22.2 配置策略路由

22.2.1  创建策略路由

1. 配置策略路由之前，需要配置相应的地址对象、服务对象、应用对象、时间对象和健康检查模板。
2. 进入网络>路由>策略路由，点击新建。

参数说明：

启用：是否启用本条策略路由，只有启用的情况下，该策略路由才会参与匹配。

入接口：指定策略路由匹配入接口，只有从该接口进入的报文才会进入到策略路由流程中 ，any表示所有接口。

源地址：指定策略路由匹配的源地址或网段，any表示所有源地址。

目的地址：指定策略路由匹配的目的地址或网段，any表示所有的目的地址。

服务：指定策略路由匹配的服务对象，any表示所有目的服务。

用户：

指定clly匹配的用户对象，any表示所有用户。

应用：指定策略路由匹配的应用对象，any表示所有应用。

域名：指定策略路由匹配的域名对象，any表示所有域名。

时间表：指定策略路由匹配的时间对象，always表示全部时间。

目的会话保持：是否启用基于目的地址的会话保持功能。

负载均衡算法：选择下一跳的算法，支持轮询、加权轮询。源IP哈希。源IP和端口哈希等。

下一跳地址：路由下一跳地址。

出接口：路由下一跳地址出接口。

健康检查：引用健康检查模板，用于探测下一跳的健康状态。

备用健康检查：引用健康检查模板，用于探测下一跳的健康状态。主备健康检查都失败后则认为该网关地址失效。

 

22.2.2 编辑策略路由

1．进入网络>路由>策略路由，点击 ID 字段可编辑对应策略路由。

2．进入策略路由编辑界面，如下图：

3．编辑完成后点击更新按钮。

22.2.3 删除策略路由

1．进入网络>路由>策略路由，如下图：

2．点击删除对应策略路由。

3．点击确定删除策略路由。

22.2.4 策略路由顺序调整

1. 进入网络>路由>策略路由，如下图：

2. 点击 调整对应策略路由的匹配优先级。

规则 ID：需要被移动的策略 ID 号。

移动到：参考策略ID号。

之前：移动到参考策略ID之前。

22.2.5 策略路由启用禁用

1．进入网络>路由>策略路由，勾选启用按钮，如下图，策略启用。

2．进入网络>路由>策略路由，不勾选启用按钮，如下图，策略禁用。

3．进入网络>路由>策略路由，点击 ID 字段编辑对应策略路由，勾选启用按钮，点击更新提交。如下图，策略启用。

4．进入网络>路由>策略路由，点击 ID 字段编辑对应策略路由，不勾选启用按钮，点击更新提交。如下图，策略禁用。

22.2.6 查看策略路由列表

1．进入网络>路由>策略路由，如下图：

2．策略状态： -策略可用， -没有可用下一跳，策略不可用。

3. 下一跳状态： -健康检查成功，下一跳可用 -健康检查失败，下一跳不可用。

4. 点击即可对下一跳进行展开和收缩操作。

5. 点击即可重置对应策略路由的命中统计。

 

22.3 配置案例

22.3.1 策略路由案例 1

案例描述：

企业需要通过 FW 进行互联网访问，内网地址段为 192.168.1.0/24 和192.168.2.0/24。现在有两条出口链路分别属于电信、网通，电信的公网地址为 10.10.10.10，网关为 10.10.10.1；网通的公网地址为11.11.11.11，网关为 11.11.11.1。

用户需求如下：

1. 目的地址为电信 IP 地址，选择电信的链路作为出链路。电信链路故障以后，选择网通的链路作为出链路。
2. 目的地址为网通 IP 地址，选择网通的链路作为出链路。网通链路故障以后，选择电信的链路作为出链路。
3. 目的地址不属于电信、网通，可以均匀选择出链路，但是内网互访不受策略路由控制

配置案例组网图：

配置步骤：

1． 进入对象>地址对象>地址节点，分别创建包含电信 ISP 地址库、网 通 ISP 地址库的地址对象和外网地址对象，成员为 0.0.0.0/0，同时将内网用户 192.168.1.0/24 和 192.168.2.0/24 添加到排除地址中。

2． 进入对象>健康检查，创建 icmp 健康检查模板。源 IP 和覆盖 IP 若不填写，健康检查会使用策略路由的下一跳作为目的 IP 进行检查，源 IP 会自动选择出接口的 IP。

3． 进入网络>路由>策略路由，分别创建电信策略路由、网通策略路由 和默认策略路由。

电信策略路由：

目标地址选择电信地址对象，网关添加电信链路和网通链路，电信链路优先级高于网通链路，并引用 icmp 健康检查模板。

网通策略路由：

目标地址选择网通地址对象，网关添加电信链路和网通链路，网通链路优先级高于电信链路，并引用 icmp 健康检查模板。

默认策略路由

目标地址选择外网地址对象，外网地址添加了内网网段192.168.1.0/24 和 192.168.2.0/24 的排除地址，故内网之间的互访不会匹配策略路由。网关添加电信链路和网通链路，网通链路优先级和电信链路优先级相同，使其轮询转发，并引用 icmp 健康检查模板。

4． 配置完成后查看策略，依据命中数可以查看到匹配策略路由调度的情况。

22.3.2 策略路由案例2

案例描述：

某企业财务部门在工作时间需要将电子邮件和办公软件等办公类应用通过电信专线访问外网，财务部门 IP 地址范围 192.168.0.10 –192.168.0.20。

配置步骤：

1. 进入对象>地址对象>地址节点，创建财务部地址对象。

2. 进入对象>应用对象>应用组，创建应用对象。

3. 进入对象>时间对象>周期时间，创建工作时间对象。

4. 进入对象>健康检查，创建 ICMP 健康检查模板。

5. 进入网络>路由>策略路由，创建财务部策略路由。

源地址选择财务部，应用选择办公应用，时间表选择工作时间，网关填写电信专线的下一跳网关，健康检查选择 icmp，点击添加，再点击提 交即可实现财务部在工作时间办公应用通过电信专线访问外网。

22.3.3 策略路由案例3

案例描述：

某企业所有客户端需要通过 pppoe 服务器访问外网，策略路由可以直接选择下一跳为出接口。

配置步骤：

 1、进入接口>物理接口配置 pppoe 获取地址

2、进入对象>健康检查，创建 ICMP 健康检查模板。需要配置覆盖 IP

3、进入网络>路由>策略路由，创建策略路由

22.4 常见故障分析

22.4.1 策略路由不生效

22.4.2 策略路由部分下一跳没有命中计数