华为S2700 S3700系列交换机 01-11 策略路由配置

11策略路由配置关于本章

通过配置策略路由，可以用于提高网络的安全性能和负载分担。

11.1 配置策略路由

配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

11.2 配置举例

配置示例中包括组网需求和配置思路等。

11.1 配置策略路由

配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

背景信息

通过配置重定向，设备将符合流分类规则的报文重定向到指定的下一跳地址。

包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。

说明

对于S2700系列交换机，只有S2700-52P-EI和S2700-52P-PWR-EI交换机支持策略路由。

前置任务

在配置策略路由前，需要完成以下任务：

●配置相关接口的IP地址和路由协议，保证路由互通。

●如果使用ACL作为策略路由的流分类规则，配置相应的ACL。

操作步骤

1.配置流分类

a.执行命令system-view，进入系统视图。

b.执行命令traffic classifier classifier-name [ operator { and | or } ]，创建

一个流分类并进入流分类视图，或进入已存在的流分类视图。

and表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：

▪当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；

▪当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。

or表示流分类各规则之间是“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。

缺省情况下，流分类中各规则之间的关系为“逻辑与”。

c.请根据实际情况定义流分类中的匹配规则。

d.执行命令quit，退出流分类视图。

2.配置流行为

a.执行命令traffic behavior behavior-name，创建一个流行为，进入流行为视

图。

b.请根据实际需要进行如下配置：

▪执行命令redirect ip-nexthop ip-address &<1-4> [ forced ]，将符合流分类的报文重定向到下一跳。

当存在多个下一跳时，设备按照主备方式对报文进行重定向转发。一个

流行为中最多可以配置4个下一跳，设备根据下一跳的配置顺序确定主备

链路，先配置的下一跳IP地址优先级较高。配置的第一个下一跳IP地址作

为主用链路，其它链路作为备用链路。当主用链路Down之后，则自动选

取优先级高的下一跳作为新的主链路；当原主用链路恢复正常以后，流

量再回切至原主用链路。

说明

通过配置报文重定向功能可以实现策略路由。

▪执行命令redirect ip-multihop { nexthop ip-address } &<2-4>，将符合流分类的报文重定向到配置的多个下一跳中的一个。

如果配置了多个下一跳，设备按照等价路由负载分担方式对报文进行重

定向转发。

使用重定向到多下一跳的正常转发过程中，如果当前下一跳对应的出接

口状态突然为Down，或路由突然发生了改变，设备可将链路快速切换到

当前可用的某个下一跳对应的出接口上。

如果设备上没有命令中下一跳IP地址对应的ARP表项，使用此命令能配置

成功，但重定向不能生效，设备仍按报文原来的目的地址转发，直到设

备上有对应的ARP表项。

说明

不能在同一流行为中既配置remark destination-mac又配置以下命令：

●redirect ip-nexthop

●redirect ip-multihop

c.（可选）执行命令statistic enable，使能流量统计功能。

d.执行命令quit，退出流行为视图。

e.执行命令quit，退出系统视图。

3.配置流策略

a.执行命令system-view，进入系统视图。

b.执行命令traffic policy traffic-policy-name，创建一个流策略并进入流策略

视图，或进入已存在的流策略视图。

c.执行命令classifier classifier-name behavior behavior-name，在流策略中

为指定的流分类配置所需流行为，即绑定流分类和流行为。

d.执行命令quit，退出流策略视图。

e.执行命令quit，退出系统视图。

4.应用流策略

–在接口上应用流策略

i.执行命令system-view，进入系统视图。

ii.执行命令interface interface-type interface-number，进入接口视图。

说明

目前只有S2700-52P-EI、S2700-52P-PWR-EI、S2710-SI和S3700支持Tunnel接

口配置。

iii.请根据不同设备形态进行如下配置：

○在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI设备

上，执行traffic-policy policy-name { inbound | outbound }命

令，在接口上应用流策略。

对于除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI设

备，只有在流行为中配置了流镜像功能，才可以将流策略应用于出

方向。即出方向流策略只支持流镜像功能。在配置流镜像之前，需

要首先使用observe-port（本地镜像）或者observe-port（远程镜

像）命令配置镜像端口。

○在S2700-52P-EI、S2700-52P-PWR-EI、S2710SI、S3700SI、

S3700EI设备上，执行traffic-policy policy-name inbound命令，

在接口上应用流策略。

每个接口的每个方向上能且只能应用一个流策略，但同一个流策略

可以同时应用在不同接口的不同方向。应用后，系统对流经该接口

并匹配流分类中规则的入方向或出方向报文实施策略控制。但是流

策略对VLAN 0的报文不生效。

建议不要在Untagged类型接口出方向上应用包含有remark

8021p、remark vlan-id等动作的流策略，否则，可能导致报文内

容出错。

–在VLAN上应用流策略

i.执行命令system-view，进入系统视图。

ii.执行命令vlan vlan-id，进入VLAN视图。

iii.执行命令traffic-policy policy-name inbound，在VLAN上应用流策略。

应用后，系统对属于该VLAN并匹配流分类中规则的入方向报文实施策略

控制。但是如果匹配到VLAN 0报文，则流策略不生效。