并在<IP地址>文本框中输入IP地址,在<路由权值>文本框输入下一跳的权重。如果一条策略路由匹配多个下一跳,系统会按照权重值比例分配流量。 |
| 接口:选中单选按钮指定“接口”类型的下一跳,并在<接口>下拉菜单中选择出接口,在<路由权值>文本框输入下一跳的权重。如果一条策略路由匹配多个下一跳,系统会按照权重值比例分配流量。 |
| 当前系统虚拟路由器:选中单选按钮指定“当前系统虚拟路由器”类型的下一跳,并在<虚拟路由器>下拉菜单中选择虚拟路由器,在<路由权值>文本框输入下一跳的权重。如果一条策略路由匹配多个下一跳,系统会按照权重值比例分配流量。 |
| 其他系统虚拟路由器:选中单选按钮指定“其他系统虚拟路由器”类型的下一跳,并在<虚拟系统>下拉菜单中选择虚拟系统,在<虚拟路由器>下拉菜单中选择所选虚拟系统中的虚拟路由器,在<路由权值>文本框输入下一跳的权重。如果一条策略路由匹配多个下一跳,系统会按照权重值比例分配流量。 |
| 添加 |
点击该按钮将配置的下一跳地址条目添加到系统。已添加的下一跳地址条目会显示在下方的列表中。 |
| 删除 |
选中列表中需要删除的下一跳地址条目对应的复选框,点击该按钮删除相应的下一跳地址条目。 |
- 点击『确定』按钮。
编辑/删除/移动策略路由规则
编辑/删除/移动策略路由规则,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 从<虚拟路由器>下拉菜单选择需要的路由所属的VR。
- 在策略路由规则列表部分,选中需要编辑/删除/移动的路由规则对应的复选框,点击列表上方的『编辑』、『删除规则』或『移动』按钮编辑/删除/移动相应的路由规则。
| 选项 |
说明 |
| 移到首位 |
选中该单选按钮,将策略路由规则移动到所有规则的顶部。 |
| 移到末位 |
选中该单选按钮,将策略路由规则移动到所有规则的底部。 |
| 该ID之前 |
选中该单选按钮,并在其后的文本框中输入ID,将策略路由规则移动到该ID规则之前。 |
| 该ID之后 |
选中该单选按钮,并在其后的文本框中输入ID,将策略路由规则移动到该ID规则之后。 |
注意: PBR策略中的规则通过ID进行唯一标识。流量进入安全网关时,安全网关对PBR策略规则进行顺序查找,然后按照查找到的相匹配的第一条规则对流量进行处理。但是,PBR策略规则ID的大小顺序并不是规则查找时的匹配顺序。用户可根据需要,移动策略路由规则的位置进而调整规则的匹配顺序,使其处在首位或者处在末位,也可以位于某个ID之前或之后。
启用/禁用策略路由规则
默认情况下,配置好的PBR策略规则会在系统中立即生效。用户可以禁用某条策略路由规则,使其不对流量进行控制。
禁用或者启用某条策略路由规则,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 从<虚拟路由器>下拉菜单选择需要的路由所属的VR。
- 在策略路由规则列表部分,选中需要启用/禁用的路由规则对应的复选框,点击策略路由规则列表上方的『启用』/『禁用』按钮,启用/禁用相应的策略路由规则。
删除策略路由
删除策略路由,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 从<虚拟路由器>下拉菜单选择需要的路由所属的VR。
- 点击策略路由规则列表上方的『删除策略』按钮,弹出<策略路由删除>对话框。
- 在<策略路由名称>下拉菜单中选中需要删除的策略路由名称。
- 点击『确定』按钮删除相应的策略路由,同时删除该策略路由相关的所有路由规则。
应用策略路由
可以通过绑定PBR策略到接口或者安全域来实现PBR策略的应用。应用策略路由,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 从<虚拟路由器>下拉菜单选择需要的路由所属的VR。
- 点击策略路由规则列表上方的『策略绑定』按钮,弹出<策略路由绑定>对话框。
- 在<策略路由名称>下拉菜单中选中需要绑定的策略路由条目名称。
- 在<绑定到>下拉菜单选中需要绑定到的接口或者安全域。
- 点击『确定』按钮。
搜索策略路由
搜索策略路由,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 从策略路由列表上方的<虚拟路由器>下拉菜单选择过滤条件,并在<源地址>、<目的地址>、<下一跳>、<服务>、<描述>文本框中输入关键字,点击『搜索』按钮搜索特定的策略路由条目。系统会将搜索结果显示在下方的策略路由条目列表中。如果需要清除已填写的搜索条件,点击『清空』按钮。
当输入的源/目的地址为完整的IP地址时,系统将搜索出如下策略路由条目:
- 源/目的地址为该IP地址的策略路由条目。
- 源/目的地址条目包含该IP地址的策略路由条目。
当输入的源/目的地址为非完整IP地址时,系统将搜索出源/目的地址条目或主机名称包含该字符串的策略路由条目。
DNS重定向
系统支持DNS重定向,即在用户向DNS服务器发出域名请求时,系统将DNS请求重定向到指定的DNS服务器地址。如何指定DNS服务器的IP地址,请参阅设置DNS域名服务器一节。目前,DNS重定向主要应用于视频引流。通过和PBR策略结合,系统可将Web视频网站的流量引流到指定的链路上,进而提升用户访问视频的体验。
开启DNS重定向,请按照以下步骤进行操作:
- 从页面左侧导航树选择并点击“配置网络路由”,进入路由页面。
- 点击『策略路由』标签,进入策略路由页面。
- 点击策略路由列表上方的『启用DNS重定向』按钮,开启该功能。