防火墙1030 策略路由
- 1关注
- 1收藏,1021浏览
问题描述:
防火墙连接多出口(移动、联通、市政专网),下联核心交换,中间通过一条链路三层互联,要求用户网段172.16.7.0和104.0默认从移动出口上网,当移动出现问题时自动切到联通网络,另外 172.16.9.122 要求走市政专网
目前已经做好策略路由,但是走市政专网的策略路由和走移动网络的策略路由是两个,下联口上已经应用走市政的策略路由,走移动的策略如何应用?
目前测试,都从联通出口上网的
组网及组网描述:
Policy-based-route dzzwww permit node 10 走专网的策略
If-match acl 2003
Apply next-hop 15.8.126.X
Policy-based-route fenliu permit node 0 下一跳为移动的策略
If-match acl 2001
Apply next-hop 120.224.X.1
Interface g 1/0/1 联通出口
Port link-mode route
Desc to liantong
Ip add 60.211.176.X 255.255.255.252
Nat outbound 3000
Inter g 1/0/2 移动出口
Port link-mode route
Desc to yidong
Ip add 120.224.X.X 255.255.255.240
Nat outbound
Inter g 1/0/15 下联核心交换机端口
Port link-mode route
Des to S7503E
Ip add 172.16.99.1 255.255.255.0
Ip policy-based-route dzzwww
Ip route-static 0.0.0.0 0.0.0.0 120.224.X.1 移动的默认路由
Ip route-static 0.0.0.0 0.0.0.0 60.211.176.X track 1 preference 50 联通的默认路由
Acl basic 2001
Des fenliu
Rule 0 permit source 172.16.7.0 .0.0.0.255
Rule 5 permit source 172.16.104.0 0.0.3.255
Acl basic 2002
Des zhengwuzhuanwang
Rule 0 permit source 172.16.9.117 0
Acl basice 2003
Des zhengwuwaiwangzhuanyong
Rule 0 permit source 172.16.9.122 0
- 2020-01-04提问
- 举报
-
(0)
最佳答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
把分流的策略移到dzzwww里面,dzzwww里面就是同时包含走专网和分流的策略嘛
对 通过node来区分
是这样嘛,这样的话,我在接口应用dzzwww,就都能生效了对吧 Policy-based-route dzzwww permit node 10 走专网的策略 If-match acl 2003 Apply next-hop 15.8.126.X Policy-based-route dzzwww permit node 20 下一跳为移动的策略 If-match acl 2001 Apply next-hop 120.224.X.1
对 就是这样 生效是看ACL 如果命中node 10的ACL则数据转发 不在匹配后续节点
嗯,好的,谢谢,我直接在创建个dzzwww node 20在里面把走移动的加进去就可以了吧
对 前提是你node 10的ACL和node 20的ACL没有重复的部分 不然会命中node 10转发了 node 20不生效
嗯,好的,我试试去