强叔侃墙_出口选路_策略路由_基于目的地址的IP策略路由

所谓策略路由，顾名思义，即根据一定的策略进行报文转发。而策略是人为制定的，因此是一种比传统的按照目的地址选路更灵活的机制。


示例（防火墙用USG5500）
防火墙FW1作为企业出口网关，通过两条链路连接到Internet,其中经过AR1为isp1,经过AR2为isp2,访问10.10.11.11从AR1走，访问10.10.10.10从AR2走。
步骤
1、根据报文目的地址设置匹配条件
acl number 3000
 rule 5 permit ip destination 10.10.11.11 0
#
acl number 3001
 rule 5 permit ip destination 10.10.10.10 0
#
2、配置策略路由
 policy-based-route test permit node 10
  if-match acl 3000
  apply ip-address next-hop 10.1.1.2
 policy-based-route test permit node 20
  if-match acl 3001
  apply ip-address next-hop 10.1.2.2
3、应用策略路由
interface GigabitEthernet0/0/1
 ip address 192.168.1.1 255.255.255.0
 ip policy-based-route test

注意事项
1、增加两个安全区域
#
firewall zone name isp1
 set priority 10
 add interface GigabitEthernet0/0/2
#
firewall zone name isp2
 set priority 20
 add interface GigabitEthernet0/0/3
#

2、配置trust到isp1和isp2区域出方向安全策略
policy interzone trust isp1 outbound
 policy 1
  action permit
  policy source 192.168.1.0 0.0.0.255
#
policy interzone trust isp2 outbound
 policy 1
  action permit
  policy source 192.168.1.0 0.0.0.255
#
3、FW1,AR1,AR2,AR3,之间用静态路由实现互通。
验证
在PC1上ping 10.10.11.11 和10.10.10.10两个地址，能正常ping通。同是在防火墙上查看会话的详细信息。
display  firewall session table verbose
21:09:43  2017/08/17
 Current Total Sessions : 10
  icmp  VPN:public -->public
  Zone: trust--> isp2  TTL:00:00:20  Left: 00:00:01
  Interface:GigabitEthernet0/0/3  NextHop:10.1.2.2  MAC: 00-e0-fc-59-1d-dd
  <--packets:1bytes:60   -->packets:1bytes:60
  192.168.1.2:34453-->10.10.10.10:2048


  icmp  VPN:public -->public
  Zone: trust--> isp1  TTL:00:00:20  Left: 00:00:09
  Interface:GigabitEthernet0/0/2  NextHop:10.1.1.2  MAC: 00-e0-fc-f8-13-51
  <--packets:1bytes:60   -->packets:1bytes:60
  192.168.1.2:35989-->10.10.11.11:2048

通过显示信息可以看到去往10.10.11.11的报文是从防火墙的G0/0/2接口转发的。下一跳是AR1与防火墙相连的接口地址；而去往10.10.10.10r的报文是从防火墙的G0/0/3接口转发的，下一跳为R2与防火墙相连的接口地址。