策略路由和NAT实现负载均衡实例(华为防火墙)

华为USG6600防火墙NA T地址转换配置实例[NAT-FW]配置19:19:25 2015/11/02#interface GigabitEthernet0/0/0alias GE0/MGMTip address 192.168.0.1 255.255.255.0 dhcp select interfacedhcp server gateway-list 192.168.0.1 #interface GigabitEthernet0/0/1ip address 10.221.183.2 255.255.255.0 #interface GigabitEthernet0/0/2ip address 10.196.212.3 255.255.255.0#interface GigabitEthernet0/0/3ip address 10.146.22.98 255.255.255.252#interface GigabitEthernet0/0/4#interface GigabitEthernet0/0/5#interface GigabitEthernet0/0/6#interface GigabitEthernet0/0/7#interface GigabitEthernet0/0/8#interface NULL0alias NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet0/0/2#firewall zone untrustset priority 5add interface GigabitEthernet0/0/3#firewall zone dmzset priority 50#firewall zone name ivmsset priority 10add interface GigabitEthernet0/0/1#aaalocal-user admin password cipher %$%$A`_&-qU7951.=&&W!Jj-y2)}%$%$ local-user admin service-type web terminal telnetlocal-user admin level 15authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##nqa-jitter tag-version 1#ip route-static 10.0.0.0 255.0.0.0 10.146.22.97ip route-static 10.196.202.0 255.255.255.0 10.196.212.1ip route-static 10.196.204.0 255.255.255.0 10.196.212.1ip route-static 10.221.0.0 255.255.0.0 10.221.183.1#banner enable#user-interface con 0authentication-mode noneuser-interface vty 0 4authentication-mode noneprotocol inbound all#slb#right-manager server-group#sysname NAT-FW#l2tp domain suffix-separator @#firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet-filter default permit interzone local dmz direction outboundfirewall packet-filter default permit interzone local ivms direction inboundfirewall packet-filter default permit interzone local ivms direction outboundfirewall packet-filter default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outboundfirewall packet-filter default permit interzone trust dmz direction inboundfirewall packet-filter default permit interzone trust dmz direction outboundfirewall packet-filter default permit interzone trust ivms direction inboundfirewall packet-filter default permit interzone trust ivms direction outboundfirewall packet-filter default permit interzone dmz untrust direction inboundfirewall packet-filter default permit interzone dmz untrust direction outboundfirewall packet-filter default permit interzone ivms untrust direction inboundfirewall packet-filter default permit interzone ivms untrust direction outboundfirewall packet-filter default permit interzone dmz ivms direction inboundfirewall packet-filter default permit interzone dmz ivms direction outbound#ip df-unreachables enable#firewall ipv6 session link-state checkfirewall ipv6 statistic system enable#dns resolve#firewall statistic system enable#pki ocsp response cache refresh interval 0pki ocsp response cache number 0#undo dns proxy#license-server domain #web-manager enable#nat-policy interzone trust ivms outbound policy 0action source-nateasy-ip GigabitEthernet0/0/1#return[TMIS-SW]配置#sysname TMIS-SW#cluster enablentdp enablendp enable#drop illegal-mac alarm#diffserv domain default#drop-profile default#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http#interface Vlanif1ip address 10.196.212.1 255.255.255.0ip address 10.196.202.1 255.255.255.0 sub ip address 10.196.204.1 255.255.255.0 sub #interface MEth0/0/1#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface GigabitEthernet0/0/3 #interface GigabitEthernet0/0/4 #interface GigabitEthernet0/0/5 #interface GigabitEthernet0/0/6 #interface GigabitEthernet0/0/7 #interface GigabitEthernet0/0/8 #interface GigabitEthernet0/0/9 #interface GigabitEthernet0/0/10 #interface GigabitEthernet0/0/11 #interface GigabitEthernet0/0/12 #interface GigabitEthernet0/0/13 #interface GigabitEthernet0/0/14 #interface GigabitEthernet0/0/15 #interface GigabitEthernet0/0/16 #interface GigabitEthernet0/0/17 #interface GigabitEthernet0/0/18 #interface GigabitEthernet0/0/19 #interface GigabitEthernet0/0/20 #interface GigabitEthernet0/0/21 #interface GigabitEthernet0/0/22 #interface GigabitEthernet0/0/23 #interface GigabitEthernet0/0/24 #interface NULL0#ip route-static 10.0.0.0 255.0.0.0 10.196.212.3#user-interface con 0user-interface vty 0 4#return[TMIS-SHU]配置#sysname TMIS-SHU#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "'(XSjA>n4=H)H2[EInBak2# local-user admin service-type http#firewall zone Localpriority 16#interface Ethernet0/0/0#interface Ethernet0/0/1#interface Serial0/0/0link-protocol ppp#interface Serial0/0/1link-protocol ppp#interface Serial0/0/2link-protocol ppp#interface Serial0/0/3link-protocol ppp#interface GigabitEthernet0/0/0ip address 10.146.22.97 255.255.255.252#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface GigabitEthernet0/0/3#wlan#interface NULL0#interface LoopBack0ip address 10.192.4.11 255.255.255.255#ip route-static 10.196.0.0 255.255.0.0 10.146.22.98 #user-interface con 0user-interface vty 0 4user-interface vty 16 20#return[IVMS-SW]配置#sysname IVMS-SW#cluster enablentdp enablendp enable#drop illegal-mac alarm#diffserv domain default#drop-profile default#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple admin local-user admin service-type http#interface Vlanif1#interface MEth0/0/1#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface GigabitEthernet0/0/3#interface GigabitEthernet0/0/4#interface GigabitEthernet0/0/5#interface GigabitEthernet0/0/6#interface GigabitEthernet0/0/7#interface GigabitEthernet0/0/8#interface GigabitEthernet0/0/9#interface GigabitEthernet0/0/10#interface GigabitEthernet0/0/11#interface GigabitEthernet0/0/12#interface GigabitEthernet0/0/13#interface GigabitEthernet0/0/14#interface GigabitEthernet0/0/15#interface GigabitEthernet0/0/16#interface GigabitEthernet0/0/17#interface GigabitEthernet0/0/18#interface GigabitEthernet0/0/19#interface GigabitEthernet0/0/20#interface GigabitEthernet0/0/21#interface GigabitEthernet0/0/22#interface GigabitEthernet0/0/23#interface GigabitEthernet0/0/24#interface NULL0#user-interface con 0user-interface vty 0 4#Return[IVMS-R]配置#sysname IVMS-R#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %RnRIyYTPRpe}@HMNPn@fma# local-user admin service-type http#firewall zone Localpriority 16#interface Ethernet0/0/0#interface Ethernet0/0/1#interface Serial0/0/0link-protocol ppp#interface Serial0/0/1link-protocol ppp#interface Serial0/0/2link-protocol ppp#interface Serial0/0/3link-protocol ppp#interface GigabitEthernet0/0/0ip address 10.221.183.1 255.255.255.0 #interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface GigabitEthernet0/0/3#wlan#interface NULL0#interface LoopBack0ip address 10.192.4.11 255.255.255.255 #user-interface con 0user-interface vty 0 4user-interface vty 16 20#return。

7.8 利用NAT实现TCP负载均衡TCP负载均衡是为了把一个外部的合法地址交替映射到多个内部地址上，这样可以使多台服务器使用同一个外部地址进行访问。

一、实验目的1. 掌握利用NAT Server实现TCP负载均衡的过程和操作命令2. 掌握验证TCP负载均衡的方法二、配置步骤1．建立内部服务器地址映射。

2．使能NAT ALG三、实验内容多台主机共享一个合法IP地址，利用常用服务端口的不同实现服务负载分担。

四、实验环境2811系列的路由器两台，2960系列的交换机两台，PC机四台。

实验拓扑图如图7-19所示。

图7- 1利用NAT实现TCP之间的负载均衡五、实验步骤1、对Router0和Router1的基本配置：Router 0的配置<huawei>sys//进入全局配置模式[Huawei]vlan batch 100 200//配置两个vlan 100 200[Huawei]inter vlanif 100//进入vlanif 100[Huawei-vlanif100]ip address 192.168.20.1 24//配置vlanif100 的IP地址[Huawei-vlanif100]inter vlanif 200//同样的，配置vlanif200的ip地址[Huawei-vlanif200]ip address 10.0.0.1 24[Huawei-vlanif200]inter e0/0/0//进入e0/0/0，配置其vlan情况[Huawei-enthernet0/0/0]port link-type access[Huawei-enthernet0/0/0]port default vlan 100[Huawei-enthernet0/0/0]inter e0/0/1//进入e0/0/1，配置其vlan情况[Huawei-enthernet0/0/1]port link-type access[Huawei-enthernet0/0/1]port default vlan 200[Huawei-enthernet0/0/1]q[Huawei]nat alg ftp enable //使能ftpalg，作用是改变ftp协议内传输的ip地址[Huawei]inter g0/0/1//进入g0/0/1 配置IP地址和natserver信息[Huawei-GigabitEthernet0/0/1]ip address 202.169.10.1 24[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 202.169.10.5 www inside192.168.20.2 www//配置www服务器的映射[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 202.169.10.5 ftp inside 10.0.0.3 ftp//配置ftp服务器的映射[Huawei-GigabitEthernet0/0/1]q[Huawei]ip route-static 0.0.0.0 0.0.0.0 202.169.10.3 //配置静态路由Router 1的配置<huawei>sys[Huawei]vlan batch 100[Huawei]inter vlanif 300[Huawei-vlanif100]ip address 202.169.1.1 24[Huawei-vlanif100]inter e0/0/1[Huawei-enthernet0/0/0]port link-type access[Huawei-enthernet0/0/0]port default vlan 300[Huawei-enthernet0/0/0]inter g0/0/1[Huawei-GigabitEthernet0/0/1]ip address 202.169.10.3 24[Huawei-GigabitEthernet0/0/1]q[Huawei]ip route-static 0.0.0.0 0.0.0.0 202.169.10.12、配置各服务器，主机的地址3、配置服务器信息（1）配置www服务器配置www服务器，在文件夹内放置一个文件名为default.htm的网页文件（2）配置ftp服务器4、测试打开Client1的客户端信息，分别在ftp和http客户端，进行测试。

第 18 卷 第 3 期 2007 年 8 月苏州市职业大学学报Journal of Suzhou Vocational UniversityVol.18 No.3 Aug . 2007校园网多 ISP 接入的设计与实现———以苏州科技学院为例袁海峰( 苏州科技学院 网络管理中心, 江苏 苏州 215011)摘 要: 使用华为 S3528P 交换机、港湾 G503 防火墙和 SSR2000 交换机的策略路由和地址转换技术, 以苏州科技学 院为例成功地完成了校园网的多出口解决方案, 优化了网络的配置。

关键词: 策略路由; 地址转换( NAT ) ; 校园网 中图分类号: TP393 文献标识码: A文章编号: 1008- 5475( 2007) 03- 0064- 030 引言中国教育和科研计算机网(CERNET)是 主要面向教育和科研单位服务的全国性学术计算机互联网 络, 由于它流量资费政策的严重不合理, 与中国互联 网络发展的不和谐, 使得许多学校不得不对国际出 口进行限制, 这势必影响教学科研工作的进行。

现在 许多学校都采用了教育网和电信(或者联通、铁通等) 的 多 出 口 方 案 , 由 于 电 信 ISP (Internet Service Provider 网络服务商)具有较高的接入带宽且接入费 用较低, 可以有效提高校园网网络出口带宽, 于是我 院选择电信作为第二出口, 可以起到合理分配网络 资源, 达到增加网络速度, 减少 CERNET 国际流量 费用的目的。

1 校园网络出口现状分析 1.1 校园网络出口现状校园网络出口主要有华为 S3528P 三层交换机、 港 湾 G503 防 火 墙 和 一 台 较 老 的 SSR2000, 华 为 S3528P 主要做策略路由功能, 港湾 G503 防火墙和 SSR2000 交 换 机 做 NAT ( Network Address Translator ) 。

华为路由器路由策略和策略路由路由策略和策略路由⼀、路由策略简介路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变⽹络流量所经过的路径。

路由协议在发布、接收和引⼊路由信息时，根据实际组⽹需求实施⼀些策略，以便对路由信息进⾏过滤和改变路由信息的属性，如：1、控制路由的接收和发布只发布和接收必要、合法的路由信息，以控制路由表的容量，提⾼⽹络的安全性。

2、控制路由的引⼊在⼀种路由协议在引⼊其它路由协议发现的路由信息丰富⾃⼰的路由信息时，只引⼊⼀部分满⾜条件的路由信息。

3、设置特定路由的属性修改通过路由策略过滤的路由的属性，满⾜⾃⾝需要。

路由策略具有以下价值：通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引⼊，提⾼⽹络安全性；通过修改路由属性，对⽹络数据流量进⾏合理规划，提⾼⽹络性能。

⼆、基本原理路由策略使⽤不同的匹配条件和匹配模式选择路由和改变路由属性。

在特定的场景中，路由策略的6种过滤器也能单独使⽤，实现路由过滤。

若设备⽀持BGP to IGP功能，还能在IGP引⼊BGP路由时，使⽤BGP私有属性作为匹配条件。

图1 路由策略原理图如图1，⼀个路由策略中包含N（N>=1）个节点（Node）。

路由进⼊路由策略后，按节点序号从⼩到⼤依次检查当路由与该节点的所有If-match⼦句都匹配成功后，进⼊匹配模式选择，不再匹配其他节点。

匹配模式分permit和deny两种：permit：路由将被允许通过，并且执⾏该节点的Apply⼦句对路由信息的⼀些属性进⾏设置。

deny：路由将被拒绝通过。

当路由与该节点的任意⼀个If-match⼦句匹配失败后，进⼊下⼀节点。

如果和所有节点都匹配失败，路由信息将被拒绝通过。

过滤器路由策略中If-match⼦句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。

华三F100系列、华为USG6300系列防⽕墙策略路由配置实例策略路由，是⼀种⽐基于⽬标⽹络进⾏路由更加灵活的数据包路由转发机制，路由器将通过路由图决定如何对需要路由的数据包进⾏处理，路由图决定了⼀个数据包的下⼀跳转发路由器。

策略路由的应⽤：1、可以不仅仅依据⽬的地址转发数据包，它可以基于源地址、数据应⽤、数据包长度等。

这样转发数据包更灵活。

2、为QoS服务。

使⽤route-map及策略路由可以根据数据包的特征修改其相关QoS项，进⾏为QoS服务。

3、负载平衡。

使⽤策略路由可以设置数据包的⾏为，⽐如下⼀跳、下⼀接⼝等，这样在存在多条链路的情况下，可以根据数据包的应⽤不同⽽使⽤不同的链路，进⽽提供⾼效的负载平衡能⼒。

在实际的⽹络场景中，普通静态或动态路由，已可满⾜⼤部分⽹络场景。

但⽹段和业务⼀旦复杂起来，普通的路由就难以胜任了，如以下场景：公司有⽹段A，做A业务，需要通过A⽹关进⾏通信。

同时⼜有B⽹段，做B业务，需要通过B⽹关进⾏通信。

如果A,B两个业务，同时都需要访问10.0.0.0/8⽹段。

因普通路由，⽆法对源地址进⾏区分与分别路由，此时如果仅⽤普通路由进⾏配置，那么⽹段A与⽹段B ，都只能选择⼀个下⼀跳⽹关，造成其中⼀个业务⽆法正常开展。

此时就需要使⽤策略路由，对源IP地址进⾏匹配，并根据源IP地址分别进⾏路由。

※华三F100系列防⽕墙策略路由配置：acl advanced 3860 ----配置ACL ，⽤户源IP地址的匹配rule 5 permit ip source 10.*.*.* 0rule 10 permit ip source 10.*.*.* 0rule 15 permit ip source 10.*.*.* 0rule 20 permit ip source 10.*.*.* 0.......----配置策略路由规则policy-based-route management permit node 1 -----management是⾃定义名称，node 1为序号。

[H3C][H3C][H3C][H3C]dis cur#version 5.20, ESS 1807#sysname H3C#firewall enable#nat aging-time tcp 280nat aging-time udp 180nat aging-time icmp 11nat aging-time pptp 290nat aging-time dns 11nat aging-time ftp-ctrl 290nat aging-time tcp-fin 11nat aging-time tcp-syn 11#undo radius client#domain default enable system#dns resolvedns server 202.96.128.166dns server 202.96.128.86#telnet server enable#dar p2p signature-file flash:/p2p_default.mtd#qos carl 1 source-ip-address range 192.168.2.1 to 192.168.2.253 per-addressqos carl 2 source-ip-address range 192.168.3.1 to 192.168.3.253 per-addressqos carl 3 destination-ip-address range 192.168.2.1 to 192.168.2.253 per-address qos carl 4 destination-ip-address range 192.168.3.1 to 192.168.3.253 per-address #ip flow-ordering enable#acl number 2000rule 1 permit source 192.168.0.0 0.0.0.255rule 2 denyacl number 3101rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 1 permit ip source 192.168.3.0 0.0.0.255 rule 2 permit ip source 192.168.5.0 0.0.0.255 rule 3 deny ipacl number 3102rule 0 permit ip source 192.168.2.0 0.0.0.255 rule 1 permit ip source 192.168.4.0 0.0.0.255 rule 2 permit ip source 192.168.6.0 0.0.0.255 rule 3 permit ip source 192.168.0.0 0.0.0.255 rule 4 deny ip#vlan 1#radius scheme system#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#dhcp server ip-pool vlan1 extendednetwork mask 255.255.255.0#user-group system#local-user adminpassword simple adminauthorization-attribute level 1service-type telnetlocal-user msr5006password cipher La%FFS+<AJ="6L8FL=^WJQ!!authorization-attribute level 3service-type telnet#interface Aux0async mode flowlink-protocol ppp#interface Virtual-Ethernet1#interface NULL0interface Vlan-interface1ip address 172.16.1.1 255.255.255.0#interface GigabitEthernet0/1port link-mode routenat outbound 2000nat server protocol tcp global 172.16.1.2 8080 inside 192.168.0.110 8080 nat server protocol tcp global 172.16.1.2 7500 inside 192.168.0.110 7500 ip address 172.16.1.2 255.255.255.252tcp mss 1024#interface GigabitEthernet0/2port link-mode routenat outbound 2000nat server protocol tcp global 10.1.1.2 8080 inside 192.168.0.110 8080nat server protocol tcp global 10.1.1.2 7500 inside 192.168.0.110 8080ip address 10.1.1.2 255.255.255.252tcp mss 1024#interface GigabitEthernet0/3port link-mode routeip address 192.168.1.253 255.255.255.0tcp mss 1024qos car inbound carl 1 cir 1000 cbs 1000000 ebs 0 green pass red discard qos car inbound carl 2 cir 1000 cbs 1000000 ebs 0 green pass red discard qos car outbound carl 3 cir 1300 cbs 1300000 ebs 0 green pass red discard qos car outbound carl 4 cir 1300 cbs 1300000 ebs 0 green pass red discard ip policy-based-route wan#interface GigabitEthernet0/0port link-mode bridge#policy-based-route wan permit node 1if-match acl 3101apply ip-address next-hop 172.16.1.1policy-based-route wan permit node 2if-match acl 3102apply ip-address next-hop 10.1.1.1#ip route-static 0.0.0.0 0.0.0.0 172.16.1.1 pre 60ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 pre 80ip route-static 192.168.0.0 255.255.0.0 192.168.1.254#load tr069-configuration #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme #return[H3C][H3C]。

一、问题描述组网图：组网说明：G0/0/0 是联通链路地址58.23.90.58G0/0/1 是电信链路地址121.205.3.126联通地址和电信地址的8008端口分别映射内部服务器8008端口要求：联通用户通过联通地址访问，电信用户通过电信地址访问。

客户设备做的是上出口链路，nat server配置如下：nat server 14 protocol tcp global 121.205.3.126 8008 inside 10.1.11.206 8008 no-reversenat server 15 protocol tcp global 58.23.90.58 8008 inside 10.1.11.206 8008 no-reverseip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 121.205.3.1ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 58.23.90.57以上配置，通过电信的地址121.205.3.126的8008端口可以访问内部服务器，但是通过联通地址58.23.90.58 不可以访问二、告警信息无三、处理过程USG2200-hidecmd]display firewall session table verbose_hideboth-direction source global 218.17.167.151tcp VPN:public --> publicZone: untrust--> trust TTL: 00:00:05 Left: 00:00:03 Interface: Vlanif1 NextHop: 10.1.100.1 MAC: 80-fb-06-b0-0d-4d <--packets:0 bytes:0 -->packets:1 bytes:60218.17.167.151:2066-->58.23.90.58:8008[10.1.11.206:8008]tcp VPN:public --> publicZone: trust--> untrust TTL: 00:00:05 Left: 00:00:03 Interface: GigabitEthernet0/0/0 NextHop: 121.205.3.1 MAC:00-e0-fc-65-0c-01<--packets:0 bytes:0 -->packets:1 bytes:6410.1.11.206:8008[58.23.90.58:8008]-->218.17.167.151:2066通过以上命令显示可以看出访问58.23.90.58:8008时，报文由接口GigabitEthernet0/0/1（联通接口）进入，回程报文由GigabitEthernet0/0/0（电信接口）发出，上行路由器开启URPF（严格路由检查）会丢掉这类报文。

私网用户通过NAPT方式访问Internet（备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。

）本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。

组网需求如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。

由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。

图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。

2.配置安全策略，允许私网指定网段访问Internet。

3.配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP地址访问Internet。

4.配置黑洞路由，防止产生路由环路。

操作步骤1.配置USG9000的接口IP地址，并将接口加入安全区域。

# 配置接口GigabitEthernet 1/0/1的IP地址。

<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。

[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。

版权声明：原创作品，如需转载，请与作者联系。

否则将追究法律责任。

策略路由（Policy-based Routing）和静态路由（Static Routing）的比较，如下表：策略路由静态路由配置方式手工配置手工配置配置原则根据“目的”或“来源”位指定路由路径；策略路由也是静态路由的一种，只是比静态路由更有弹性。

根据“目的”地址，指定路由路径策略路由配置的一般步骤：1. 定义一个路由映射图：Route-map2. 将路由映射图映射到特定的接口上：Router(config-if)#ip policy route-map map-tag路由映射图（route-map）与控制访问列表命令结构的比较，如下表：Route-map 路由映射ACL访问列表 Route-map （定义一个路由映射）Match（匹配）Set（采取的动作） Access-list（定义一个访问列表）Permit（匹配则保留）Deny（匹配则丢弃）Route-map命令详解命令语法：Router(config)#route-map map-tag [permit/deny] [sequence-number] Map-tag 该路由映射图的名字或ID；指定Permit参数假如满足匹配条件则采取动作；指定deny参数假如满足匹配条件则不采取行动； [sequence-number]（序列号）参数指示一个新的路由映射图所处的位置； [sequence-number]序列号也用来检查匹配条件的顺序。

命令语法：Router(config-route-map)#match {action}命令语法：Router(config-route-map)#set {action}策略路由的主要应用：1. 应用于路由重分布（Redistribution）2. 根据不同来源位置的数据流量，通过策略路由选择不同的出口；3. 根据不同的类型（HTTP，FTP）的数据流量，通过策略路由选择不同的出口。