每天一个网络知识：什么是策略路由？

在日常网络通信中，我们默认数据沿着“最短路径”传输，这背后是传统路由基于目的IP地址的转发逻辑。但在复杂网络场景中，仅靠目的地址无法满足精细化管理需求，这时策略路由（Policy-Based Routing, PBR）就成为了网络管理员的“灵活工具”。今天，我们就来揭开策略路由的神秘面纱。

策略路由概念

策略路由是一种突破传统路由限制的数据包转发机制，核心是依据管理员预设的策略，而非单纯的目的IP地址决定数据转发路径。

简单来说，传统路由像“按地址送货的快递员”，只看目的地；而策略路由更像“定制化配送专员”，会根据包裹类型、寄件人、时效需求等多种条件选择配送路线。

工作流程

其工作流程可简化为三步：

首先，数据包到达路由器接口后，系统优先检查是否启用策略路由；

其次，按优先级顺序匹配预设规则，规则可基于源IP、协议类型、端口号、数据包长度等多维度制定；

最后，匹配成功则执行指定动作（如选择特定路径、修改数据包属性），无匹配规则时回退到传统路由转发。值得注意的是，策略路由优先级高于所有传统路由，包括直连路由。

策略路由优点

相较于传统路由，策略路由有三大核心优势。

一是多维度匹配能力，可跨越多项指标精准分类流量，比如按端口区分视频流与文字流，为不同应用分配专属路径。

二是策略优先级机制，管理员可通过优先级数值（越小优先级越高）构建规则层次，实现精细化管控。

三是灵活动作支持，除转发路径选择外，还能修改数据包字段、丢弃风险流量等，适配多样化网络需求。

很多同学会混淆策略路由与路由策略，二者虽名称相近但本质不同。策略路由作用于数据包转发过程，直接决定“数据怎么送”；路由策略则作用于路由信息，控制“路由怎么学、怎么传”，不直接影响数据包转发。实际网络中二者可配合使用，比如先用路由策略优化路由信息，再用策略路由分配具体流量路径。

应用场景

策略路由在实际场景中应用广泛，从服务器运维到业务调度均有落地，以下是几个典型案例。

第一个是Linux服务器双网卡双链路场景，很多服务器会配置两张网卡连接不同网段，若需实现双网卡同时对外通信，可通过策略路由突破单默认路由限制。例如服务器网卡eth0（IP：172.21.134.84，网关：172.21.134.1）和eth1（IP：172.21.135.7，网关：172.21.135.1），先新增两张路由表net_134和net_135，分别添加对应网卡的默认路由，再配置策略规则“从172.21.134.84发出的数据包使用net_134表”“从172.21.135.7发出的数据包使用net_135表”，即可实现双网卡独立通信，避免流量冲突。

第二个是任务调度集群负载均衡案例，在XXL-Job等分布式任务框架中，策略路由是解决任务分配与冲突的核心手段。比如电商平台的优惠券过期提醒任务，需避免多节点并发导致重复提醒，可采用“固定节点策略”，将任务绑定至指定节点，该节点预设专属数据查询权限和短信发送配置，同时搭配故障转移功能设置备用节点，兼顾稳定性与精准性；而对于批量订单提醒、数据同步等无节点依赖的任务，则可选用“轮询策略”，按节点注册顺序循环分配任务，均匀分摊压力，提升处理效率。

第三个是跨运营商网络优化案例，在烟台联通与电信的4G基站共享项目中，策略路由为跨网互联互通提供支撑。通过配置策略规则，让联通用户流量走联通城域网链路，电信用户流量走电信STN网络链路，再结合EBGP协议实现两大网络安全互联，既解决了跨运营商访问卡顿问题，又通过资源共享降低了60%以上的单站建设成本，减少重复光缆铺设，实现生态协同。

第四个是域间路由安全管控案例，针对互联网域间路由的前缀劫持、路由泄露等安全问题，可结合策略路由与区块链技术构建防护体系。通过策略路由筛选域间传输的路由数据包，仅允许经过区块链认证的合法路由信息通过，同时拒绝伪造或异常的路由数据，弥补传统BGP协议无条件信任的缺陷，无需依赖中心化机构即可建立多域间的信任机制，保障域间通信安全稳定。

网络设备命令配置

策略路由的落地需依托网络设备命令配置，以下分别梳理华为（Huawei）和思科（Cisco）设备的核心配置命令，结合基础场景帮助大家理解实操逻辑，命令已简化核心步骤，适配入门学习。

华为设备策略路由配置（以VRP系统为例，场景：按源IP转发至不同下一跳）：

首先创建ACL规则匹配源IP，如“acl number 2000”，

再配置规则“rule 5 permit source 192.168.1.0 0.0.0.255”（匹配192.168.1.0网段）；

接着创建策略路由节点，“traffic policy PBR_TEST permit node 10”，关联ACL“if-match acl 2000”，指定下一跳“apply next-hop 10.0.0.1”；

最后在接口下应用策略，“interface GigabitEthernet 0/0/1”，执行“traffic-policy PBR_TEST inbound”（入方向应用），完成基础配置。

若需调整优先级，可通过修改节点编号（数字越小优先级越高）实现。

思科设备策略路由配置（以IOS系统为例，同上述场景）：

第一步创建访问控制列表，“access-list 1 permit 192.168.1.0 0.0.0.255”；

第二步定义策略路由映射，“route-map PBR_TEST permit 10”，匹配ACL“match ip address 1”，指定下一跳“set ip next-hop 10.0.0.1”；

第三步在接口入方向调用路由映射，“interface FastEthernet 0/0”，执行“ip policy route-map PBR_TEST”。

思科设备中，若需基于协议、端口匹配，可搭配“match ip protocol”“match ip port”命令扩展规则，例如“match ip protocol tcp”仅匹配TCP协议流量。

注意：两款设备配置逻辑一致（匹配规则→定义策略→接口应用），仅命令格式存在差异。实际配置时需先确认设备系统版本，部分版本命令可能略有调整，同时需提前排查接口状态、路由可达性，避免配置后流量不通。

如果是通过界面配置，以 H3C GR-1800AX 路由器为例只需要几步就完成了：

1、在左侧菜单栏，依次点击：高级设置 → 路由设置 → 切换到「策略路由」标签页。

2、在 “策略路由表” 区域，点击 新增 按钮，弹出 “新增策略路由列表” 窗口。

3、在弹出的窗口中，逐项填写：

• 表项序号：选择 “最后” 或指定序号，用于确定策略的匹配顺序。
• 协议类型：选择要匹配的协议（如 IP、TCP、UDP 等），默认是 IP。
• 源端口号：填写需要匹配的源端口范围（如 1-65535 表示所有端口）。
• 源 IP 地址段：填写需要匹配的源 IP 范围（如 0.0.0.0-255.255.255.255 表示所有 IP）。
• 目的端口号：填写需要匹配的目的端口范围（如 1-65535 表示所有端口）。
• 目的 IP 地址段：填写需要匹配的目的 IP 范围（如 0.0.0.0-255.255.255.255 表示所有 IP）。
• 出接口：选择该策略路由生效后数据包的转发出口（需从下拉菜单选择）。
• 可选 强制 复选框，强制使用该出接口。
• 生效时间：设置策略的生效时间段（默认是 00:00-24:00，即全天生效），并勾选生效的星期。
• 是否启用：选择 “启用” 以激活该策略。
• 描述：（可选）填写该策略的备注信息（1~15 个字符）。

4、填写完成后，点击窗口下方的 确定 按钮，保存这条策略路由。

5、返回 “策略路由表” 页面，确认新添加的策略已显示在列表中，状态为 “启用”。