FAQ--USG防火墙的策略路由匹配规则？

发布时间: 2015-12-31 浏览次数: 338 下载次数: 0

问题描述

Q:USG防火墙的策略路由匹配规则？

处理过程

A:USG防火墙的策略路由匹配规则如下：

1. if-match可以配置3类匹配条件（ACL、用户/用户组、应用协议），可以共存在一个node下，3类匹配条件是与的关系，也就是说，如果3类都配了，必须全命中才算命中了这个node。这个policy下面配置source、destination之类是一样的，必须同时命中。
2. 3类中的每一类只能配置一个if-match，后配置的会覆盖前配置的，也就是说你先配置了if-match acl 3000，再配置一个if-match acl 3001，那么实际只有一个acl 3001
3. if-match如果是配置的acl：
acl中permit代表命中了这个node，这个node如果是node permit，那么执行这个node 下的apply语句，并且不再往下执行其他node，退出整个策略路由。如果是node deny，那么不执行apply语句，并且退出整个策略路由。
acl中deny代表没有命中这个node，不管这个node是permit还是deny，都不执行这个node 下的apply语句，并且往下查找其他node。
如下执行：

4. 策略路由是一种弱策略，当ip-link的目的地址和策略路由的下一跳相同时，会自动关联。当ip-link down时，会自动将策略路由失效。也就是说，当业务流命中策略路由的某个node，但是这个node的下一跳对应的ip-link已经down的情况下，就会退出整个策略路由，不再进行策略路由匹配。

END

案例投稿

作者 : y00335048

文档编号： EKB1000093721

故障类型 :

意见反馈

提示

企业用户

个人用户

集团网站

运营商用户

AFRICA

MIDDLE EAST

ASIA PACIFIC

EUROPE

LATIN AMERICA

NORTH AMERICA

FAQ--USG防火墙的策略路由匹配规则？