Eudemon500策略路由配置.docVIP

策略路由配置 策略路由简介 与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由是一种依据用户制定的策略进行路由选择的机制，可应用于多ISP出口流量分担等目的。本系统的策略路由支持基于到达报文的源地址、端口号等信息，灵活地指定路由。 策略路由的配置 Eudemon500/1000的策略路由是在安全区域上实现的。通过traffic classifier、traffic behavior、qos policy、qos apply policy等命令支持基于域的策略流量分担。 策略路由配置包括： 定义ACL规则 定义类和流分类规则 定义策略路由动作 定义策略 使用策略 此外还可以在流行为中配置流量监管CAR（Committed Access Rate）特性。 定义ACL规则 在系统视图下，使用acl命令定义访问控制列表，并进入ACL视图，在该ACL视图中使用rule命令定义一组规则。具体请参考本手册“安全防范”部分。 定义类和流分类规则 定义类并进入类视图 在系统视图下，使用traffic classifier命令定义类，并进入类视图。 定义一个类并进入类视图 操作 命令 定义类并进入类视图 traffic classifier tcl-name 删除类 undo traffic classifier tcl-name 定义流分类规则 在类视图下定义一组流分类规则。 定义或删除ACL匹配规则 操作 命令 定义ACL匹配规则 if-match acl acl-number 删除ACL匹配规则 undo if-match acl acl-number 定义策略路由动作 定义流行为并进入流行为视图 在系统视图下，使用traffic behavior命令定义流的动作，并进入流行为视图。 定义一个流行为并进入流行为视图 操作 命令 定义一个流行为并进入流行为视图 traffic behavior behavior–name 删除流行为 undo traffic behavior behavior–name behavior-name：流行为名，不允许为系统预定义流行为。 配置重新指定下一跳路由 在流行为中使用remark ip-nexthop命令定义策略路由动作。 请在流行为视图下进行下列配置。 配置重新指定下一跳路由 操作 命令 配置重新指定下一跳路由 remark ip-nexthop nexthop-ip-addr output-interface { interface-name | interface-type interface-number } 取消重新指定下一跳路由的配置 undo remark ip-nexthop 定义策略 定义策略并进入策略视图 在系统视图下，使用qos policy命令定义策略并进入策略视图。 定义策略并进入策略视图 操作 命令 定义策略并进入策略视图 qos policy policy-name 删除指定策略 undo qos policy policy-name 如果某安全区域应用了该策略，则不允许删除该策略，需要在应用的安全区域上取消对该策略的应用，然后再使用undo qos policy删除该策略。 指定流行为 在策略视图下为使用的类指定对应的流行为。 在策略中为类指定流行为 操作 命令 在策略中为类指定采用的流行为 classifier tcl-name behavior behavior-name 取消指定类在策略中的使用 undo classifier tcl-name tcl-name：类名，必须是已经定义的类，可以是系统定义或用户定义类。 behavior-name：必须是已定义的行为名，可以是系统定义或用户定义行为。 使用策略 在域视图下使用qos apply policy 命令使能策略路由。qos apply policy命令是将一个策略映射到具体的安全区域。一个策略映射可以在多个安全区域上得到应用。 请在安全区域视图下进行下列配置。 将安全区域与所设置的策略相关联 操作 命令 在安全区域关联策略 qos apply policy policy-name outbound 在安全区域删除关联的策略 undo qos apply policy outbound 在流行为中配置流量监管特性 在安全区域的入方向或出方向配置CAR，可以做到对这个方向上的流量限制，与ACL配合起来应用，增强了灵活性。针对某些源、目的地址或端口做流量限制，能够做到对于不同地址、端口和协议的报文流量做不同的处理。配置简单。 请在行为视图下进行下列配置。 配置使用或取消流量监管 操作 命令 配置使用流量监管 car cir committed--i