H3C 策略路由配置
基於報文協議型別的本地策略路由配置舉例
1. 組網需求
Switch A分別與Switch B和Switch C直連(保證Switch B和Switch C之間路由完全不可達)。通過策略路由控制Switch A產生的報文:
·指定所有TCP報文的下一跳為1.1.2.2;
·其它報文仍然按照查詢路由表的方式進行轉發。
2.配置步驟
1)配置Switch A
# 建立VLAN 10和VLAN 20。
# 配置介面Vlan-interface10和Vlan-interface20的IP地址。
# 定義訪問控制列表ACL 3101,用來匹配TCP報文。 [SwitchA] acl advanced3101 [SwitchA-acl-ipv4-adv-3101] rule permit tcp # 定義5號節點,指定所有TCP報文的下一跳為1.1.2.2。 [SwitchA] policy-based-route aaa permit node 5 [SwitchA-pbr-aaa-5] if-match acl 3101 [SwitchA-pbr-aaa-5] apply next-hop 1.1.2.2 # 在Switch A上應用本地策略路由。 [SwitchA] ip local policy-based-route aaa
2)配置Switch B 和C
# 分別建立VLAN 10和VLAN 20。
# 分別配置介面Vlan-interface10和Vlan-interface20的IP地址。
#分別開啟telnet
3.驗證配置
從Switch A上通過Telnet方式登入Switch B(1.1.2.2/24),結果成功。
從Switch A上通過Telnet方式登入Switch C(1.1.3.2/24),結果失敗。
從Switch A上ping Switch C(1.1.3.2/24),結果成功。
由於Telnet使用的是TCP協議,ping使用的是ICMP協議,所以由以上結果可證明:Switch A發出的TCP報文的下一跳為1.1.2.2,介面Vlan-interface20不傳送TCP報文,但可以傳送非TCP報文,策略路由設定成功。
基於報文協議型別的轉發策略路由配置舉例
1. 組網需求
Switch A分別與Switch B和Switch C直連(保證Switch B和Switch C之間路由完全不可達)。
通過策略路由控制從Switch A的介面Vlan-interface11接收的報文:
·指定所有TCP報文的下一跳為1.1.2.2;
·其它報文仍然按照查詢路由表的方式進行轉發。
2.配置步驟
1)配置IP地址和單播路由協議,確保Switch B和Host A,Switch C和Host A之間路由可達,具體配置過程略。
2)配置Switch A
# 定義訪問控制列表ACL 3101,用來匹配TCP報文。 [SwitchA] acl advanced 3101 [SwitchA-acl-ipv4-adv-3101] rule permit tcp # 定義5號節點,指定所有TCP報文的下一跳為1.1.2.2。 [SwitchA] policy-based-route aaa permit node 5 [SwitchA-pbr-aaa-5] if-match acl 3101 [SwitchA-pbr-aaa-5] apply next-hop 1.1.2.2 # 在介面Vlan-interface11上應用轉發策略路由,處理此介面接收的報文。 [SwitchA] interface vlan-interface 11 [SwitchA-Vlan-interface11] ip policy-based-route aaa
基於報文協議型別的全域性策略路由配置舉例
1. 組網需求
Switch D分別與Switch A、Switch B、Switch C、Switch E和Switch F直連(保證Switch E到Switch F之間路由不可達)。通過全域性策略路由控制從Switch D的所有介面接收的報文:
· 指定所有TCP報文的下一跳為1.1.4.2;
· 其它報文仍然按照查詢路由表的方式進行轉發。
2.配置步驟
1)配置各裝置介面的IP地址
2)配置單播路由協議,確保Switch A和Switch E,Switch A和Switch F,Switch B和Switch E,Switch B和Switch F,Switch C和Switch E,Switch C和Switch F之間路由可達。
3)配置Switch D
# 定義訪問控制列表ACL 3101,用來匹配從1.1.1.0/24,1.1.2.0/24和1.1.3.0/24網段中的源裝置發來的TCP報文。 [SwitchD] acl advanced 3101 [SwitchD-acl-ipv4-adv-3101] rule permit tcp source 1.1.1.0 0.0.0.0.255 [SwitchD-acl-ipv4-adv-3101] rule permit tcp source 1.1.2.0 0.0.0.0.255 [SwitchD-acl-ipv4-adv-3101] rule permit tcp source 1.1.3.0 0.0.0.0.255 # 配置策略路由aaa,定義5號節點,指定所有TCP報文的下一跳為1.1.4.2。 [SwitchD] policy-based-route aaa permit node 5 [SwitchD-pbr-aaa-5] if-match acl 3101 [SwitchD-pbr-aaa-5] apply next-hop 1.1.4.2 # 在Switch D上應用全域性策略路由aaa,處理Router D上所有介面接收的報文。 [SwitchD] ip global policy-based-route aaa
3.驗證配置
從Switch A上通過Telnet方式登入Switch E,結果成功,登入Switch F,結果失敗。
從Switch B上通過Telnet方式登入Switch E,結果成功,登入Switch F,結果失敗。
從Switch C上通過Telnet方式登入Switch E,結果成功,登入Switch F,結果失敗。
從Switch A上ping Switch F,結果成功。
從Switch B上ping Switch F,結果成功。
從Switch C上ping Switch F,結果成功。
由於Telnet使用的是TCP協議,ping使用的是ICMP協議,所以由以上結果可證明:從Switch D的VLAN介面1、VLAN介面2和VLAN介面3接收的TCP報文的下一跳為1.1.4.2,全域性策略路由設定成功。