策略路由
鉴于本文的目的,假设路由和接口配置已经到位并且已经测试了连通性。EdgeOS 中策略路由(PBR)通过使用防火墙策略匹配流量并使用不同的路由表转发流量来工作。 将使用的路由表是:
table 11VLAN10 中主机使用的路由表。table 12VLAN20 中主机使用的路由表。mainEdgeRouter 本身和其他不使用 PBR 的接口使用主路由表。
 | CLI: 访问命令行(CLI)。 您可以使用 GUI 中的 CLI 按钮或使用 PuTTY 等程序执行此操作。 |
1. 进入配置模式
configure
2. 确保两条默认路由已经添加到主路由表中
set protocols static route 0.0.0.0/0 next-hop 203.0.113.2
set protocols static route 0.0.0.0/0 next-hop 192.0.2.2
 | NOTE: 这一步非常必要的,以确保主机在某个 ISP 线路故障时可以后退使用主路由表 |
3. 为路由表 table 11 和 table 12 添加两条默认路由
set protocols static table 11 route 0.0.0.0/0 next-hop 203.0.113.2
set protocols static table 12 route 0.0.0.0/0 next-hop 192.0.2.2
| 可选:如果使用 PPPoE,VTI,VTUN 等接口,可以添加接口路由,而不是上面的 route 命令。 set protocols static interface-route 0.0.0.0/0 next-hop vtun1 |
4. 从 PBR 中排除 VLAN 间流量(VLAN10 和 VLAN20 之间)。
set firewall group network-group vlans network 10.0.10.0/24
set firewall group network-group vlans network 10.0.20.0/24
set firewall modify PBR_policy rule 10 description inter-vlan
set firewall modify PBR_policy rule 10 destination group network-group vlans
set firewall modify PBR_policy rule 10 modify table main
| NOTE: 必须执行此步骤才能允许 VLAN10 主机使用主路由表与 VLAN20 主机通信。 |
5. 创建与 IP 地址范围匹配的防火墙 “PBR_policy”,并将流量分别匹配到各路由表
set firewall modify PBR_policy rule 20 description vlan10
set firewall modify PBR_policy rule 20 source address 10.0.10.0/24
set firewall modify PBR_policy rule 20 modify table 11
set firewall modify PBR_policy rule 30 description vlan20
set firewall modify PBR_policy rule 30 source address 10.0.20.0/24
set firewall modify PBR_policy rule 30 modify table 12
6. 在 eth1 VLAN / VIF 接口上应用 inbound 方向的防火墙策略
set interfaces ethernet eth1 vif 10 firewall in modify PBR_policy
set interfaces ethernet eth1 vif 20 firewall in modify PBR_policy
7. 提交更改并保存配置
commit ; save
使用以下命令验证路由表和防火墙的统计信息
show ip route
show ip route table 11
show ip route table 12
show firewall modify PBR_policy statistics
