A:USG防火墙的策略路由匹配规则如下:
1. if-match可以配置3类匹配条件(ACL、用户/用户组、应用协议),可以共存在一个node下,3类匹配条件是与的关系,也就是说,如果3类都配了,必须全命中才算命中了这个node。这个policy下面配置source、destination之类是一样的,必须同时命中。
2. 3类中的每一类只能配置一个if-match,后配置的会覆盖前配置的,也就是说你先配置了if-match acl 3000,再配置一个if-match acl 3001,那么实际只有一个acl 3001
3. if-match如果是配置的acl:
acl中permit代表命中了这个node,这个node如果是node permit,那么执行这个node 下的apply语句,并且不再往下执行其他node,退出整个策略路由。如果是node deny,那么不执行apply语句,并且退出整个策略路由。
acl中deny代表没有命中这个node,不管这个node是permit还是deny,都不执行这个node 下的apply语句,并且往下查找其他node。
如下执行:
4. 策略路由是一种弱策略,当ip-link的目的地址和策略路由的下一跳相同时,会自动关联。当ip-link down时,会自动将策略路由失效。也就是说,当业务流命中策略路由的某个node,但是这个node的下一跳对应的ip-link已经down的情况下,就会退出整个策略路由,不再进行策略路由匹配。
END