功能简介：

策略路由为带有限定条件的静态路由，限定条件可以是数据包的源IP地址、收到数据包的接口等。管理员可以设置包含这些限定条件的策略，IDP （ 第二代）根据设置的策略来筛选哪些数据包应该使用哪些静态路由，这些策略即策略路由策略。当IDP （第二代）连接多个私有网络时，可以通过配置策略路由策略，实现链路负载均衡，分流不同线路的流量。

 

一、组网要求

一个内部网络的两台主机通过IDP （第二代）两个运营商网络相连。通过配置策略路由策略，能够分流不同访问需求的流量。

1、IP 地址为192.168.9.0/24通过ISP A访问互联网。

2、IP地址为192.168.10.0/24 的主机通过ISP B访问互联网。

注意：该场景为纯路由模式，非NAT出口场景。

 

二、组网拓扑

 

 

三、配置要点

步骤1：配置网络接口

步骤2：配置安全域

步骤3：添加策略路由表。

步骤4：在策略路由表中添加路由表项。

注意：

1、系统提供一条缺省的策略路由策略，为启用状态，管理员不能删除或修改此策略；

2、当管理员删除某条手动添加的策略路由策略时，此策略的路由表也被同时删除；即，所有策略路由被删除；

3、每条策略都有自己的路由表。如果一张路由表中有多条到达同一目的IP 地址的路由，系统根据以下三个条件，优先级由高到底，进行选路：

a、最长掩码长度或前缀长度。

b、最小Metric 值。

c、最先添加的路由。

3、对于未匹配任何指定策略的数据包， 系统会将其与缺省策略路由策略的路由表中的静态路由进行匹配，然后转发。

4、三层接口可以使vlan逻辑接口，也可以在物理接口上设置三层接口。

 

四、配置步骤

注意：由于产品各版本特性，务必详细阅读：典型场景配置>>注意事项（重要），并根据其完成相应的配置。然后再逐一完成以下配置。

       1、配置接口

            选择网络>接口 。

             

         2、配置安全域

            选择网络>安全域

3、配置路由

            1）配置默认路由表 选择网络>路由>默认路由

             配置缺省路由为指向ISP1的192.168.1.1；

             配置指向内网两个网段回指路由。

 

CLI方式：

RG-IDP@root> configure mode override------>进入全局配置模式

RG-IDP@root-system] route default interface eth1 gateway 192.168.1.1 1  ------>添加默认路由

RG-IDP@root-system] route 192.168.9.0 255.255.255.0 interface eth3 gateway 192.168.8.254 1------>添加到内网192.168.9.0/24的静态路由

RG-IDP@root-system] route 192.168.10.0 255.255.255.0 interface eth3 gateway 192.168.8.254 1------>添加到内网192.168.10.0/24的静态路由

RG-IDP@root-system] exit------>返回普通配置模式

RG-IDP@root> save config------>保存配置

 

4、配置链路负载均衡策略（策略路由）

选择 网络>路由>链路负载均衡，点击新建

  新建策略路由表ISP2，入口设置eth2，源IP：192.168.10.0/24

      点击确定

 

     点击 ISP2 路由表，

      点击新建

     在ISP2路由表新建一条路由，目的网络0.0.0.0 掩码metric值为1，出口eth2,网关192.168.2.1。

CLI方式：

RG-IDP@root> configure mode override ------>进入全局配置模式

RG-IDP@root-system] policy route ISP2 enable ------>启用策略路由ISP2

RG-IDP@root-system-routepolicy-ISP2] matching input-interface eth3------>为ISP2设置匹配条件：入口接口eth3

RG-IDP@root-system-routepolicy-ISP2] matching sip 192.168.10.0 255.255.255.0------>为ISP2设置匹配条件：源IP地址为192.168.10.0/24

RG-IDP@root-system-routepolicy-ISP2] route 0.0.0.0 0.0.0.0 interface eth2 gateway 192.168.2.1 1------>为ISP2创建一条默认路由：192.168.2.1

RG-IDP@root-system-routepolicy-ISP2] exit------>退出到普通配置模式

RG-IDP@root> save config ------>保存配置

     

      

       5、点击右上角的保存按钮： 。如没有及时保存，将提示“未保存”

 

 

说明：

初始化配置仅完成IDP设备网络配置，保证IDP设备顺利上线，完成基本网络连通性。为实现安全防护效果，建议启用IPS、攻击防御和会话数限制功能；同时通过监控、报表功能观察网络安全的情况。

1、划分安全域和DNS配置     （配置方式参见 典型功能 > 基础配置 ）

2、IPS安全防护                    （配置方式参见 典型功能 > IPS检测）

3、会话策略                         （配置方式参见 典型功能 > 会话策略）

4、攻击防御                         （配置方式参见 典型功能 > 攻击防御）

 

 

五、验证效果

 pc1设置192.168.9.0/24段地址，网关192.168.9.1，接入相应的接入交换机，在pc1上tracert一个公网IP 看公网出口是否走192.168.1.1的路径。

  pc2设置192.168.10.0/24段地址，网关192.168.10.1，接入相应的接入交换机，在pc1上tracert一个公网IP 看公网出口是否走192.168.2.1的路径。