- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
21-策略路由快速配置指南
本章節下載 (246.17 KB)
策略路由快速配置指南
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本案例介紹基於報文源IPv4地址的策略路由的配置方法。
如圖1所示,Switch A分別與Switch B和Switch C相連。配置靜態路由,使Switch A收到的所有訪問服務器114.114.114.114/24的報文都根據路由表從Switch B轉發。
現要求在Switch A上配置策略路由,控製訪問服務器114.114.114.114/24的報文:
· 匹配Vlan-interface2上收到的源地址為192.168.2.0/24報文,將該報文的下一跳重定向到Switch C轉發;
· 其他報文仍從Switch B轉發。
圖1 基於報文源IPv4地址的策略路由配置組網圖
|
設備 |
接口 |
IP地址 |
設備 |
接口 |
IP地址 |
|
Switch A |
Vlan-int1 |
192.168.1.1/24 |
Switch C |
Vlan-int4 |
20.20.20.2/24 |
|
|
Vlan-int2 |
192.168.2.1/24 |
|
Vlan-int6 |
40.40.40.1/24 |
|
|
Vlan-int3 |
10.10.10.1/24 |
Switch D |
Vlan-int5 |
30.30.30.2/24 |
|
|
Vlan-int4 |
20.20.20.1/24 |
|
Vlan-int6 |
40.40.40.2/24 |
|
Switch B |
Vlan-int3 |
10.10.10.2/24 |
|
Vlan-int7 |
114.114.114.1/24 |
|
|
Vlan-int5 |
30.30.30.1/24 |
|
|
|
為Host A配置IP地址為192.168.1.2,掩碼為255.255.255.0,網關地址為192.168.1.1。
為Host B配置IP地址為192.168.2.2,掩碼為255.255.255.0,網關地址為192.168.2.1。
# 創建VLAN,在VLAN中加入對應的端口,並配置各VLAN接口的IP地址。
<SwitchA> system-view
[SwitchA] vlan 1
[SwitchA-vlan1] port gigabitethernet 1/0/1
[SwitchA-vlan1] quit
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 1/0/2
[SwitchA-vlan2] quit
[SwitchA] vlan 3
[SwitchA-vlan3] port gigabitethernet 1/0/3
[SwitchA-vlan3] quit
[SwitchA] vlan 4
[SwitchA-vlan4] port gigabitethernet 1/0/4
[SwitchA-vlan4] quit
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 192.168.1.1 24
[SwitchA-Vlan-interface1] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.2.1 24
[SwitchA-Vlan-interface2] quit
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ip address 10.10.10.1 24
[SwitchA-Vlan-interface3] quit
[SwitchA] interface vlan-interface 4
[SwitchA-Vlan-interface4] ip address 20.20.20.1 24
[SwitchA-Vlan-interface4] quit
# 配置目的地址是114.114.114.114/24的靜態路由。在未配置策略路由的情況下,所有訪問目的地址114.114.114.114/24的報文均從Switch B轉發。
[SwitchA] ip route-static 114.114.114.114 24 10.10.10.2
# 定義訪問控製列表ACL 3000,用來匹配源地址為192.168.2.0/24網段的報文。
[SwitchA-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255
[SwitchA-acl-ipv4-adv-3000] quit
# 定義訪問控製列表ACL 3001,用來匹配源地址為192.168.2.0/24網段,目的地址是192.168.1.0/24的報文。
[SwitchA] acl advanced 3001
[SwitchA-acl-ipv4-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[SwitchA-acl-ipv4-adv-3001] quit
# 創建策略路由,名稱為aaa,節點為10,匹配ACL 3001的數據流,不設置apply動作,從而避免SwitchA不同接口之間互相訪問的流量被攔截(如果不設置動作,則匹配到的數據轉發時根據路由表來進行轉,且不再匹配下一節點,配置這個節點的作用是實現內網不同網段之間互訪的流量不匹配策略路由,達到可以互訪的目的。缺省情況下,網關在路由器上的不同網段是可以互相訪問的)。
[SwitchA] policy-based-route aaa permit node 10
[SwitchA-pbr-aaa-10] if-match acl 3001
[SwitchA-pbr-aaa-10] quit
# 創建策略路由aaa的節點20,匹配ACL 3000的數據流,設置apply動作,指定數據的下一跳為20.20.20.2。
[SwitchA] policy-based-route aaa permit node 20
[SwitchA-pbr-aaa-20] if-match acl 3000
[SwitchA-pbr-aaa-20] apply next-hop 20.20.20.2
[SwitchA-pbr-aaa-20] quit
# 在SwitchA的Vlan-interface2接口上應用策略路由。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip policy-based-route aaa
[SwitchA-Vlan-interface2] quit
# 開啟設備的ICMP目的不可達報文的發送功能。
[SwitchA] ip unreachables enable
# 開啟ICMP超時報文發送功能。
[SwitchA] ip ttl-expires enable
# 保存配置。
[SwitchA] save force
# 創建VLAN,在VLAN中加入對應的端口,並配置各VLAN接口的IP地址。
<SwitchB> system-view
[SwitchB] vlan 3
[SwitchB-vlan3] port gigabitethernet 1/0/1
[SwitchB-vlan3] quit
[SwitchB] vlan 5
[SwitchB-vlan5] port gigabitethernet 1/0/2
[SwitchB-vlan5] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] ip address 10.10.10.2 24
[SwitchB-Vlan-interface3] quit
[SwitchB] interface vlan-interface 5
[SwitchB-Vlan-interface5] ip address 30.30.30.1 24
[SwitchB-Vlan-interface5] quit
# 配置訪問114.114.114.114/32的靜態路由。
[SwitchB] ip route-static 114.114.114.114 24 30.30.30.2
# 配置訪問192.168.1.0/24的靜態路由。
[SwitchB] ip route-static 192.168.1.0 24 10.10.10.1
# 配置訪問192.168.2.0/24的靜態路由。
[SwitchB] ip route-static 192.168.2.0 24 10.10.10.1
# 開啟設備的ICMP目的不可達報文的發送功能。
[SwitchB] ip unreachables enable
# 開啟ICMP超時報文發送功能。
[SwitchB] ip ttl-expires enable
# 保存配置。
[SwitchB] save force
# 創建VLAN,在VLAN中加入對應的端口,並配置各VLAN接口的IP地址。
<SwitchC> system-view
[SwitchC] vlan 4
[SwitchC-vlan4] port gigabitethernet 1/0/1
[SwitchC-vlan4] quit
[SwitchC] vlan 6
[SwitchC-vlan6] port gigabitethernet 1/0/2
[SwitchC-vlan6] quit
[SwitchC] interface vlan-interface 4
[SwitchC-Vlan-interface4] ip address 20.20.20.2 24
[SwitchC-Vlan-interface4] quit
[SwitchC] interface vlan-interface 6
[SwitchC-Vlan-interface6] ip address 40.40.40.1 24
[SwitchC-Vlan-interface6] quit
# 配置訪問114.114.114.114/32的靜態路由。
[SwitchC] ip route-static 114.114.114.114 24 40.40.40.2
# 配置訪問192.168.1.0/24的靜態路由。
[SwitchC] ip route-static 192.168.1.0 24 20.20.20.1
# 配置訪問192.168.2.0/24的靜態路由。
[SwitchC] ip route-static 192.168.2.0 24 20.20.20.1
# 開啟設備的ICMP目的不可達報文的發送功能。
[SwitchC] ip unreachables enable
# 開啟ICMP超時報文發送功能。
[SwitchC] ip ttl-expires enable
# 保存配置。
[SwitchC] save force
# 創建VLAN,在VLAN中加入對應的端口,並配置各VLAN接口的IP地址。
<SwitchD> system-view
[SwitchD] vlan 5
[SwitchD-vlan5] port gigabitethernet 1/0/1
[SwitchD-vlan5] quit
[SwitchD] vlan 6
[SwitchD-vlan6] port gigabitethernet 1/0/2
[SwitchD-vlan6] quit
[SwitchD] vlan 7
[SwitchD-vlan7] port gigabitethernet 1/0/3
[SwitchD-vlan7] quit
[SwitchD] interface vlan-interface 5
[SwitchD-Vlan-interface5] ip address 30.30.30.2 24
[SwitchD-Vlan-interface5] quit
[SwitchD] interface vlan-interface 6
[SwitchD-Vlan-interface6] ip address 40.40.40.2 24
[SwitchD-Vlan-interface6] quit
[SwitchD] interface vlan-interface 7
[SwitchD-Vlan-interface7] ip address 114.114.114.1 24
[SwitchD-Vlan-interface7] quit
# 配置訪問192.168.1.0/24的靜態路由。
[SwitchD] ip route-static 192.168.1.0 24 30.30.30.1
# 配置訪問192.168.2.0/24的靜態路由。
[SwitchD] ip route-static 192.168.2.0 24 40.40.40.1
# 開啟設備的ICMP目的不可達報文的發送功能。
[SwitchD] ip unreachables enable
# 開啟ICMP超時報文發送功能。
[SwitchD] ip ttl-expires enable
# 保存配置。
[SwitchD] save force
# 在Switch A上通過display ip policy-based-route命令可以查看到當前策略路由配置已經配置成功。
[SwitchA] display ip policy-based-route interface Vlan-interface 2
Policy-based routing information for interface Vlan-interface2:
Policy name: aaa
node 10 permit:
if-match acl 3001
Matches: 0, bytes: 0
node 20 permit:
if-match acl 3000
apply next-hop 20.20.20.2
Matches: 0, bytes: 0
Total matches: 0, total bytes: 0
# 在Host A上使用tracert命令驗證服務器114.114.114.114/24是否可達(使用Tracert功能需要在中間設備上開啟ICMP超時報文發送功能,在目的端開啟ICMP目的不可達報文發送功能)。可以看到報文從Switch B轉發。
C:\Documents and Settings\Administrator>tracert 114.114.114.114
Tracing route to 114.114.114.114 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 <1 ms <1 ms <1 ms 10.10.10.2
3 <1 ms <1 ms <1 ms 30.30.30.2
4 1 ms <1 ms <1 ms 114.114.114.114
Trace complete.
# 在Host B上使用tracert命令驗證服務器114.114.114.114/24是否可達。可以看到報文從Switch C轉發,策略路由配置成功。
C:\Documents and Settings\Administrator>tracert 114.114.114.114
Tracing route to 114.114.114.114 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.2.1
2 <1 ms <1 ms <1 ms 20.20.20.2
3 <1 ms <1 ms <1 ms 40.40.40.2
4 1 ms <1 ms <1 ms 114.114.114.114
Trace complete.
· Switch A:
#
ip unreachables enable
ip ttl-expires enable
#
vlan 1
#
vlan 2 to 4
#
policy-based-route aaa permit node 10
if-match acl 3001
#
policy-based-route aaa permit node 20
if-match acl 3000
apply next-hop 20.20.20.2
#
interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0
#
interface Vlan-interface2
ip address 192.168.2.1 255.255.255.0
ip policy-based-route aaa
#
interface Vlan-interface3
ip address 10.10.10.1 255.255.255.0
#
interface Vlan-interface4
ip address 20.20.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 3
#
interface GigabitEthernet1/0/4
port link-mode bridge
port access vlan 4
#
ip route-static 114.114.114.114 24 10.10.10.2
#
acl advanced 3000
rule 0 permit ip source 192.168.2.0 0.0.0.255
#
acl advanced 3001
rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
· Switch B :
#
ip unreachables enable
ip ttl-expires enable
#
vlan 3
#
vlan 5
#
interface Vlan-interface3
ip address 10.10.10.2 255.255.255.0
#
interface Vlan-interface5
ip address 30.30.30.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 3
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 5
#
ip route-static 114.114.114.114 24 30.30.30.2
ip route-static 192.168.1.0 24 10.10.10.1
ip route-static 192.168.2.0 24 10.10.10.1
#
· Switch C:
#
ip unreachables enable
ip ttl-expires enable
#
vlan 4
#
vlan 6
#
interface Vlan-interface4
ip address 20.20.20.2 255.255.255.0
#
interface Vlan-interface6
ip address 40.40.40.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 4
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 6
#
ip route-static 114.114.114.114 24 40.40.40.2
ip route-static 192.168.1.0 24 20.20.20.1
ip route-static 192.168.2.0 24 20.20.20.1
#
· Switch D:
#
ip unreachables enable
ip ttl-expires enable
#
vlan 5 to 7
#
interface Vlan-interface5
ip address 30.30.30.2 255.255.255.0
#
interface Vlan-interface6
ip address 40.40.40.2 255.255.255.0
#
interface Vlan-interface7
ip address 114.114.114.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 5
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 6
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 7
#
ip route-static 192.168.1.0 24 30.30.30.1
ip route-static 192.168.2.0 24 40.40.40.1
#
· 產品配套“三層技術-IP路由配置指導”中的“策略路由”。
· 產品配套“三層技術-IP路由命令參考”中的“策略路由”。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
