• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

修改路由路徑

2025-04-12提問
  • 0關注
  • 0收藏,495瀏覽
粉絲:0人 關注:0人

問題描述:

 

ASBR1 分別和 ASBR2、ASBR3做了option-B。

從 PC3 ping PC2,目前走的是藍色的路線,怎樣能變成紅色的路線?

並且從 PC2 ping PC3,怎樣能反走紅色的路線?

有沒有大佬能給一點具體的說明,比如在哪邊的接口寫什麼

4 個回答
已采納
粉絲:32人 關注:11人

我覺得這個不動PE和ASBR,直接從CE側動手應該會簡單一些。

比如用GER隧道應該可以實現。就是讓報文先做GRE封裝,再壓入MPLS標簽。


給CE1、CE2、CE3分別創建一個loopback接口,比如分別是1.1.1.1、2.2.2.2、3.3.3.3。

把這三個地址當做私網的主機路由分別發布給各自的PE,保證何以互通。

在CE1和CE2之間創建GRE隧道tunnel 12,源是1.1.1.1,目的地址2.2.2.2。

同理,在CE1和CE3之間創建GRE隧道tunnel 13。


在CE3上寫靜態路由,指定去PC2的流量走tunnel 13,這樣流量會先到達CE1。(指定一下靜態路由的優先級,保證他比原來的路由高,後麵的配置同理。)

在CE1上對tunnel 13調用相關的策略路由或使用其他引流手段,把流量引向防火牆。

等流量從防火牆上發回CE1後,匹配一條去PC2的靜態路由,指向tunnel 12,把流量轉發給CE2,並正常到達PC 2。


回向流量的配置同理。


感謝您的幫助!!!

zhiliao_uOOalp 發表時間:2025-04-14 更多>>

差不多是可以的,如果再這個基礎上考慮安全性,給GRE隧道做IPSec,那引流的策略路由應該匹配加密後的路由嗎

zhiliao_uOOalp 發表時間:2025-04-14

我的判斷是要看具體配置。如果CE1隻是通過GRE隧道中轉CE3和CE2發過來的ipsec封裝過的報文(自身不配置ipsec),那麼引流時應該匹配ipsec封裝後的報文;但如果CE1是把CE3發過來的報文ipsec解封裝後引流到防火牆上,然後把回來的報文重新做ipsec封裝以後再發給CE2的,那麼策略路由應該要匹配原始報文(PC剛發出來的報文,未進行GRE、IPSEC、MPLS封裝的最初的報文)。

奇怪的流量 發表時間:2025-04-14

如果是要實現(CE1是把CE3發過來的報文ipsec解封裝後引流到防火牆上,然後把回來的報文重新做ipsec封裝以後再發給CE2的,那麼策略路由應該要匹配原始報文)這種,是應該CE1分別和CE2、CE3做IPSec嗎?如果是,IPSec匹配的感興趣流的是gre隧道的源和目的IP嗎?然後再在CE1上對原始報文進行策略路由引流?

zhiliao_uOOalp 發表時間:2025-04-14

恭喜你,都學會搶答啦。

奇怪的流量 發表時間:2025-04-14

可是這樣做的ike sa 為空

zhiliao_uOOalp 發表時間:2025-04-14

然後如果CE2和CE3那裏的IPSec感興趣流寫了原始報文,但是CE1該寫什麼感興趣流呢

zhiliao_uOOalp 發表時間:2025-04-14

不會啊,檢查一下配置,抓包看看,debug看看。

奇怪的流量 發表時間:2025-04-14

如果IPSec的感興趣流寫的是gre隧道的源和目的IP,好像根本匹配不上

zhiliao_uOOalp 發表時間:2025-04-14

如果覺得封裝多層比較暈的話,可以先不用gre,就做ipsec(把用純gre做的那些配置全改成ipsec),ipsec本身也具備做vpn的能力,兩個願望一次滿足,所有acl全都匹配原始報文,簡單粗暴。

奇怪的流量 發表時間:2025-04-14

在CE1和PE1之間又添了一條線路,然後實現了

zhiliao_uOOalp 發表時間:2025-04-14

感謝您的幫助!!!

zhiliao_uOOalp 發表時間:2025-04-14
粉絲:0人 關注:0人

這個估計不好滿足,不過可以讓PC3訪問PC-2的流量走PE3-PE1-PE2。但是要流量走CE1-在過一遍防火牆有點難

其實就是控製控製RT值,你可以參考下MPLS-vpn中Hub and Spoke場景,讓PE1收到PE2和PE3的路由,PE2和PE3之間不學習彼此路由。

牛馬網工當牛馬 發表時間:2025-04-12 更多>>

那如果讓PC3訪問PC2的流量走PE3-PE1-PE2,具體怎麼做呢

zhiliao_uOOalp 發表時間:2025-04-12

其實就是控製控製RT值,你可以參考下MPLS-vpn中Hub and Spoke場景,讓PE1收到PE2和PE3的路由,PE2和PE3之間不學習彼此路由。

牛馬網工當牛馬 發表時間:2025-04-12
米多 七段
粉絲:5人 關注:0人

ASBR1 \PE1\CE1\FW 做策略路由,接口就是你紅色的流量接口。

好像實現不了的

zhiliao_uOOalp 發表時間:2025-04-12 更多>>

好像實現不了的

zhiliao_uOOalp 發表時間:2025-04-12
粉絲:112人 關注:1人

這個應該做不了,option-B依靠3層標簽轉發,PE1無法解掉3層標簽

編輯答案

你正在編輯答案

如果你要對問題或其他回答進行點評或詢問,請使用評論功能。

分享擴散:

提出建議

    +

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作

舉報

×

侵犯我的權益 >
對根叔社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明