路由策略

SonicOS 通过基于策略的路由 (PBR) 来提供更加灵活和精确的流量处理功能。以下章节介绍 PBR:
基于策略的路由
路由策略表
静态路由配置
基于已启用探测的策略的路由配置
路由策略示例

基于策略的路由

简单静态路由条目指定了如何处理符合特定标准(例如目标地址、目标掩码、转发流量的网关、网关所在的接口以及路由度量等)的流量。这种静态路由方法可满足大多数静态要求,但仅限于根据目标地址进行转发。

基于策略的路由 (PBR) 可用于创建扩展的静态路由,从而提供更加灵活和精确的流量处理功能。SonicOS PBR 允许基于源地址、源网络掩码、目标地址、目标网络掩码、服务、接口和度量进行匹配。利用此路由方法,可基于大量用户定义的变量实现对转发的完全控制。

度量是分配给静态和动态路由的加权成本。度量值介于 0 到 255 之间。度量值越低越好,低度量优先于高成本。SonicOS 始终使用由 Cisco 定义的度量值,用于直接连接接口、静态编码路由和所有动态 IP 路由协议。

 

表 32. 度量值描述

度量值

说明

1

静态路由

5

EIGRP 摘要

20

外部 BGP

90

EIGRP

100

IGRP

110

OSPF

115

IS-IS

120

RIP

140

EGP

170

外部 EIGRP

内部

BGP

路由策略表

您可以更改路由策略表中的路由策略视图,方法是在视图样式菜单中选择其中一项视图设置。

所有策略用于显示包括自定义策略默认策略在内的所有路由策略。一开始,在从视图样式菜单中选择所有策略时,路由策略表中仅显示默认策略

路由策略表拥有简易的分页,以便查看大量路由策略。浏览路由策略表中列出的大量路由策略时,可以使用路由策略表右上方的导航控件条。导航控件条包含四个按钮。最左边的按钮显示表格的第一页。最右边的按钮显示最后一页。中间的左右箭头按钮分别向前或向后翻页。

可以在项目字段中输入策略编号(# 名称列中的策略名称前列出的编号),从而移动到特定路由策略。采用默认表格配置时,每页显示 50 条。可以在系统 > 管理页面上更改表格的默认条数。

您可以通过单击列标题对表格中的条目排序。条目按升序或降序排列。列条目右侧的箭头表示排序状态。向下的箭头表示升序。向上的箭头表示降序。

静态路由配置

在 SonicOS 中,静态路由是通过基本路由策略进行配置的。

要配置静态路由,请执行以下步骤:
1
滚动至网络 > 路由页面的底部并单击添加按钮。随即显示添加路由策略窗口。

2
下拉菜单中,选择用于静态路由的源地址对象,或者选择创建新地址对象,动态创建一个新地址对象。
3
目标下拉菜单中,选择目标地址对象。
4
服务下拉菜单中,选择一个服务对象。对于允许所有流量类型的常规静态路由,只需选择任何即可。
5
网关下拉菜单中,选择要用于该路由的网关地址对象。
6
接口下拉菜单中,选择要用于该路由的接口。
7
输入路由的度量。静态路由的默认度量为 1。如需度量的更多信息,请参见基于策略的路由
8
(可选)输入路由的备注。此字段用于输入新静态路由策略的描述性备注。
9
(可选)选择当接口断开时,禁用路由复选框,以便在断开接口时自动禁用路由。
10
(可选)允许 VPN 路径优先选项允许您为 VPN 隧道创建一个备用路由。默认情况下,静态路由的度量为 1,优先于 VPN 流量。目标地址对象相同时,允许 VPN 路径优先选项将优先权赋予 VPN 流量路径。这导致以下行为:
当 VPN 隧道活动时:如果启用允许 VPN 路径优先选项,则自动禁用与 VPN 隧道的目标地址对象匹配的静态路由。所有流量均通过 VPN 隧道路由至目标地址对象。
当 VPN 隧道停止工作时:自动启用与 VPN 隧道的目标地址对象匹配的静态路由。前往目标地址对象的所有流量都通过静态路由进行路由。
11
探测当探测成功时禁用路由探测状态默认为 UP 选项用于配置基于已启用探测的策略的路由。如需这些路由的配置信息,请参见基于已启用探测的策略的路由配置
12
单击确定添加路由。

基于已启用探测的策略的路由配置

在配置静态路由时,可选择配置用于该路由的网络监控策略。使用网络监视器策略时,将基于策略的探测状态来动态地禁用或启用静态路由。

要配置已启用探测、基于策略的路由,请执行以下步骤:
1
配置静态路由(如静态路由配置 所述)。
2
探测下拉菜单中,选择合适的网络监控对象,或者选择创建新的网络监视对象...以动态创建新对象。如需更多信息,请参见网络 > 网络监视器
3
典型配置不会选中当探测成功时禁用路由复选框,因为通常情况下,管理员需要在探测路由目的地失败时禁用路由。此选项增加了您指定路由和探测时的灵活性。
4
选择探测状态默认为 UP,使得在关联的网络监控策略处于“未知”状态时,让路由将探测视为成功(即处于“UP”状态)。它适用于在高可用性对中的一个设备从“空闲”状态转换为“活动”状态时控制基于探测的行为,因为这一转换会将所有网络监控策略状态设为“未知”。
5
单击确定应用配置。

路由策略示例

以下示例将指导您逐步完成用于两个同时保持活动状态的 WAN 接口的路由策略的创建过程。在本示例中,需要将次要 WAN 接口设在 X3 接口上,且配置 ISP 提供的设置。接着,通过选中网络 > WAN 故障切换 & 负载均衡页面中的启用负载均衡,配置用于负载均衡的安全设备。在本示例中,请在网络 > WAN 故障切换 & 负载均衡页面中选择逐个连接轮循机制作为负载平衡方法。单击接受,保存您在网络 > WAN 故障切换 & 负载均衡页面中所做的更改。

1
单击路由策略表下面的添加按钮。随即显示添加路由策略窗口。
2
通过分别在源、目的地、服务、网关和接口菜单中选择相应的设置,创建一条路由策略,将所有用于 HTTP 服务、流向任何目的地的 LAN 子网源定向为通过 X1 接口流出 X1 默认网关。在度量字段中使用默认值 1,并在备注字段中输入强制 http 流出主要接口。
3
单击确定
4
通过分别在目的地服务网关接口菜单中选择相应的设置,创建另一条路由策略,将所有用于 Telnet 服务、流向任何目的地的 LAN 子网源定向为通过 X3 接口流出 X3 默认网关。在度量字段中使用默认值 1,并在备注字段中输入强制 telnet 流出备用接口
* 
注:不要为这些路由策略启用允许 VPN 路径优先选项。目标地址对象相同时,允许 VPN 路径优先选项将优先权赋予 VPN 流量路径。此选项用于将静态路由配置为 VPN 隧道的备用路由。如需更多信息,请参见静态路由配置
5
单击确定

这两条基于协议的路由将强制所有来自 LAN 子网的源在使用任何基于 HTTP 的应用程序时始终离开主要 WAN,而在使用任何基于 Telnet 的应用程序时始终离开备用 WAN。

要测试基于 HTTP 策略的路由,请通过连接到 LAN 接口的计算机访问公共网站 http://www.whatismyip.comhttp://whatismyip.everdot.org。两个网站都显示主要 WAN 接口,而不是次要 WAN 接口的 IP 地址。

要测试基于 Telnet 策略的路由,请通过 telnet 连接到 route-server.exodus.net,并在登录后发出 who 命令。它将显示次要 WAN 接口,而不是主要 WAN 接口的 WAN IP 地址(或经过解析的 FQDN)。