概覽

讀者將學習如何在 EdgeRouter 上配置基於源地址的策略路由（PBR）

目錄

1. 網路拓撲
2. 策略路由

網路拓撲

返回頂部

網路拓撲如下圖所示，EdgeRouter 上使用了以下接口：

• eth0 (WAN1) - 203.0.113.1
• eth2 (WAN2) - 192.0.2.1
• eth1.10 (VLAN10) - 10.0.10.1/24
• eth1.20 (VLAN20) - 10.0.20.1/24

在本案例中，來自 VLAN10 上主機的流量將轉發到 ISP1，來自 VLAN20 的流量將轉發給 ISP2。

策略路由

返回頂部

鑑於本文的目的，假設路由和接口配置已經到位並且已經測試了連通性。EdgeOS 中策略路由（PBR）通過使用防火牆策略匹配流量並使用不同的路由錶轉發流量來工作。 將使用的路由表是：

• table 11 VLAN10 中主機使用的路由表。
• table 12 VLAN20 中主機使用的路由表。
• main EdgeRouter 本身和其他不使用 PBR 的接口使用主路由表。

1.進入配置模式

configure

2.確保兩條默認路由已經添加到主路由表中

set protocols static route 0.0.0.0/0 next-hop 203.0.113.2
set protocols static route 0.0.0.0/0 next-hop 192.0.2.2

3.為路由表 table 11 和 table 12 添加兩條默認路由

set protocols static table 11 route 0.0.0.0/0 next-hop 203.0.113.2
set protocols static table 12 route 0.0.0.0/0 next-hop 192.0.2.2

set protocols static table <table-number> interface-route 0.0.0.0/0 next-hop-interface <interface-id>

4.從 PBR 中排除 VLAN 間流量（VLAN10 和 VLAN20 之間）。

set firewall group network-group vlans network 10.0.10.0/24
set firewall group network-group vlans network 10.0.20.0/24

set firewall modify PBR rule 10 description inter-vlan
set firewall modify PBR rule 10 destination group network-group vlans
set firewall modify PBR rule 10 modify table main

5.創建與 IP 地址範圍匹配的防火牆 “modify”，並將流量分別匹配到各路由表

set firewall modify PBR rule 20 description vlan10
set firewall modify PBR rule 20 source address 10.0.10.0/24
set firewall modify PBR rule 20 modify table 11

set firewall modify PBR rule 30 description vlan20
set firewall modify PBR rule 30 source address 10.0.20.0/24
set firewall modify PBR rule 30 modify table 12

6.在 eth1 VLAN / VIF 接口上應用 inbound/in 方向的防火牆策略

set interfaces ethernet eth2 vif 10 firewall in modify PBR
set interfaces ethernet eth2 vif 20 firewall in modify PBR

7.提交更改並保存配置

commit ; save

使用以下命令驗證路由表和防火牆的統計資訊

show ip route
show ip route table 11
show ip route table 12
show firewall modify PBR_policy statistics