问
H3C SECPATH F100防火墙如何配置策略路由???
18小时前提问
- 0关注
- 0收藏,49浏览
zhiliao_Gixe
四段
配置前请先执行save命令备份当前配置,避免误操作影响业务,该版本关键配置命令如下:
1. 配置匹配零段的高级ACL(示例匹配192.168.0.0/24):
acl advanced 3000
rule permit ip source 192.168.0.0 0.0.0.255
quit
2. 创建策略路由并指定转发动作:
policy-based-route 自定义策略名 permit node 5
if-match acl 3000
apply next-hop 对端下一跳IP #下一跳需路由可达,也可追加配置apply output-interface 出接口名;多下一跳重复配置本命令可实现负载
quit
3. 在流量入接口(一般为接零段的内网接口)入方向应用:
interface 内网入接口名(如GigabitEthernet0/2)
ip policy-based-route 自定义策略名
quit
最后确认安全策略已放通对应流量的互访权限即可。
1. 配置匹配零段的高级ACL(示例匹配192.168.0.0/24):
acl advanced 3000
rule permit ip source 192.168.0.0 0.0.0.255
quit
2. 创建策略路由并指定转发动作:
policy-based-route 自定义策略名 permit node 5
if-match acl 3000
apply next-hop 对端下一跳IP #下一跳需路由可达,也可追加配置apply output-interface 出接口名;多下一跳重复配置本命令可实现负载
quit
3. 在流量入接口(一般为接零段的内网接口)入方向应用:
interface 内网入接口名(如GigabitEthernet0/2)
ip policy-based-route 自定义策略名
quit
最后确认安全策略已放通对应流量的互访权限即可。
定义匹配流量的ACL规则
[H3C] acl advanced 3000<H3C> system-view
[H3C-acl-ipv4-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255
[H3C-acl-ipv4-adv-3000] quit
这里acl advanced 3000和rule 0 permit ip source 192.168.1.0 0.0.0.255表示创建了一个编号为3000的ACL,用于匹配所有来自192.168.1.0/24网段的IP流量。创建策略路由并定义下一跳动作
[H3C-pbr-neiwang-5] if-match acl 3000[H3C] policy-based-route neiwang node 5
[H3C-pbr-neiwang-5] apply next-hop 1.1.1.2
[H3C-pbr-neiwang-5] quit
这里policy-based-route neiwang node 5创建了一个名为neiwang的策略,node 5是其一个节点。if-match acl 3000指定此节点匹配步骤1中定义的ACL,apply next-hop 1.1.1.2则将匹配上的流量下一跳指向网关1.1.1.2。在内网接口上调用策略路由
[H3C-GigabitEthernet1/0/4] ip policy-based-route neiwang[H3C] interface GigabitEthernet 1/0/4
[H3C-GigabitEthernet1/0/4] quit
这里interface GigabitEthernet 1/0/4是进入连接内网设备的物理接口,ip policy-based-route neiwang将名为neiwang的策略应用在该接口上,使其对流经此接口的流量生效。保存配置
完成所有配置后,务必执行以下命令保存,以防设备重启后配置丢失。[H3C] save force 这里save force是将当前配置保存到设备,force参数可以免去确认提示。
暂无评论
H3C SecPath F100(V7)策略路由(PBR)命令版(7.1.064,Ess 9504P11)
以下为可直接复制的标准命令行,按 “定义策略→绑定接口→验证” 三步完成,覆盖主流场景(源 IP/ACL/ 下一跳 / 出接口 / Track)。
一、标准配置流程(必做)
1. 进入系统视图
bash
运行
<Sysname> system-view
2. 定义策略与节点(核心)
bash
运行
# 创建策略节点(node 10为permit,优先匹配)
[Sysname] policy-based-route PBR_NODE permit node 10
3. 配置匹配规则(三选一,按需求选)
场景 A:按源 IP 段匹配(最常用)
bash
运行
[Sysname-pbr-PBR_NODE-10] if-match source-ip 192.168.10.0 24 # 匹配内网段192.168.10.0/24
场景 B:按 ACL 匹配(支持多条件 / 时间段)
bash
运行
# 先定义ACL(允许源IP 192.168.20.0/24)
[Sysname] acl advanced 3001
[Sysname-acl-adv-3001] rule permit ip source 192.168.20.0 0.0.0.255
[Sysname-acl-adv-3001] quit
# 在策略中引用ACL
[Sysname] policy-based-route PBR_NODE permit node 10
[Sysname-pbr-PBR_NODE-10] if-match acl 3001
场景 C:按报文长度匹配(可选)
bash
运行
[Sysname-pbr-PBR_NODE-10] if-match packet-length 64 1500 # 匹配64-1500字节报文
4. 配置转发动作(下一跳 / 出接口,二选一)
动作 1:指定下一跳(推荐,主备 / 负载分担)
bash
运行
# 单下一跳(直连下一跳,加direct避免路由查找)
[Sysname-pbr-PBR_NODE-10] apply next-hop 10.0.0.2 direct
# 双下一跳(主备,按配置顺序;加track实现链路探测)
[Sysname-pbr-PBR_NODE-10] apply next-hop 10.0.0.2 direct track 1
[Sysname-pbr-PBR_NODE-10] apply next-hop 10.0.0.3 direct track 2
动作 2:指定出接口(适用于 PPPoE / 动态链路)
bash
运行
[Sysname-pbr-PBR_NODE-10] apply output-interface GigabitEthernet 0/1
5. 绑定到接口(必做,接口为内网 VLANIF)
bash
运行
# 进入内网接口(例:Vlan-interface 10,对应192.168.10.0/24)
[Sysname] interface Vlan-interface 10
[Sysname-Vlan-interface10] ip policy-based-route PBR_NODE # 绑定策略
[Sysname-Vlan-interface10] quit
6. 保存配置
bash
运行
[Sysname] quit
<Sysname> save
二、常用扩展配置(可选)
1. 配置 Track(链路探测,下一跳失效时切换)
bash
运行
# 定义Track项1:监测10.0.0.2可达性
[Sysname] track 1 ip reachability 10.0.0.2
# 定义Track项2:监测10.0.0.3可达性
[Sysname] track 2 ip reachability 10.0.0.3
2. 配置负载分担(多下一跳同时生效)
bash
运行
[Sysname-pbr-PBR_NODE-10] apply loadshare next-hop # 下一跳为负载分担模式
3. 配置本地策略路由(设备自身流量,如 NQA / 日志)
bash
运行
[Sysname] ip local policy-based-route LOCAL_PBR
[Sysname-local-pbr-LOCAL_PBR] if-match source-ip 127.0.0.1
[Sysname-local-pbr-LOCAL_PBR] apply next-hop 192.168.0.1
三、验证命令(必查)
表格
| 命令 | 作用 |
|---|---|
display ip policy-based-route | 查看策略路由配置 |
display ip policy-based-route interface Vlan-interface 10 | 查看接口绑定状态 |
display ip policy-based-route setup | 查看策略硬件表项(是否生效) |
display track | 查看 Track 项状态(up/down) |
reset ip policy-based-route statistics | 清空统计(可选) |
四、典型案例(直接复制)
案例:内网 192.168.10.0/24 走主下一跳 10.0.0.2,备下一跳 10.0.0.3
bash
运行
# 1. 进入系统视图
system-view
# 2. 定义策略节点
policy-based-route PBR_INTERNET permit node 10
# 3. 匹配源IP
if-match source-ip 192.168.10.0 24
# 4. 配置主备下一跳+Track
apply next-hop 10.0.0.2 direct track 1
apply next-hop 10.0.0.3 direct track 2
# 5. 绑定内网接口
interface Vlan-interface 10
ip policy-based-route PBR_INTERNET
quit
# 6. 配置Track
track 1 ip reachability 10.0.0.2
track 2 ip reachability 10.0.0.3
# 7. 保存
quit
save
五、关键注意事项
- 接口绑定:策略必须绑定到内网入接口(如 VLANIF / 三层口),否则不生效H3C。
- 优先级:接口策略路由 > 全局策略路由;不匹配接口策略时,走正常路由表。
- direct 参数:下一跳需直连,加
direct避免设备先查路由表,提升转发效率。 - Track 依赖:下一跳需直连,Track 仅监测直连链路可达性;跨网段下一跳不支持 Track。
- 硬件资源:多接口共享同一策略可开启资源共享,避免资源耗尽H3C。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论