当不同网段用户需要通过不同的路由到达同一目的地址时,可以配置策略路由实现。
组网需求
如图所示,在企业内网出口部署一台USG,其中和内部网络相连的接口位于Trust区域,和外部网络相连的两个接口位于Untrust区域。内网中两个不同网段(网段A和网段B)的用户通过不同的路由访问Internet。
需求如下:
内部A网段从ISP-A线路出去,并且配置ISP-B为备份链路。
内部B网段从ISP-B线路出去,并且配置ISP-A为备份链路。
配置思路
1在USG配置与Router_A、Router_B的互联数据,并配置两条去往Internet的缺省路由。
2在USG上配置策略路由,使源地址为10.1.1.0/24的报文的下一跳指定为202.168.10.1,源地址为10.1.2.0/24的报文的下一跳指定为202.169.10.1。
3在USG上配置IP-Link,监控下一跳是否可达。如果不可达,则策略路由失效。策略路由失效后,流量将根据设备上生效的缺省路由到达Internet。
操作步骤
1配置USG的接口IP地址并将接口加入对应安全区域。 # 配置USG接口IP地址。
system-view
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/2] ip address 10.1.2.