摘要: 在日常的企业网络建设中,常常遇到这样的需求:不同部门的员工访问互联网时,走不同的运营商线路------研发部追求低延迟用电信,销售部要求高性价比用移动。这个功能如果通过传统路由表来实现,几乎不可能做到基于源地址的精确分流。好在,下一代防火墙的策略路由(Policy-Based Routing,PBR)技术完美解决了这个问题。
本文围绕企业网络中多出口链路智能分流的实际需求,系统介绍了下一代防火墙的策略路由(PBR)技术。通过对比传统路由"仅看目的IP"的局限性,阐明了PBR可基于源IP、应用协议等多维条件灵活控制数据转发路径的核心优势。文章以华为USG6000V防火墙为设备基础,在eNSP模拟器中搭建了包含研发部、销售部、双运营商出口及后端服务器的完整实验环境。详细演示了从接口配置、安全区域划分、地址组对象创建、安全策略放行,到IP-Link链路健康探测配置,再到基于源地址的策略路由配置,以及NAT策略部署的完整流程。最后通过多个测试用例验证了:研发部流量按策略走电信链路、销售部流量走移动链路。文章还提及了PBR在安全合规、服务质量保障等场景的扩展应用。
一、什么是策略路由?
在理解策略路由之前,先回忆一下传统路由的工作原理:
传统路由 ≈ 查地图找目的地:路由器收到一个数据包,只看它的"目的IP地址",然后在路由表里找一个最匹配的条目,把包从对应接口扔出去。它根本不关心这个包"从哪来"、"是什么类型"。
策略路由 ≈ 智能交通指挥 :网路管理员可以根据源IP地址、协议类型、应用协议、报文大小 等多维条件,人为控制数据包的转发路径,完全绕过路由表的限制。
一个容易混淆的概念 :很多人分不清"路由策略"和"策略路由"。简单记忆:路由策略影响路由表(控制平面),策略路由影响数据包本身(转发平面)。
二、策略路由的作用与目的
策略路由主要解决以下四大核心问题:
精准流量分流:基于源IP、协议甚至应用类型,将不同流量导向不同出口。比如研发部走电信、销售部走移动。
多出口智能利用:企业拉了两条宽带,传统路由只能随机或负载分担,无法按业务需求灵活分配。PBR可以根据业务重要性、链路质量、成本等因素进行精细调度。
提高链路可靠性:与IP-Link联动,一条链路断了自动切换到备用链路。
安全合规:敏感业务(如财务系统)强制经过加密通道或专用出口,保障安全。
三、策略路由的典型应用场景
| 场景 | 传统方案痛点 | PBR解决方案 |
|---|---|---|
| 多运营商出口分流 | 无法按部门分流 | 基于源IP指定出口 |
| 链路主备切换 | 手动修改路由 | IP-Link联动自动切换 |
| 特定应用优先保障 | QoS难以定向路由 | 基于协议/端口重定向 |
| 安全流量强制引流 | 依赖复杂ACL | 匹配即重定向,简单高效 |
四、策略路由的组成与匹配条件
下一代防火墙的PBR采用 "匹配 → 动作 → 应用" 的三步架构:
匹配条件:可以基于源IP、目的IP、协议类型(TCP/UDP/ICMP)、TCP/UDP端口、报文长度、DSCP值、入接口甚至应用协议等多种条件进行匹配。
动作 :匹配成功后执行的动作,主要包括重定向到指定下一跳 、指定出接口、修改报文优先级等。
应用:将策略绑定到入接口上。
匹配优先级:策略路由按节点号从小到大匹配,一旦匹配成功(permit)就立即执行动作,不再继续匹配后续节点。
五、实验背景与适用场景
真实背景
许多企业为了:
-
链路备份:避免单条运营商链路故障导致业务中断。
-
带宽分担:不同部门使用不同运营商出口,避免高峰期拥堵。
-
成本/策略合规:某些业务必须走特定运营商(如移动专线访问特定云服务)。
适用场景
-
企业同时租用电信和移动两条互联网专线。
-
内部按部门(研发部、销售部)划分不同出口。
-
防火墙作为出口网关,需要配置策略路由(PBR)和源NAT,并保证回包路径对称(外网防火墙需做回包PBR)。
六、动手实操:eNSP搭建多出口分流环境
本节我们通过华为eNSP模拟器搭建完整的下一代防火墙策略路由实验环境,包含基于源地址的策略路由 和基于应用协议的策略路由两种方式的讲解。
拓扑规划
实验拓扑使用两台USG6000V防火墙,三台三层交换机(S5700)(不做任何配置),两台台路由器(AR2220),四台终端主机和一台服务器。
终端配置
Cloud配置
-
绑定信息选择UDP,端口类型GE,点击增加
-
选择绑定信息为虚拟网卡(如VMnet1),端口类型GE,再次点击增加
-
端口映射:入端口1(UDP)→ 出端口2(虚拟网卡),勾选双向通道,点击增加
出口防火墙配置
第一次登录与密码修改
双击防火墙进入CLI终端,首次登录系统强制要求修改默认密码:
Username: admin
Password: Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123务必记住修改后的新密码,后续Web登录要用。
配置管理接口IP地址及开启Web访问
配置GE0/0/0管理接口,确保Cloud能通过Web管理。
<USG6000V1>u t m
<USG6000V1>system-view
[USG6000V1]sysname FW
[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]ip add 192.168.192.168 24
[FW-GigabitEthernet0/0/0]service-manage all permit
[FW-GigabitEthernet0/0/0]q
[FW]web-manager timeout 1440 #配置网页不超时退出
Web界面登录
浏览器访问:https://192.168.192.168:8443,忽略证书警告,点击"高级→继续前往",输入用户名admin和新密码admin@123
配置接口地址并加入安全区域
| 接口 | IP地址 | 安全区域 | 说明 |
|---|---|---|---|
| GE1/0/2 | 192.168.10.254/24 | Trust | 研发部及核心网络接口 |
| GE1/0/3 | 192.168.20.254/24 | Trust | 销售部及办公网络接口 |
| GE1/0/0 | 100.0.0.1/24 | Untrust | 电信运营商出口 |
| GE1/0/1 | 100.1.1.1/24 | Untrust | 移动运营商出口 |
配置地址组对象
导航到 "对象" → "地址" → "地址组",创建以下地址组对象便于后续策略引用:
-
研发部地址组:192.168.10.0/24
-
销售部地址组:192.168.20.0/24
配置安全策略
导航到 "策略" → "安全策略" → "新建",配置放行策略:
策略名称:cl1
源安全区域:trust
目的安全区域:untrust
源地址:研发部、销售部
目的地址:any
动作:允许
配置IP-Link链路探测
IP-Link是防火墙主动检测链路状态的机制。当策略路由与IP-Link联动后,IP-Link定时向对端发送ICMP探测,若连续失败(默认超时3秒),则认为链路故障,PBR将自动失效,流量切换到备用路径。
导航到 "系统" → "高可靠性" → "IP-Link",先打勾启用,点击应用,然后点击"新建":
-
IP-Link 1(监控电信链路):探测地址设为100.0.0.2(电信路由器接口IP)
-
IP-Link 2(监控移动链路):探测地址设为100.1.1.2(移动路由器接口IP)
策略路由配置(核心)
基于源地址的策略路由
这是本实验的核心部分。需求如下:
-
研发部 (192.168.10.0/24)通过电信链路访问公网
-
销售部 (192.168.20.0/24)通过移动链路访问公网
-
当移动链路故障时,销售部流量自动切换至电信链路,保障业务不中断
导航到 "网络" → "路由" → "智能选路" → "策略路由",点击新建:
研发部 → 电信
策略名称:to_dx
类型:源安全区域(trust)
源地址:研发部
目的地址:any
出接口:G1/0/0
下一跳:100.0.0.2
绑定IP-Link:dx
销售部 → 移动
策略名称:to_yd
类型:源安全区域(trust)
源地址:销售部
目的地址:any
出接口:G1/0/1
下一跳:100.1.1.2
绑定IP-Link:yd
配置NAT策略
没有NAT策略,内网私有地址无法访问公网,而且NAT转换发生在安全策略检查之后。导航到 "策略" → "NAT策略" → "NAT策略" 进行配置。选择源转换地址池,点击新建
电信公网
地址池名称:dx
IP地址范围:100.0.0.3-100.0.0.5
移动公网
地址池名称:yd
IP地址范围:100.1.1.3-100.1.1.5
选择NAT策略,点击新建
电信出口NAT策略:
目的类型:出接口(GE1/0/0)
源安全区域:Trust
源地址:研发部地址组(192.168.10.0/24)
目的地址:any
源地址转换为:地址池中的地址dx
移动出口NAT策略:
目的类型:出接口(GE1/0/1)
源安全区域:Trust
源地址:研发部地址组(192.168.20.0/24)
目的地址:any
源地址转换为:地址池中的地址yd
路由器配置
电信ISP
#关闭终端监控器
undo terminal monitor
#进入系统视图
system-view
#修改名称
sysname DXISP
#接口配置IP地址
interface GigabitEthernet0/0/0
ip address 100.0.0.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 200.0.0.2 255.255.255.0
#配置默认路由
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1
移动ISP
#关闭终端监控器
undo terminal monitor
#进入系统视图
system-view
#修改名称
sysname YDISP
#接口配置IP地址
interface GigabitEthernet0/0/0
ip address 100.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 200.1.1.2 255.255.255.0
#配置默认路由
ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
服务器防火墙配置
第一次登录与密码修改
双击防火墙进入CLI终端,首次登录系统强制要求修改默认密码:
Username: admin
Password: Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123务必记住修改后的新密码,后续Web登录要用。
配置管理接口IP地址及开启Web访问
配置GE0/0/0管理接口,确保Cloud能通过Web管理。
<USG6000V1>u t m
<USG6000V1>system-view
[USG6000V1]sysname WFW
[WFW]int g0/0/0
[WFW-GigabitEthernet0/0/0]ip add 192.168.168.192 24
[WFW-GigabitEthernet0/0/0]service-manage all permit
[WFW-GigabitEthernet0/0/0]q
[WFW]web-manager timeout 1440 #配置网页不超时退出Web界面登录
浏览器访问:https://192.168.168.192:8443,忽略证书警告,点击"高级→继续前往",输入用户名admin和新密码admin@123
配置接口地址并加入安全区域
| 接口 | IP地址 | 安全区域 | 说明 |
|---|---|---|---|
| GE1/0/0 | 11.11.11.254/24 | dmz | web服务器网关 |
| GE1/0/1 | 200.0.0.1/24 | Untrust | 电信运营商入口 |
| GE1/0/2 | 200.1.1.1/24 | Untrust | 移动运营商入口 |
配置地址组对象
导航到 "对象" → "地址" → "地址",创建以下地址组对象便于后续策略引用:
- 服务器地址:11.11.11.11/24
配置安全策略
导航到 "策略" → "安全策略" → "新建",配置放行策略:
策略名称:cl1
源安全区域:untrust
目的安全区域:dmz
源地址:any
目的地址:服务器
动作:允许
配置IP-Link链路探测
IP-Link是防火墙主动检测链路状态的机制。当策略路由与IP-Link联动后,IP-Link定时向对端发送ICMP探测,若连续失败(默认超时3秒),则认为链路故障,PBR将自动失效,流量切换到备用路径。
导航到 "系统" → "高可靠性" → "IP-Link",先打勾启用,点击应用,然后点击"新建":
-
IP-Link 1(监控电信链路):探测地址设为200.0.0.2(电信路由器接口IP)
-
IP-Link 2(监控移动链路):探测地址设为200.1.1.2(移动路由器接口IP)
策略路由配置
需求如下:
-
服务器 (11.11.11.11/24)通过电信链路回包
-
服务器 (11.11.11.11/24)通过移动链路回包
导航到 "网络" → "路由" → "智能选路" → "策略路由",点击新建:
服务器 → 电信
策略名称:to_dx
类型:源安全区域(dmz)
源地址:服务器
目的地址:100.0.0.0/24
出接口:G1/0/1
下一跳:200.0.0.2
绑定IP-Link:dx
服务器 → 移动
策略名称:to_yd
类型:源安全区域(dmz)
源地址:服务器
目的地址:100.1.1.0/24
出接口:G1/0/2
下一跳:200.1.1.2
绑定IP-Link:yd
七、验证效果
测试1:研发部PC1访问服务器
-
ping 11.11.11.11→ 通 -
路径追踪或抓包确认:研发部 → 防火墙 → 电信ISP →服务器
测试2:研发部client1访问web服务器
测试3:销售部PC2访问服务器
-
ping 11.11.11.11→ 通 -
路径追踪或抓包确认:研发部 → 防火墙 → 移动ISP →服务器
测试4:研发部client2访问web服务器
八、总结
策略路由(PBR)价值显著:突破了传统路由仅依赖目的IP的转发模式,支持基于源地址、协议类型、应用协议等条件精细化控制流量路径,是实现多出口智能分流、链路主备切换、特定业务强制引流的关键技术。
实验设计完整有效:基于华为USG6000V防火墙和eNSP模拟器构建的双运营商(电信/移动)出口环境,覆盖了研发部与销售部不同源IP流量的分流需求。验证结果符合预期,证明了配置的正确性和可靠性。
配置要点清晰:成功实现PBR需协同完成以下关键步骤:
-
接口IP与安全区域(Trust/Untrust/DMZ)绑定;
-
IP-Link探测目标链路可达性;
-
策略路由中明确匹配条件(如源IP)与动作(重定向下一跳),并关联IP-Link;
-
安全策略放行内网至外网的流量;
-
NAT策略转换源地址以访问公网。
适用场景广泛:除了多运营商出口分流,PBR还可用于基于应用协议(如HTTP/HTTPS)的智能选路、敏感业务强制加密通道传输、以及降低多链路场景下的运维复杂度,是企业网络出口优化的实用方案。
**重要声明:**本教程及文中所有操作仅限于合法授权的安全学习与研究。作者及发布平台不承担因不当使用本教程所引发的任何直接或间接法律责任。请务必遵守中华人民共和国网络安全相关法律法规。
如果这篇文章帮你解决了实操上的困惑,别忘记点击点赞、分享 ,也可以留言告诉我你遇到的其它问题,我会尽快回复。你的关注是我坚持原创和细节共享的力量来源,谢谢大家。