1、接口IP地址。具体步骤略。
2、配置USG的通过定义ACL,以确定要进行策略路由转发的报文。 定义ACL 3001,允许通过源地址为10.1.0.0/16的报文,拒绝目的地址为20.1.0.0/16的报文。
<USG> system-view
[USG] acl number 3001
[USG-acl-adv-3001] rule deny ip destination 20.1.0.0 0.0.255.255
[USG-acl-adv-3001] rule permit ip source 10.1.0.0 0.0.255.255
[USG-acl-adv-3001] quit
3、定义ACL 3002,允许通过源地址为20.1.0.0/16的报文,拒绝目的地址为10.1.0.0/16的报文。
[USG] acl number 3002
[USG-acl-adv-3002] rule deny ip destination 10.1.0.0 0.0.255.255
[USG-acl-adv-3002] rule permit ip source 20.1.0.0 0.0.255.255
[USG-acl-adv-3002] quit
4、配置策略路由。
# 配置策略testA,使源地址为10.1.0.0/16的报文被发到下一跳1.1.2.1。
[USG] policy-based-route testA permit node 5
[USG-policy-based-route-testA-5] if-match acl 3001
[USG-policy-based-route-testA-5] apply ip-address next-hop 1.1.2.1
[USG-policy-based-route-testA-5] quit
# 配置策略testB,使源地址为20.1.0.0/16的报文被发到下一跳1.1.3.1。
[USG] policy-based-route testB permit node 5
[USG-policy-based-route-testB-5] if-match acl 3002
[USG-policy-based-route-testB-5] apply ip-address next-hop 1.1.3.1
[USG-policy-based-route-testB-5] quit
5、在接口GigabitEthernet 0/0/7上应用定义的策略testA,处理此接口接收的报文。
[USG] interface GigabitEthernet 0/0/7
[USG-GigabitEthernet0/0/7] ip policy-based-route testA
[USG-GigabitEthernet0/0/7] quit
# 在接口GigabitEthernet 0/0/2上应用定义的策略testB,处理此接口接收的报文。
[USG] interface GigabitEthernet 0/0/8
[USG-GigabitEthernet0/0/8] ip policy-based-route testB
[USG-GigabitEthernet0/0/8] quit
6、配置IP-Link。 为实现策略路由与IP-Link联动,需要将IP-Link侦测的目的IP地址与报文的下一跳配置为一致。
# 开启IP-Link链路检查功能。
[USG] ip-link check enable
# 创建IP-Link 1,用于侦测USG到目的地址为1.1.2.1之间的链路可达性。
[USG] ip-link 1 destination 1.1.2.1 mode icmp
# 创建IP-Link 2,用于侦测USG到目的地址为1.1.3.1之间的链路可达性。
[USG] ip-link 2 destination 1.1.3.1 mode icmp
7、配置缺省路由,并与IP-Link关联。
# 配置缺省路由,指定下一跳1.1.2.1/24,并与IP-Link 1关联。
[USG] ip route-static 0.0.0.0 0.0.0.0 1.1.2.1 track ip-link 1
# 配置缺省路由,指定下一跳1.1.3.1/24,并与IP-Link 2关联。
[USG] ip route-static 0.0.0.0 0.0.0.0 1.1.3.1 track ip-link 2
