一.策略路由

随着网络工程的不断发展，基本的路由选择已经满足不了网络工程师的网络搭建了，基本路由选择就是查路由表来选择下一跳的路由

但是，这种路由选择无法实现负载均衡，也就是当路由中有两条相同的路径时，只会有一条路径被选择，另外一条路由很少被选择

所以就衍生出来了策略路由，它不同于基本路由选择查表确定下一跳，而是根据用户自定义的策略来进行下一跳，改变了传统的路由方式，对于路由的制定更加灵活

用户可以根据需求来指定下一跳来实现数据分流，它的作用对象是数据包，也就是当根据数据包的源地址来进行策略路由，作用的位置一般是待分流段的路由器数据入接口

为什么是路由器的入接口呢？

我们要知道实现负载均衡是对谁执行，很显然是入接口的数据包，在进入路由器的时候就要确定从那个接口出去，反之，如果是在出接口确定出口，这显然不合逻辑

 策略路由可以根据数据包的源地址，目的地址，协议类型，应用等条件来确定路由路劲，策略路由可以弥补传统路由的不足，提供了更加灵活的匹配条件

这里特别要注意一点的就是，配置策略路由很神奇的地方，如果说一般我们网络不通，我们会先查看路由表，看是否路由表存在路径，

但是在没有路由的情况下也可以让网络通，这就是策略路由，因为它控制的不是路由路径，而是数据包，它不依据路由表传输，而是直接告诉数据包下一跳的位置

这使得在路由器上没有路由条目，但是网络依旧通畅的可能存在

二.配置策略路由（eNSP）

 如上图：

实操目标，

1. vlan10网段走192.168.40.0
2. vlan20网段走192.168.50.0

在这个实验中没有构造内外网之分，所以网络通畅配置接口IP使用ospf宣告就行了，实验前提是全网通，没有约束，很简单

实现全网通之后，来使用策略路由进行分流

策略路由需要和高级ACL结合使用

第一步：两条acl放行这两个网段

acl number 3001  
 rule 5 permit ip source 192.168.10.0 0.0.0.255 
acl number 3002  
 rule 5 permit ip source 192.168.20.0 0.0.0.255 

第二步：绑定分流条件

traffic classifier c2 operator or
 if-match acl 3002
traffic classifier c1 operator or
 if-match acl 3001

第三步：指定分流的行为，即下一跳是那

traffic behavior b2
 redirect ip-nexthop 192.168.50.2
traffic behavior b1
 redirect ip-nexthop 192.168.40.2

第四步：将分流条件和分流行为各自绑定

traffic policy p1
 classifier c1 behavior b1
 classifier c2 behavior b2

第五步：在入口端口启动分流策略

interface GigabitEthernet0/0/0
traffic-policy p1 inbound

三.抓包分析

 四.防火墙的双机热备HRP

双机热备冗余，顾名思义，双机即有两台设备，而热备冗余的热，体现在是实时备份的

既然是备份，那么就意味着有一台设备是处于待机的，主设备才是正常使用的设备，而备用设备则是在主设备down掉以后起来工作的

在防火墙的热备份中有一个叫心跳线的配置，它负责的就是将热备数据传递到备份设备上

在确定主备设备后，相关的策略命令，nat等只能在主设备上配置，而备份设备不能直接设置而是依赖于主设备传递这些配置

HRP协议就是实现热备的主要方式

HRP：华为冗余协议，主要用于实现防火墙双机之间动态状态数据和关键配置命令实时备份。HRP协议功能的实现借助了HRP报文，而HRP报文实际上上是一种VGMP报文，承载在VGMP报文的Data区域

 如上图：

FW1的g1/0/1和FW2的g1/0/1接口就是心跳线，也就是传递配置命令的线路

配置心跳线：

FW1：

 hrp enable
 hrp interface GigabitEthernet1/0/1 remote 10.10.10.2
 hrp track interface GigabitEthernet1/0/0

FW2：

 hrp enable
 hrp interface GigabitEthernet1/0/1 remote 10.10.10.1
 hrp track interface GigabitEthernet1/0/0 

 hrp enable

启动hrp协议

 hrp interface GigabitEthernet1/0/1 remote 10.10.10.2

心跳线的对端配置

 hrp track interface GigabitEthernet1/0/0

检测的接口，如果down掉直接切换到备份设备

启动了这些配置就可以开始配置防火墙的策略，nat和其它配置了

它们会自动备份到备份设备上去

注意：HRP_A是主设备，HRP_B是备份设备