- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-H3C_策略路由典型配置舉例
本章節下載: 08-H3C_策略路由典型配置舉例 (170.85 KB)
H3C 策略路由典型配置舉例
資料版本:6W100-20190330
產品版本:Release 7577P04
Copyright © 2019 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
普通報文是根據目的IP地址來查找路由表轉發的,策略路由是一種依據用戶製定的策略進行路由選擇的機製。策略路由可以基於到達報文的源地址、目的地址、IP優先級、協議類型等字段靈活地進行路由選擇。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文假設您已了解策略路由特性。
· 本設備隻支持轉發策略路由。轉發策略路由隻對接口接收的報文起作用,指導其轉發,對本地產生的報文不起作用;
· 配置重定向到下一跳時,不能將IPv4規則重定向到IPv6地址,反之亦然。
如圖1所示,缺省情況下,Device的VLAN接口2上收到的所有訪問Server的報文根據路由表轉發的下一跳均為10.4.1.2。
現要求在Device上配置IPv4策略路由,對於訪問Server的報文實現如下要求:
(1) 首先匹配Vlan-interface2上收到的源IP地址為10.2.1.1的報文,將該報文的下一跳重定向到10.5.1.2;
(2) 其次匹配Vlan-interface2上收到的HTTP報文,將該報文的下一跳重定向到10.3.1.2。
圖1 IPv4策略路由特性典型配置組網圖
· 為了確保能同時滿足對於兩種不同類型的報文重定向到不同的下一跳,需要配置兩個訪問控製列表,一個用於匹配Vlan-interface2上收到的源IP地址為10.2.1.1的報文,另一個用於匹配Vlan-interface2上收到的HTTP報文,並在策略路由中創建兩個節點,分別對匹配上的報文進行重定向;
· 同一條策略路由中,創建的節點編號越小,優先級越高。為了確保Vlan-interface2上收到源IP地址為10.2.1.1的HTTP報文下一跳能優先被重定向到10.5.1.2,需要在策略路由中配置該策略使用較小的節點編號(本例中使用0號節點,另一策略使用1號節點)。
#配置Vlan-interface2的IP地址。
<Device> system-view
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 10.1.2.1 255.255.255.0
[Device-Vlan-interface2] quit
#請參考以上方法配置圖1中其它接口的IP地址,配置步驟這裏省略。
# 配置靜態路由,保證三條路徑都可達,並且缺省下一跳為10.4.1.2。
[Device] ip route-static 192.168.1.0 24 10.3.1.2
[Device] ip route-static 192.168.1.0 24 10.4.1.2 preference 40
[Device] ip route-static 192.168.1.0 24 10.5.1.2
# 定義訪問控製列表ACL 3005,用於匹配源IP地址為10.2.1.1的報文。
[Device] acl advanced 3005
[Device-acl-ipv4-adv-3005] rule 0 permit ip source 10.2.1.1 0
[Device-acl-ipv4-adv-3005] quit
# 定義訪問控製列表ACL 3006,用於匹配HTTP報文。
[Device] acl advanced 3006
[Device-acl-ipv4-adv-3006] rule 0 permit tcp destination-port eq www
[Device-acl-ipv4-adv-3006] quit
# 創建策略路由pbr1的0號節點,將匹配ACL 3005的報文下一跳重定向到10.5.1.2。
[Device] policy-based-route pbr1 permit node 0
[Device-pbr-pbr1-0] if-match acl 3005
[Device-pbr-pbr1-0] apply next-hop 10.5.1.2
[Device-pbr-pbr1-0] quit
# 創建策略路由pbr1的1號節點,將匹配ACL 3006的報文下一跳重定向到10.3.1.2。
[Device] policy-based-route pbr1 permit node 1
[Device-pbr-pbr1-1] if-match acl 3006
[Device-pbr-pbr1-1] apply next-hop 10.3.1.2
[Device-pbr-pbr1-1] quit
# 在Device的接口Vlan-interface2上應用策略。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip policy-based-route pbr1
[Device-Vlan-interface2] quit
通過display ip policy-based-route命令可以查看到當前策略路由配置已經配置成功:
[Device] display ip policy-based-route policy pbr1
Policy name: pbr1
node 0 permit:
if-match acl 3005
apply next-hop 10.5.1.2
node 1 permit:
if-match acl 3006
apply next-hop 10.3.1.2
# 通過tracert命令查看以下報文的轉發路徑(使用Tracert功能需要在中間設備上開啟ICMP超時報文發送功能,在目的端開啟ICMP目的不可達報文發送功能):
源IP為10.1.1.1的非HTTP報文,重定向到10.4.1.2進行轉發。
<Switch> tracert -a 10.1.1.1 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1) from 10.1.1.1, 30 hops at most, 40 bytes
each packet, press CTRL_C to break
1 10.1.2.1 (10.1.2.1) 2.178 ms 1.364 ms 1.058 ms
2 10.4.1.2 (10.4.1.2) 1.548 ms 1.248 ms 1.112 ms
3 192.168.1.1 (192.168.1.1) 1.594 ms 1.321 ms 1.093 ms
源IP為10.2.1.1的報文,重定向到10.5.1.2進行轉發。
<Switch> tracert -a 10.2.1.1 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1) from 10.2.1.1, 30 hops at most, 40 bytes
each packet, press CTRL_C to break
1 10.1.2.1 (10.1.2.1) 1.721 ms 1.226 ms 1.050 ms
2 10.5.1.2 (10.5.1.2) 4.494 ms 1.385 ms 1.170 ms
3 192.168.1.1 (192.168.1.1) 1.448 ms 1.304 ms 1.093 ms
#
vlan 1
#
vlan 2 to 5
#
policy-based-route pbr1 permit node 0
if-match acl 3005
apply next-hop 10.5.1.2
#
policy-based-route pbr1 permit node 1
if-match acl 3006
apply next-hop 10.3.1.2
#
interface Vlan-interface2
ip address 10.1.2.1 255.255.255.0
ip policy-based-route pbr1
#
interface Vlan-interface3
ip address 10.3.1.1 255.255.255.0
#
interface Vlan-interface4
ip address 10.4.1.1 255.255.255.0
#
interface Vlan-interface5
ip address 10.5.1.1 255.255.255.0
#
interface Ten-GigabitEthernet3/0/1
port link-mode bridge
port access vlan 2
#
interface Ten-GigabitEthernet3/0/3
port link-mode bridge
port access vlan 3
#
interface Ten-GigabitEthernet3/0/4
port link-mode bridge
port access vlan 4
#
interface Ten-GigabitEthernet3/0/5
port link-mode bridge
port access vlan 5
#
ip route-static 192.168.1.0 24 10.3.1.2
ip route-static 192.168.1.0 24 10.4.1.2 preference 40
ip route-static 192.168.1.0 24 10.5.1.2
#
acl advanced 3005
rule 0 permit ip source 10.2.1.1 0
#
acl advanced 3006
rule 0 permit tcp destination-port eq www
#
如圖2所示缺省情況下,Device的Vlan-interface2上收到的所有訪問Server的報文根據路由表轉發的下一跳均為2004::2。
現要求在Device上配置IPv4策略路由,對於訪問Server的報文實現如下要求:
(1) 首先匹配Vlan-interface2上收到的源IPv6地址為2002::1的報文,將該報文的下一跳重定向到2005::2;
(2) 其次匹配Vlan-interface2上收到的HTTP報文,將該報文的下一跳重定向到2003::2。
圖2 IPv6策略路由特性典型配置組網圖
· 為了確保能同時滿足對於兩種不同類型的報文重定向到不同的下一跳,需要配置兩個訪問控製列表,一個用於匹配Vlan-interface2上收到的源IPv6地址為2002::1的報文,另一個用於匹配Vlan-interface2上收到的HTTP報文,並在策略路由中創建兩個節點,分別對匹配上的報文進行重定向;
· 同一條策略路由中,創建的節點編號越小,優先級越高。為了確保Vlan-interface2上收到源IPv6地址為2002::1的HTTP報文下一跳能優先被重定向到2005::2,需要在策略路由中配置該策略使用較小的節點編號(本例中使用0號節點,另一策略使用1號節點)。
#配置Vlan-interface2的IPv6地址。
<Device> system-view
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ipv6 address 2007::1 64
[Device-Vlan-interface2] quit
#請參考以上方法配置圖2中其它接口的IPv6地址,配置步驟這裏省略。
# 配置靜態路由,保證三條路徑都可達,並且缺省下一跳為2004::2/64。
[Device] ipv6 route-static 3001::1 64 2003::2
[Device] ipv6 route-static 3001::1 64 2004::2 preference 40
[Device] ipv6 route-static 3001::1 64 2005::2
# 定義IPv6訪問控製列表IPv6 ACL 3005,用於匹配源IPv6地址為2002::1的報文。
[Device] acl ipv6 advanced 3005
[Device-acl-ipv6-adv-3005] rule 0 permit ipv6 source 2002::1/128
[Device-acl-ipv6-adv-3005] quit
# 定義IPv6訪問控製列表IPv6 ACL 3006,用於匹配Vlan-interface2端口上收到的HTTP報文。
[Device] acl ipv6 advanced 3006
[Device-acl-ipv6-adv-3006] rule 0 permit tcp destination-port eq www
[Device-acl-ipv6-adv-3006] quit
# 創建IPv6策略路由pbr1的0號結點,將匹配IPv6 ACL 3005的報文下一跳重定向到2005::2。
[Device] ipv6 policy-based-route pbr1 permit node 0
[Device-pbr6-pbr1-0] if-match acl 3005
[Device-pbr6-pbr1-0] apply next-hop 2005::2
[Device-pbr6-pbr1-0] quit
# 創建IPv6策略路由pbr1的1號結點,將匹配IPv6 ACL 3006的報文下一跳重定向到2003::2。
[Device] ipv6 policy-based-route pbr1 permit node 1
[Device-pbr6-pbr1-1] if-match acl 3006
[Device-pbr6-pbr1-1] apply next-hop 2003::2
[Device-pbr6-pbr1-1] quit
# 在交換機的接口Vlan-interface2上應用策略。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ipv6 policy-based-route pbr1
[Device-Vlan-interface2] quit
通過display ipv6 policy-based-route命令可以查看到當前IPv6策略路由配置已經生效:
[Device] display ipv6 policy-based-route policy pbr1
Policy name: pbr1
node 0 permit:
if-match acl 3005
apply next-hop 2005::2
node 1 permit:
if-match acl 3006
apply next-hop 2003::2
當Device收到源IPv6地址為2002::1的報文時,有如下結果:
· 當2005::2可達時,報文被重定向到2005::2;
· 當2005::2不可達時,報文會根據普通的路由表轉發到下一跳2004::2。
當Device收到HTTP報文時,有如下結果:
· 當2003::2可達時,報文被重定向到2003::2;
· 當2003::2不可達時,報文會根據普通的路由表轉發到下一跳2004::2。
#
vlan 1
#
vlan 2 to 5
#
ipv6 policy-based-route pbr1 permit node 0
if-match acl 3005
apply next-hop 2005::2
#
ipv6 policy-based-route pbr1 permit node 1
if-match acl 3006
apply next-hop 2003::2
#
interface Vlan-interface2
ipv6 policy-based-route pbr1
ipv6 address 2007::1/64
#
interface Vlan-interface3
ipv6 address 2003::1 64
#
interface Vlan-interface4
ipv6 address 2004::1 64
#
interface Vlan-interface5
ipv6 address 2005::1 64
#
interface Ten-GigabitEthernet5/0/1
port link-mode bridge
port access vlan 2
#
interface Ten-GigabitEthernet5/0/3
port link-mode bridge
port access vlan 3
#
interface Ten-GigabitEthernet5/0/4
port link-mode bridge
port access vlan 4
#
interface Ten-GigabitEthernet5/0/5
port link-mode bridge
port access vlan 5
#
ipv6 route-static 3001:: 64 2003::2
ipv6 route-static 3001:: 64 2004::2 preference 40
ipv6 route-static 3001:: 64 2005::2
#
acl ipv6 advanced 3005
rule 0 permit ipv6 source 2002::1/128
#
acl ipv6 advanced 3006
rule 0 permit tcp destination-port eq www
#
· H3C S7600-X係列交換機 三層技術-IP路由配置指導-R757X
· H3C S7600-X係列交換機 三層技術-IP路由命令參考-R757X
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
