學習鏈接:https://support.huawei.com/enterprise/zh/doc/EDOC1000069432?section=j00f
策略路由與路由策略(Routing Policy)存在以下不同:
- 策略路由的操作對象是數據包,在路由表已經產生的情況下,不按照路由表進行轉發,而是根據需要,依照某種策略改變數據包轉發路徑。
- 路由策略的操作對象是路由信息。路由策略主要實現了路由過濾和路由屬性設置等功能,它通過改變路由屬性(包括可達性)來改變網絡流量所經過的路徑。
目的
傳統的路由轉發原理是首先根據報文的目的地址查找路由表,然後進行報文轉發。但是目前越來越多的用戶希望能夠在傳統路由轉發的基礎上根據自己定義的策略進行報文轉發和選路。配置策略路由可以將到達接口的三層報文重定向到指定的下一跳地址。
前置任務
在配置策略路由前,需要完成以下任務:
-
配置相關接口的IP地址和路由協議,保證路由互通。
-
如果使用ACL作爲策略路由的流分類規則,配置相應的ACL。
背景信息
早先已經對接了一個BGP網絡,故交換機已經配置了一個默認網關;
現因業務需要,新增了一段電信IP。
BGP網絡和電信網絡分別是通過不同內網IP互聯互通,簡單的默認路由沒辦法同時配置兩段公網。
所以想到用策略路由方式:源IP爲電信IP段的數據包,重定向到電信網絡的內網互聯IP。
配置思路
採用重定向方式實現策略路由,進而提供差分服務,具體配置思路如下:
- 創建VLAN並配置各接口,實現公司和外部網絡設備互連。
- 配置ACL規則,匹配源IP地址爲電信IP段的報文。
- 配置流分類,匹配規則爲上述ACL規則,使設備可以對報文進行區分。
- 配置流行爲,使滿足電信數據包規則的報文重定向到上聯運營商172.16.5.137。
- 配置流策略,綁定上述流分類和流行爲,並應用到接口vlan if 901的入方向上,實現策略路由。
操作步驟
#先創建vlan 用於電信網絡
<Nxera-YC> system-view
[Nxera-YC] sysname Switch
[Nxera-YC] vlan 901
#創建VLANIF901,並配置各虛擬接口IP地址。
[Nxera-YC] int vlan 901 [Nxera-YC-vlan901] ip addr 1XX.1XX.2XX.1 24
[Nxera-YC-vlan901] quit
#在Switch上創建編碼爲3002的高級ACL,規則允許源IP地址爲1XX.1XX.2XX.0/24的報文通過。
[Nxera-YC] acl 3002
[Nxera-YC-acl-adv-3002] rule permit ip source 1XX.1XX.2XX.0 0.0.0.255
[Nxera-YC-acl-adv-3002] quit
#在Switch上創建流分類c2,匹配規則ACL 3002。
[Nxera-YC] traffic classifier c2 operator or
[Nxera-YC-classifier-c2] if-match acl 3002
[Nxera-YC-classifier-c2] quit
#在Switch上創建流行爲b2,指定重定向到172.16.5.137的動作。
[Nxera-YC] traffic behavior b2
[Nxera-YC-behavior-b2] redirect ip-nexthop 172.16.5.137
[Nxera-YC-behavior-b2] quit
# 在Switch上創建流策略p2,將流分類和對應的流行爲進行綁定。
[Nxera-YC] traffic policy p2
[Nxera-YC-trafficpolicy-p1] classifier c2 behavior b2
[Nxera-YC-trafficpolicy-p1] quit
# 將流策略p2應用到接口vlan if 901的入方向上。
[Nxera-YC] int vlan 901
[Nxera-YC-vlan901] traffic-policy p2 inbound
[Nxera-YC-vlan901] return
驗證配置結果(可以參考官文中的驗證方法)
# 查看ACL規則的配置信息。
<Switch> display acl 3001
Advanced ACL 3001, 1 rule
Acl's step is 5
rule 5 permit ip source 192.168.100.0 0.0.0.255 (match-counter 0)
<Switch> display acl 3002
Advanced ACL 3002, 1 rule
Acl's step is 5
rule 5 permit ip source 192.168.101.0 0.0.0.255 (match-counter 0)
# 查看流分類的配置信息。
<Switch> display traffic classifier user-defined
User Defined Classifier Information:
Classifier: c2
Precedence: 10
Operator: OR
Rule(s) :if-match acl 3002
Classifier: c1
Precedence: 5
Operator: OR
Rule(s) : if-match acl 3001
Total classifier number is 2
# 查看流策略的配置信息。
<Switch> display traffic policy user-defined p1
User Defined Traffic Policy Information:
Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
Redirect: no forced
Redirect ip-nexthop
10.1.20.1
Classifier: c2
Operator: OR
Behavior: b2
Redirect: no forced
Redirect ip-nexthop
10.1.30.1