📄
chjina Wiki
  • 首页
  • 网站收藏
    • GitHub
    • 趣站
      • 工具类
      • 网络工具
      • 网络空间资产
  • IT知识库
    • 路由交换
      • 华三
        • 防火墙
          • 概览页面的流量监控不显示数据
        • DHCP
          • IP Source Guard与DHCP Snooping配合的IPv4动态绑定功能配置举例
          • DHCP Snooping典型配置举例
        • 1.端口镜像配置
        • 2.链路聚合
        • 3.IRF堆叠
        • 4.ARP网关保护功能
        • 5.交换机作为SSH客户端登录出错
        • 6.策略路由改变下一跳
        • 7.交换机密码策略实现的解决办法
        • 8.华三交换机配置NTP
        • 9.环路检测配置举例
        • 10.静态路由、Track与NQA联动,设置浮动备份路由
      • 华为
        • 华为交换机开启远程Telnet登录
        • 华为交换机配置链路聚合
      • 锐捷
        • 常用命令
      • 戴尔
        • DELL 网络交换机 基本配置说明
      • 博科SAN交换机基本配置
    • 服务器
      • 浪潮
        • RAID配置
          • Ctrl+A RAID配置
          • Ctrl+H RAID配置
          • LSI 9271 8i Raid卡开启jbod(直通)功能
        • 启用MWAIT等
      • 华为
        • 华为2288H v5服务器开启MWAIT功能
      • 惠普
        • HPE服务器安装下载驱动教程
        • HP ilo5 更改中文
    • 虚拟化
      • Vmware
        • VMware 系列 密钥
        • vCenter
          • VCSA6.7无DNS安装
          • VCSA7.0.2无DNS安装
          • vCenter扩容硬盘
          • Vcenter 由于一个或多个 vCenter Server 系统的凭据无效,登录失败
        • ESXi
          • 使用命令升级ESXI系统(补丁)
          • ESXi覆盖安装重置root密码
          • vCenter重置ESXi主机root密码
    • 系统配置和优化
      • Windows
        • Windows挂载NFS
        • Windows Server 链路聚合配置
        • Windows 远程提示函数不受支持
        • Windows系统配置NTP服务器
        • Windows11系统初始化无网络连接
      • Linux
        • Centos
          • CentOS网卡配置
          • CentOS重置密码
          • CentOS使用iso镜像作为私有源
          • CentOS防火墙
          • 创建systemd service服务
        • Ubuntu
          • Ubuntu 24.04 server 安装
          • Ubuntu安装ssh
          • Ubuntu修改ip地址
    • Docker
      • UFW管理Docker端口
    • KMS激活命令
      • kms命令激活office
      • kms命令激活windows系统
    • 各厂商默认管理地址
  • 读书清单
    • 清单
  • 捡垃圾
    • 空气果Fun
    • 合宙Air700E/780E短信转发
由 GitBook 提供支持
在本页
  • 1 简介
  • 2 配置前提
  • 3 使用限制
  • 4 IPv4策略路由配置举例
  • 4.1 组网需求
  • 4.2 配置思路
  • 4.3 配置步骤
  • 4.4 验证配置
  • 5 查看配置

这有帮助吗?

  1. IT知识库
  2. 路由交换
  3. 华三

6.策略路由改变下一跳

上一页5.交换机作为SSH客户端登录出错下一页7.交换机密码策略实现的解决办法

最后更新于2年前

这有帮助吗?

1 简介

本文档介绍了策略路由的配置举例。

普通报文是根据目的IP地址来查找路由表转发的,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP优先级、协议类型等字段灵活地进行路由选择。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解策略路由特性。

3 使用限制

· 本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用,指导其转发,对本地产生的报文不起作用;

· 配置重定向到下一跳时,不能将IPv4规则重定向到IPv6地址,反之亦然。

4 IPv4策略路由配置举例

4.1 组网需求

如所示,缺省情况下,Device的Vlan-interface2上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。

现要求在Device上配置IPv4策略路由,对于访问Server的报文实现如下要求:

(1) 首先匹配Vlan-interface2上收到的源IP地址为10.2.1.1的报文,将该报文的下一跳重定向到10.5.1.2;

(2) 其次匹配Vlan-interface2上收到的HTTP报文,将该报文的下一跳重定向到10.3.1.2。

图1 IPv4策略路由特性典型配置组网图

4.2 配置思路

· 为了确保能同时满足对于两种不同类型的报文重定向到不同的下一跳,需要配置两个访问控制列表,一个用于匹配Vlan-interface2上收到的源IP地址为10.2.1.1的报文,另一个用于匹配Vlan-interface2上收到的HTTP报文,并在策略路由中创建两个节点,分别对匹配上的报文进行重定向;

· 同一条策略路由中,创建的节点编号越小,优先级越高。为了确保Vlan-interface2上收到源IP地址为10.2.1.1的HTTP报文下一跳能优先被重定向到10.5.1.2,需要在策略路由中配置该策略使用较小的节点编号(本例中使用0号节点,另一策略使用1号节点)。

4.3 配置步骤

#配置Vlan-interface2的IP地址。

<Device> system-view
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 10.1.2.1 255.255.255.0
[Device-Vlan-interface2] quit

#请参考以上方法配置图1中其它接口的IP地址,配置步骤这里省略。

# 配置静态路由,保证三条路径都可达,并且缺省下一跳为10.4.1.2。路由优先级越小越优先,默认为60.

[Device] ip route-static 192.168.1.0 24 10.3.1.2
[Device] ip route-static 192.168.1.0 24 10.4.1.2 preference 40
[Device] ip route-static 192.168.1.0 24 10.5.1.2

# 定义访问控制列表ACL 3005,用于匹配源IP地址为10.2.1.1的报文。

[Device] acl advanced 3005
[Device-acl-ipv4-adv-3005] rule 0 permit ip source 10.2.1.1 0
[Device-acl-ipv4-adv-3005] quit

# 定义访问控制列表ACL 3006,用于匹配HTTP报文。

[Device] acl advanced 3006
[Device-acl-ipv4-adv-3006] rule 0 permit tcp destination-port eq www
[Device-acl-ipv4-adv-3006] quit

# 创建策略路由pbr1的0号节点,将匹配ACL 3005的报文下一跳重定向到10.5.1.2。

[Device] policy-based-route pbr1 permit node 0
[Device-pbr-pbr1-0] if-match acl 3005
[Device-pbr-pbr1-0] apply next-hop 10.5.1.2
[Device-pbr-pbr1-0] quit

# 创建策略路由pbr1的1号节点,将匹配ACL 3006的报文下一跳重定向到10.3.1.2。

[Device] policy-based-route pbr1 permit node 1
[Device-pbr-pbr1-1] if-match acl 3006
[Device-pbr-pbr1-1] apply next-hop 10.3.1.2
[Device-pbr-pbr1-1] quit

# 在Device的接口Vlan-interface2上应用策略。

[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip policy-based-route pbr1
[Device-Vlan-interface2] quit

4.4 验证配置

通过display ip policy-based-route命令可以查看到当前策略路由配置已经配置成功:

[Device] display ip policy-based-route policy pbr1
Policy name: pbr1
 node 0 permit:
  if-match acl 3005
  apply next-hop 10.5.1.2
 node 1 permit:
  if-match acl 3006
  apply next-hop 10.3.1.2

# 通过tracert命令查看以下报文的转发路径(使用Tracert功能需要在中间设备上开启ICMP超时报文发送功能,在目的端开启ICMP目的不可达报文发送功能):

源IP为10.1.1.1的非HTTP报文,重定向到10.4.1.2进行转发。

<Switch> tracert -a 10.1.1.1 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1) from 10.1.1.1, 30 hops at most, 40 bytes
 each packet, press CTRL_C to break
 1 10.1.2.1 (10.1.2.1) 2.178 ms 1.364 ms 1.058 ms
 2 10.4.1.2 (10.4.1.2) 1.548 ms 1.248 ms 1.112 ms
 3 192.168.1.1 (192.168.1.1) 1.594 ms 1.321 ms 1.093 ms

源IP为10.2.1.1的报文,重定向到10.5.1.2进行转发。

<Switch> tracert -a 10.2.1.1 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1) from 10.2.1.1, 30 hops at most, 40 bytes
 each packet, press CTRL_C to break
 1 10.1.2.1 (10.1.2.1) 1.721 ms 1.226 ms 1.050 ms
 2 10.5.1.2 (10.5.1.2) 4.494 ms 1.385 ms 1.170 ms
 3 192.168.1.1 (192.168.1.1) 1.448 ms 1.304 ms 1.093 ms

5 查看配置

5.1显示已经配置的策略

[Device]display ip policy-based-route
Policy name: pbr1
  node 0 permit:
    if-match acl 3005
    apply next-hop 10.5.1.2
  node 1 permit:
    if-match acl 3006
    apply next-hop 10.3.1.2

5.2显示已经应用的策略路由信息

[Device]dis ip policy-based-route setup
Policy name              Type     Interface
pbr1                     Forward  Vlan-interface2

引用:

img
图1
08-H3C_策略路由典型配置举例-新华三集团-H3C
Logo
07-策略路由配置-新华三集团-H3C
Logo