H3C交换机策略路由技术及其应用

交换机上也做策略路由随着互联网的发展，数据传输量大，访问速度快的要求越来越高。

为了满足这样的要求，网络技术不断地更新和完善，其规模各式各样的网络也不断扩大和发展。

在这种情况下，策略路由的应用变得越来越重要。

在传统IP网络中，路由器使用的是静态路由。

静态路由需要管理员手动设置网络路由规则，并在其中加入至少一条适用于所有子网的默认路由，以确定包的流向。

但是静态路由在自适应性和灵活性方面存在很大的不足，网络的准确性和可扩展性也有所限制。

于是，动态路由的出现可以说是一个新的网络革命。

动态路由会在网络的不同节点之间建立一种“通讯协议”，路由器之间可以相互交换路由信息，形成一个网络拓扑图，实现路由的自动转换和更新。

随着网络不断发展和拓展，传统路由器已经无法满足网络需求，很多运营商开始采用具有更多功能的交换设备。

而一些厂商的交换机已经开始支持动态路由，实现了类似于路由器的高级路由功能，如策略路由。

策略路由概述策略路由是一个基于条件规则的路由选择机制。

通过设置路由策略，可以使路由器决定每个数据包的最佳路径。

策略路由可以对数据包的源地址、目的地址、协议、端口等不同的参数进行分类，然后将它们送到最合适的目的地。

策略路由可以带来很多好处，例如：•支持多路径类型（例如，不同的ISP和物理路径），可以优化和增强数据流的整体性能和可靠性。

•允许在路由器上进行更多的转发决策，从而灵活控制网络流量和带宽。

•策略路由可以控制每个流量的路径，从而实现特定链路的负载均衡和防止特定链路出现拥塞。

交换机上实现策略路由的优势随着网络不断变化，交换机也不再仅仅是桥接器，它们还被用作路由器，这些新功能可以极大地提高网络的性能和灵活性。

在许多情况下，交换机比路由器更便宜、更易于配置和部署，从而为网络管理员提供更多的选择。

与路由器相比，交换机具有以下优点：•交换机的转发速度更快，比路由器产生的网络延迟更低。

•交换机可以灵活部署，可以使用自动设备发现了解网络拓扑，然后在网络中设置路由规则。

H3C策略路由配置及实例2010-07-19 09:21基于策略路由负载分担应用指导介绍特性简介目前网吧对网络的可靠性和稳定性要求越来越高，一般网吧与运营商都有两条线路保证一条线路出现故障时能够有另一条链路作为备份。

当两条线路都正常时为了减少一条线路流量压力，将流量平均分配到另外一条线路，这样提高了网络速度。

当一条链路出现故障接口DOWN掉时，系统自动将流量全部转到另一条线路转发，这样提高了网络的稳定性、可靠性。

满足网吧对业务要求不能中断这种需求，确保承载的业务不受影响。

使用指南使用场合本特性可以用在双链路的组网环境内，两条链路分担流量。

保证了网络的可靠性、稳定性。

配置指南本指南以18-22-8产品为例，此产品有2个WAN接口。

ethernet2/0、ethernet3/0互为备份。

可以通过以下几个配置步骤实现本特性：1) 配置2个WAN接口是以太链路，本案例中以以太网直连连接方式为例；2) 配置静态路由，并设置相同的优先级；3) 配置策略路由将流量平均分配到2条链路上。

2 注意事项两条路由的优先级相同。

配置策略路由地址为偶数走wan1,地址为奇数走wan2。

策略路由的优先级高于路由表中的优先级。

只有策略路由所使用的接口出现down后，路由比表中配置的路由才起作用。

3 配置举例组网需求图1为2条链路负载分担的典型组网。

路由器以太网口ETH2/0连接到ISP1，网络地址为142.1.1.0/30，以太网口ETH3/0连接到ISP2，网络地址为162.1.1.0/30；以太网口ETH1/0连接到网吧局域网，私网IP网络地址为192.168.1.0/24。

配置步骤1. 配置路由器sysname Quidway#clock timezone gmt+08:004 add 08:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20 #radius scheme system#domain system#detect-group 1detect-list 1 ip address 140.1.1.2#detect-group 2detect-list 1 ip address 162.1.1.2#acl number 2000rule 0 permit#acl number 3001rule 0 permit ip source 192.168.1.00.0.0.254 内部pc机偶数地址 acl number 3002rule 0 permit ip source 192.168.1.10.0.0.254 内部pc机奇数地址#interface Aux0async mode flow#interface Ethernet1/0ip address 192.168.1.1 255.255.255.0ip policy route-policy routeloadshare 从局域网收到的数据通过策略路由转发数据interface Ethernet1/1#interface Ethernet1/2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet1/5#interface Ethernet1/6#interface Ethernet1/7#interface Ethernet1/8#interface Ethernet2/0ip address 140.1.1.1 255.255.255.252nat outbound 2000#interface Ethernet3/0ip address 162.1.1.1 255.255.255.252nat outbound 2000#interface NULL0#route-policy routeloadshare permit node 1if-match acl3001 局域网pc机地址是偶数的从ethernet2/0转发apply ip-address next-hop 140.1.1.2route-policy routeloadshare permit node 2if-match acl3002 局域网pc机地址是奇数的从ethernet3/0转发apply ip-address next-hop 162.1.1.2#ip route-static 0.0.0.0 0.0.0.0 140.1.1.2 preference 60 detect-group 1ip route-static 0.0.0.0 0.0.0.0 162.1.1.2 preference 60 detect-group 2#user-interface con 0user-interface aux 0user-interface vty 0 4。

H3C交换机与路由器的基本配置交换机的基本配置:传统的基于集线器的局域网中所有的站点都处于同一个“冲突域”中，这里的“冲突域”是.指CSMA/CD算法中每个站点所监听的网络范围。

处于同一个冲突域中的站点在任意时刻只能有一个站点占用信道，这意味着传统以太网的带宽被各个站点在统计意义上均分的，这决定了传统形式的以太网不具有可伸缩性。

局域网交换机可以让通信的双方拥有一条不受干扰的信道，当一个站点想发送一802.3帧是，他就向交换机发送一标准帧，交换机通过检查帧头的目的地址并将此帧通过高速背板总线从连接目的站点的端口发出。

高速背板总线的设计可以保证同时通信的若干站点互不影响。

对交换机的配置有多中方法:通过Console口，通过telnet等。

用Console口对交换机进行配置是最常用的方法，也是对没有经过任何配置的交换机进行配置单唯一途径，配置过程如下:1(用Console电缆把交换机和PC机进行连接，RJ—45的一端插在交换机的Console口，另一端与计算机的串口相连。

2(在PC机上打开超级终端应用程序建立与交换机的连接，在PC上点击开始，以此选择程序，附件，通讯，单击“超级终端”，弹出“连接描述”对话框，在名称框输入名称并在图标框选择一个图标(名称和图标可以自由设置，不会影响对交换机的配置)，然后点击确定，弹出COM1属性对话框，设置波特率为:9600 数据位为:8 奇偶效验为:无停止位为:1 流量控制为:无，点击“确定”，进入配置编辑窗口。

3(在编辑窗口对交换机进行配置在缺省模式下我们进入交换机是处在用户视图下4(恢复交换机的缺省配置在用户试图下首先使用以下命令<Quidway>reset saved—configuration 清空配置<Quidway>reboot 重启交换机5(VLAN配置:<Quidway>system-view 进入系统试图[Quidway]valn 2 交换机默认所有的端口都属于valn 1,vlan 1既不能创建也不能删除[Quidway-vlan2]port ethernet 0/10 to ethernet 0/12 把以太端口10到12加入到vlan2[Quidway-vlan2]display current-configuration 查看配置信息配置了vlan之后，处于不同vlan的主机不能直接通讯，vlan具有隔离网络的作用，从而实现网络安全。

昨天去一家客户那边调试h3c的设备,客户要做vlan间互访和策略路由.本以为挺简单的事情,可到了才发现不是自己想象的那样.vlan间互访没想到h3c搞的那么麻烦,cisco的数据流控制就是做一条访问列表,列表里定义了动作是拒绝还是允许,然后直接把这个列表应用到接口上就可以了,但h3c却没有这么简单,h3c我总结了一下总的思路是这样的1.首先定义访问控制列表,注意:假如要使把此列表应用到qos策略中的话此列表中的deny和permit是没有意义的,不管是permit还是deny都代表"匹配"该数据流.2.定义类,类里面很简单,就是简单的匹配某条列表.应该也可以像cisco一样匹配or或者and,我没验证.3.定义行为动作,行为动作可以分好多,常用的有filter deny,filter permit 拒绝/允许,还有改变下一条redirect next-hop.或者可以做标记,qos等.4.定义qos策略,把2,3里的类和行为建立关联,如什么类执行什么行为,可以做好多条,同一个行为如果找到第一项匹配则不再接着往下执行,所有有可能同一个数据流能满足多条不同行为操作的情况.5.把此qos策略应用到接口上.下面我把配置粘上来供大家参考#version 5.20, Release 5303#sysname master switch#domain default enable system#telnet server enable#vlan 1#vlan 20#vlan 23description 0023#vlan 24#vlan 30#vlan 40#vlan 50vlan 60#vlan 70#vlan 80#vlan 90#vlan 100#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#traffic classifier h3c operator andif-match acl 3060********* 定义类，30，50，90三个网段之间不能互访********traffic classifier wangtong operator andif-match acl 2010********* 定义类，20，60，90网段的用户分到wangtong这个类中*******traffic classifier dianxin operator andif-match acl 2020********* 定义类，30，50，70网段的用户分到电信这个类中*******traffic behavior h3cfilter deny********* 定义行为名字叫h3c的动作为丢弃!*********traffic behavior wangtongredirect next-hop 10.1.1.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.1.2*********traffic behavior dianxinredirect next-hop 10.1.2.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.2.2*********qos policy h3cclassifier h3c behavior h3cclassifier wangtong behavior wangtongclassifier dianxin behavior dianxin***********定义一个qos策略(注意,这里是总的qos策略,其中包括vlan间访问控制和策略路由控制都汇聚到此策略中了)1.满足h3c类别的数据流执行h3c这个行为,这里行为为丢弃2.满足wangtong类别的数据流执行网通这个行为,这里的行为为改变下一跳为10.1.1.23.满足dianxin类别的数据流执行dianxin这个行为,这里的行为为改变下一跳为10.1.2.2 ***************************************************************** ***#acl number 2010rule 0 permit source 192.168.20.0 0.0.0.255rule 1 permit source 192.168.60.0 0.0.0.255rule 2 permit source 192.168.90.0 0.0.0.255acl number 2020rule 0 permit source 192.168.30.0 0.0.0.255rule 1 permit source 192.168.50.0 0.0.0.255rule 2 permit source 192.168.70.0 0.0.0.255acl number 3060rule 10 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.50.00.0.0.255rule 20 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.90.00.0.0.255rule 50 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.30.00.0.0.255rule 60 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.90.00.0.0.255rule 70 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.30.00.0.0.255rule 80 permit ip source 192.168.90.0 0.0.0.255 destination192.168.50.0 0.0.0.255*************在30,50,90三个网段之间做隔离,使他们不能互相访问,但都能访问其他的地址,由于h3c的三层交换机(这里的型号是s5510)可以实现单向访问,以此每一条都得建立2条规则来匹配如30--90网段,90---30网段.因为是作用在trunk口上的,因此源地址无法确定****************************************interface NULL0#interface Vlan-interface1ip address 192.168.10.1 255.255.255.0#interface Vlan-interface20ip address 192.168.20.254 255.255.255.0#interface Vlan-interface23ip address 10.1.1.1 255.255.255.0interface Vlan-interface24ip address 10.1.2.1 255.255.255.0#interface Vlan-interface30ip address 192.168.30.254 255.255.255.0#interface Vlan-interface40ip address 192.168.40.254 255.255.255.0#interface Vlan-interface50ip address 192.168.50.254 255.255.255.0#interface Vlan-interface60ip address 192.168.60.254 255.255.255.0 #interface Vlan-interface70ip address 192.168.70.254 255.255.255.0 #interface Vlan-interface80ip address 192.168.80.254 255.255.255.0 #interface Vlan-interface90ip address 192.168.90.254 255.255.255.0 interface GigabitEthernet1/0/1port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/2port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/3port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/4port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/5port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/6port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/7port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/8port link-type trunkport trunk permit vlan allqos apply policy h3c inbound************在8个trunk口上绑定qos策略**************************888 #interface GigabitEthernet1/0/9port access vlan 20#interface GigabitEthernet1/0/10port access vlan 20interface GigabitEthernet1/0/11port access vlan 20#interface GigabitEthernet1/0/12port access vlan 20#interface GigabitEthernet1/0/13port access vlan 20#interface GigabitEthernet1/0/14port access vlan 20#interface GigabitEthernet1/0/15port access vlan 20#interface GigabitEthernet1/0/16port access vlan 20#interface GigabitEthernet1/0/17port access vlan 20#interface GigabitEthernet1/0/18port access vlan 20#interface GigabitEthernet1/0/19port access vlan 100speed 100#interface GigabitEthernet1/0/20port access vlan 100speed 100#interface GigabitEthernet1/0/21port access vlan 100speed 100#interface GigabitEthernet1/0/22port access vlan 100#interface GigabitEthernet1/0/23port access vlan 23speed 100duplex full#interface GigabitEthernet1/0/24port access vlan 24#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#ip route-static 0.0.0.0 0.0.0.0 10.1.1.2ip route-static 0.0.0.0 0.0.0.0 10.1.2.2**********定义2条缺省路由,一条指向电信网络,一条指向网通网络*************** #user-interface aux 0user-interface vty 0 4#return[master switch]。

S5510策略路由1 组网拓扑实验拓扑如上图所示，S5510分别使用int vlan 100和int vlan 101连接模拟电信和网通出口的两台路由器，交换机下有两个vlan，分别是192.168.10.0网段和192.168.20.0网段。

需求：客户想要实现192.168.10.0网段从电信上网，192.168.20.0从网通上网，vlan10能正常访问vlan20。

2 需求分析客户要实现不同的业务网段从不同的ISP访问Internet，则使用策略路由，重定向下一跳，针对vlan10和vlan20应用，但又不能影响vlan10访问vlan20，则在ACL匹配流量时应区分出vlan10到vlan20的流量。

3 相关配置S5510配置vlan 10 //创建业务vlanport g1/0/1quitvlan 20 //创建业务vlanport g1/0/2quitvlan 100 //用于连接上层出口的vlanport g1/0/23quitvlan 101 //用于连接上层出口的vlanport g1/0/24quitint vlan 10ip address 192.168.10.1 24quitint vlan 20ip address 192.168.20.1 24quitint vlan 100ip address 100.1.1.1 24 //用于上连的IP地址quitint vlan 101ip address 200.1.1.2 24 //用于上连的IP地址quitip route-static 0.0.0.0 0 100.1.1.2 preference 60 //默认所有流量从电信出去ip route-static 0.0.0.0 0 200.1.1.2 preference 80 //网通出口备份quitacl number 3000 //区分出vlan20到vlan10的数据流rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255quitacl number 3001 //匹配从网通出去的流量rule permit ip source 192.168.20.0 0.0.0.255quit#traffic classifier a operator and //定义类aif-match acl 3000 //匹配vlan20去往vlan10的流量traffic classifier b operator and //定义类bif-match acl 3001 //匹配vlan20上网的流量#traffic behavior a //定义行为afilter permit //执行动作为允许traffic behavior b //定义行为bredirect next-hop 200.1.1.1 //重定向下一跳为网通出口#qos policy h3c //创建策略h3cclassifier a behavior a //将类a和行为a绑定classifier b behavior bquitqos vlan-policy h3c vlan 20 inbound //针对vlan20应用该策略模拟Internet环境配置（3610）#interface Ethernet1/0/1port link-mode routeip address 100.1.1.1 255.255.255.0 //模拟电信网关#interface Ethernet1/0/2port link-mode routeip address 200.1.1.1 255.255.255.0 //模拟网通网关#interface Ethernet1/0/24port link-mode routeip address 2.2.2.1 255.255.255.0 //公网主机网关#ip route-static 192.168.10.0 255.255.255.0 100.1.1.2ip route-static 192.168.20.0 255.255.255.0 200.1.1.2#4 测试分析1、经过以上配置后，vlan10和vlan20访问Internet和互访时数据流走向如下：A．vlan10内PCA访问Internet中的某主机2.2.2.10时其封装格式为：192.168.10.10→2.2.2.10首先送到网关，因为没有策略针对vlan10，所以直接查路由表，匹配默认路由送至100.1.1.1然后再经路由至2.2.2.10B．v lan10内PCA访问vlan20内的PCB：192.168.10.10→192.168.20.10，同样因为没有策略直接经网关查路由送至192.168.20.10C．v lan20内的主机PCB访问Internet内的主机2.2.2.10时：192.168.20.10→2.2.2.10，首先封装目的MAC为网关，到达5510后匹配策略h3c，第一条classifier a behavior a中ACL的目标是192.168.10.0所以不匹配，然后匹配下一跳，符合，修改下一跳为200.1.1.1D．vlan20内的主机PCB访问vlan10中的主机PCA时：192.168.20.10→192.168.10.10首先封装MAC地址为vlan20的网关，然后匹配策略h3c中的第一条classifier a behavior a，执行行为为允许。

H3c策略路由配置整理这里只说明怎样配置,具体只参照H3C交换机配置文档第一步:区分数据流acl number 2001rule 0 permit source 10.0.0.0 0.255.255.255acl number 3001 name virusrule 0 deny tcp destination-port eq 445rule 5 deny udp destination-port eq 445acl number 3100 name laoshirule 0 permit ip source 192.168.12.0 0.0.0.255rule 1 permit ip source 192.168.13.0 0.0.0.255rule 2 permit ip source 192.168.14.0 0.0.0.255rule 3 permit ip source 192.168.15.0 0.0.0.255rule 4 permit ip source 192.168.16.0 0.0.0.255rule 5 permit ip source 192.168.17.0 0.0.0.255rule 6 permit ip source 192.168.18.0 0.0.0.255rule 7 permit ip source 192.168.19.0 0.0.0.255rule 8 permit ip source 192.168.20.0 0.0.0.255rule 9 permit ip source 10.0.0.0 0.0.255.255rule 10 permit ip source 192.168.11.0 0.0.0.255acl number 3101 name xueshengrule 0 permit ip source 192.168.21.0 0.0.0.255rule 1 permit ip source 192.168.22.0 0.0.0.255rule 2 permit ip source 192.168.23.0 0.0.0.255rule 3 permit ip source 192.168.24.0 0.0.0.255rule 4 permit ip source 192.168.25.0 0.0.0.255rule 5 permit ip source 192.168.26.0 0.0.0.255rule 6 permit ip source 192.168.27.0 0.0.0.255rule 7 permit ip source 192.168.28.0 0.0.0.255rule 8 permit ip source 192.168.29.0 0.0.0.255rule 9 permit ip source 192.168.30.0 0.0.0.255acl number 3103 name neiwangrule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255rule 1 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.0.0 0.0.255.255 rule 2 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.0.0 0.255.255.255 acl number 3104 name shiyanshirule 0 permit ip source 10.0.0.0 0.255.255.255#第二步:定义数据流traffic classifier laoshi operator andif-match acl name laoshitraffic classifier shiyanshi operator andif-match acl name shiyanshitraffic classifier xuesheng operator andif-match acl name xueshengtraffic classifier neiwang operator andif-match acl name neiwang第三步:定义数据流的动作traffic behavior laoshiredirect next-hop 192.168.0.254traffic behavior shiyanshiredirect next-hop 192.168.0.254traffic behavior xueshengredirect next-hop 192.168.0.250traffic behavior neiwangfilter permit第四步:定义策略：qos policy rpclassifier neiwang behavior neiwangclassifier laoshi behavior laoshiclassifier xuesheng behavior xueshengclassifier shiyanshi behavior shiyanshi第五步:应用完成的策略(应用到某个端或VLAN)interface E1/0/1qos apply policy rp inboundinterface vlan 1010qos vlan policy rp vlan 1010 inbound。

H3C路由器怎么设置基于源地址的策略路由基于源地址的策略路由是一种根据数据包源地址的不同来选择不同转发路径的技术。

通过设定优先级和条件，将不同的源地址组合到不同的策略路由中，从而实现流量的灵活控制与管理。

这种技术可以用来实现各种场景的网络流量控制，例如将特定的源地址流量指定到指定的出口链路。

二、创建策略路由使用H3C路由器配置基于源地址的策略路由的第一步是创建策略路由。

创建策略路由需要指定要匹配的流量条件和对应的转发路径。

下面是创建策略路由的步骤：1. 登录到H3C路由器的命令行界面或Web管理界面，进入系统配置模式。

2.创建策略路由的路由策略，并进入策略路由配置模式：```[Router] route-policy policy1[Router-route-policy-policy1]```3.配置策略路由的流量匹配条件，可以根据源地址进行匹配：```[Router-route-policy-policy1] match ip source-address 1```这里的1表示要匹配的源地址的编号，可以根据实际需要进行调整。

4.配置策略路由的转发路径。

这里需要指定转发的接口和下一跳地址：```[Router-route-policy-policy1] apply interfaceGigabitEthernet0/0/1 ip-address 10.0.0.1```这里的GigabitEthernet0/0/1是需要转发的接口，10.0.0.1是对应的下一跳地址。

5.退出策略路由配置模式。

```[Router-route-policy-policy1] quit```6.保存配置并退出系统配置模式。

```[Router] save[Router] quit```三、应用策略路由策略路由配置完成后，需要将其应用到实际的转发过程中。

应用策略路由需要指定要应用的接口和方向。

下面是应用策略路由的步骤：1. 登录到H3C路由器的命令行界面或Web管理界面，进入系统配置模式。

关于H3C 三层交换机的策略路由实例配置 [复制链接]seoquxiaba 二星会员 签到天数: 32 天[L V .5]常住居民I 阅本帖为原创，特别针对我单位网络配置手写稿，在VLAN 方面、ACL 方面稍做了些简化 希望对各位网管弟弟们有一些帮助，我把所以配置过程从一台新的交换机到一台可以正常运行的状态。

如果不明白可以回帖在线解决。

我下面以一台H3C S5800交换机为例： 一、系统的配置 给交换机命名<H3C>system-view[H3C] sysname NH001 [NH001]启用telnet 服务[NH001] telnet server enable配置telnet 登录名和密码[NH001] local-user adminpassword cipher passwordauthorization-attribute level 3service-type telnet[NH001]user-interface vty 0 4authentication-mode scheme二、VLAN 的配置 在用户模式下使用命令vlan 来添加vlan ID 可使用description 命令对VLAN 进行描述与命名方便今后维护与管理。

[NH001] vlan 1description "Manager" [NH001]vlan 10description "VLAN 10"[NH001]vlan 11读权限积分主题帖子日志description "VLAN 11" [NH001]vlan 12description "VLAN 12"在三层交换机上创建了vlan 后还需要给它配置IP 地址既我们所说的网关。

在用户模视图模式下输入interface vlan-interface1进入VLAN1的三层接口视图中。

交换机上也做策略路由交换机上也可以做策略路由，这是因为现代交换机逐渐具备了路由器的功能，从而实现了多重功能的集成。

在网络拓扑结构较为复杂的情况下，为了保障网络的高可用性、安全性以及性能等方面的需求，交换机上的策略路由也变得越来越重要。

1. 策略路由的基本原理策略路由是一种基于目的地址不同的路由选择策略，可以根据不同的需求选择不同的路由方案进行转发，从而实现对流量的控制和管理。

在交换机上实现策略路由，通常采用的是ACL（Access Control List）技术，即访问控制列表技术，通过配置ACL可以实现路由的分流，以及对不同流量的控制和限制。

2. 策略路由的应用场景（1）流量分流在网络拓扑结构较为复杂的情况下，流量分流可以有效提高网络的负载能力，避免网络拥塞发生。

通过策略路由技术，可以将不同类型的流量按需求分流到不同的路由上进行传输，从而优化网络性能。

例如，在企业网络中，一部分部门需要专线连接，而另一部分只需要公网连接，此时可以通过ACL配置，将需要专线连接的部门的流量分流到专线路由上进行传输，让公网路由处理其他部门的流量。

（2）网络安全控制通过ACL技术，可以实现对不同类型的流量的过滤和控制，确保网络的安全性。

例如，可以通过配置ACL来限制某些危险的IP流量进入网络，以保证网络的正常运行；还可以通过ACL来防止DDoS攻击、网络蠕虫和病毒等恶意流量的攻击。

（3）灵活的路由控制传统的无层交换机无法支持路由控制，而现代交换机就可以利用策略路由技术灵活地对IP数据流进行路由的控制，同时还能够根据不同流量的特点进行不同的路由转发。

例如，某公司的某个部门需要对特定的IP流量进行优先级路由，可以通过ACL进行配置，将这部分IP流量发送到目标设备的路由上，从而实现更加灵活的路由控制。

3. 策略路由的配置方法在交换机上实现策略路由技术，需要按照以下步骤进行配置：（1）确定分流规则根据实际需求，确定需要分流的流量类型和路由方向，例如需要将某个部门的流量分流到专线连接上，或者需要将恶意流量分流到黑洞，从而实现网络的安全控制。

H3C限速策略路由和ACL+QOS典型配置资料汇总目录:H3C交换机限速技巧全攻略H3C QoS配置经典讲解H3C策略路由和QOS常见应用介绍及典型组网分析网络设备限速配置资料汇总【三大网络设备厂商 H3C 华为思科】【15个文档】H3C交换机限速技巧全攻略ZDNet 网络频道更新时间：2009-06-22 作者：驱动之家来源：驱动之家本文关键词：限速交换机 H3CH3C华为交换机限速有以下方法：line-rate(lr)speedtraffic-limitqos carH3C华为交换机端口限速二层较为准确（如：lr,speed),三层不准确（如：traffic-linit,qos car)lr :E050：(可信度100%)[Quidway-Ethernet0/1]line-rate ?INTEGER<1-100> Target rate(MbpsS5500：(可信度100%)[S5500-GigabitEthernet1/0/1]qos lr outbound cir ?INTEGER<64-1000000> Committed Information Rate(kbps), it must be a multiple of 64speed : (可信度100%)[S5500-GigabitEthernet1/0/1]speed ?10 Specify speed of current port 10Mb/s100 Specify speed of current port 100Mb/s1000 Specify speed of current port 1000Mb/sauto Enable port's speed negotiation automaticallytraffic-limit : (可信度50%,当设定50M时，带宽为7M左右；当设定10M时，带宽为1M左右)[Quidway E050-Ethernet0/1]traffic-limit inbound ip-group 2000 ?INTEGER<1-100> Target rate(Mbps)link-group Apply the link-based aclrule Specify the ID of acl ruleqos car :(s5500)(可信度50%,当设定9.6M时，带宽为5M左右)acl number 2000rule 0 permit source 10.0.0.0 0.0.0.255traffic classifier liukong operator andif-match acl 2000traffic behavior liukongcar cir 9600 cbs 200000 ebs 4000 green pass red discard yellow passqos policy liukongclassifier liukong behavior liukonginterface GigabitEthernet1/0/1qos apply policy liukong inbound补充说明：交换机端口限速2000_EI系列以上的交换机都可以限速!限速不同的交换机限速的方式不一样!2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!端口限速配置1功能需求及组网说明端口限速配置『配置环境参数』1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24『组网需求』1. 在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps2数据配置步骤『S2000EI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。

写过华为S8508的策略路由，这次碰到一台H3C S5500，在配置上和华为交换机有些不同。

大致配置如下：拓扑图：网络情况如下：用户1网络：172.16.1.0/24用户2网络： 192.168.1.0/24至出口1网络：172.16.100.0/24至出口2网络：192.168.100.0/24实现功能：用户1通过互联网出口1，用户2通过互联网出口2。

功能实现：在三层交换台机上配置默认路由，将数据包丢向192.168.100.253，再利用策略路由，凡是用户2网络IP192.168.1.0/24的地址都丢向172.16.100.253。

配置步骤：说明：这里接口的配置等操作就不在写了。

1、首先建立默认路由，将所有的数据包都丢往出口2的下一节点192.168.100.253[H3C5500] ip route-static 0.0.0.0 0.0.0.0 192.168.100.2532、配置流分类1，对象为172.16.1.0/24的数据[H3C5500]acl number 3001[H3C5500-acl-adv-3001] rule 0 permit ip source 172.16.1.0 0.0.0.255 [H3C5500] quit[H3C5500] traffic classifier 1[H3C5500-classifier-1] if-match acl 3001[H3C5500-classifier-1] quit3、配置刚才定义的流分类的行为，定义如果匹配就下一跳至出口1即172.16.100.253[H3C5500] traffic behavior 1[H3C5500-behavior-1] redirect next-hop 172.16.100.253[H3C5500-behavior-1] quit4、将刚才设置的应用至QOS策略中，定义policy 1[H3C5500] qos policy 1[H3C5500-qospolicy-1] classifier 1 behavior 1[H3C5500-qospolicy-1] quit5、在接口上应用定义的QOS策略policy 1[H3C5500] interface GigabitEthernet 1/0/15[H3C5500-GigabitEthernet1/0/15] qos apply policy 1 inbound[H3C5500-GigabitEthernet1/0/15] quit至此，配置已完成。

首先看一下策略路由是怎么匹配的拓扑如下：要求：规范R4和R5去往R0的流量，（R4 ping R0上100.100.100.100时流量从R1走，R5 ping R0上1 00.100.100.100时流量从R2走）环境：保证整个网络路由可达，建议写静态路由；R4和R5去往R0时有两条路可选，链路冗余，随便down一条都可以通R0；为了方便测试，可以在R1和R2上接R0的接口开NAT下面主要配置R3，几条命令而已配置192网段的策略路由吧1：定义ACL匹配的目的地址是100.100.100.100acl number 3000rule 0 permit ip destination 100.100.100.100 0.0.0.02：配置策略路由，定义匹配的流量以及修改下一跳地址policy-based-route 192to100 permit node 1if-match acl 3000apply ip-address next-hop 1.1.1.1003：将策略路由应用到接口 (这一条策略路由是为192.168.1.100到100.100.100.100写的，所以应该应用到R3上192.168.1.1这个接口)ip policy-based-route 192to100配置172网段的策略路由1：定义ACL匹配的目的地址是100.100.100.100acl number 3001rule 0 permit ip destination 100.100.100.100 0.0.0.02：配置策略路由，定义匹配的流量以及修改下一跳地址policy-based-route 172to100 permit node 2if-match acl 3001apply ip-address next-hop 2.2.2.1003：将策略路由应用到接口 (这一条策略路由是为172.16.1.100到100.100.100.100写的，所以应该应用到R3上172.16.1.1这个接口)ip policy-based-route 172to100策略路由就配置完了，不会影响该拓扑的链路冗余，假如R1down掉后，192to100这条策略路由的下一跳地址将不可达，R3会根据路由表转发，此时R4去往R0的流量从R2走实验结果：R4 ping 100.100.100.100R5 ping 100.100.100.100可以看到流量已经规范了。

目录1 策略路由 .............................................................................................................................................. 1-11.1 策略路由简介.................................................................................................................................... 1-11.2 配置策略路由.................................................................................................................................... 1-11.2.1 配置QoS策略 ....................................................................................................................... 1-11.2.2 应用QoS策略 ....................................................................................................................... 1-21.3 策略路由显示和维护......................................................................................................................... 1-31.4 策略路由典型配置举例 ..................................................................................................................... 1-31.4.1 IPv4策略路由配置举例........................................................................................................... 1-31.4.2 IPv6策略路由配置举例........................................................................................................... 1-41 策略路由1.1 策略路由简介策略路由（policy-based-route）是一种依据用户制定的策略进行路由选择的机制。

H3C交换机路由器配置总结H3C交换机路由器配置总结1、硬件配置1.1 交换机硬件组成1.2 路由器硬件组成2、基本配置步骤2.1 连接网络设备2.2 设置管理口IP地质2.3 启用SSH远程登录2.4 设置登录密码2.5 配置设备名称2.6 配置时钟同步3、VLAN配置3.1 创建VLAN3.2 分配端口到VLAN3.3 VLAN间互通4、路由配置4.1 配置静态路由4.2 配置动态路由4.3 路由红istribution配置4.4 路由策略配置5、交换机配置5.1 配置端口基本属性5.2 配置VLAN接口5.3 配置链路聚合5.4 配置IGMP Snooping6、安全配置6.1 AAA认证配置6.2 VLAN间隔离6.3 端口安全配置7、高可用性配置7.1 VRRP(HSRP)配置7.2 GLBP配置7.3 OSPF多路径配置8、服务质量(QoS)配置8.1 配置流量控制8.2 配置优先级8.3 配置带宽限制9、网络监控和管理9.1 配置SNMP9.2 配置NetFlow9.3 配置Syslog附件：本文档涉及的附件包括配置文件样例、示意图等。

法律名词及注释：- VLAN（Virtual Local Area Network）：虚拟局域网，将一个局域网划分成多个逻辑上的小型局域网。

- SSH（Secure Shell）：一种加密的网络协议，用于通过不安全的网络提供安全的远程访问服务。

- IP（Internet Protocol）：互联网协议，规定了数据在网络中的传输方式和格式。

- AAA（Authentication, Authorization, and Accounting）：认证、授权和计费，用于访问控制和用户认证管理。

- IGMP Snooping（Internet Group Management Protocol Snooping）：通过监听IGMP报文来学习和维护组播组成员的表项，以提高网络性能和安全性。

H3C S9500交换机Firewall之ASPF策略组网应用的配置一、组网需求：如下图所示，某公司通过SecBlade连接到Internet。

内部某一主机地址为10.0.0.2，不允许外部任何外部的报文通过SecBlade访问内部主机，但如果是内部主机发起的ftp连接访问外部服务器资源，则其返回报文允许通过，假定外部开启ftp server的pcB的IP地址为202.0.0.2/24。

本例可以应用在本地用户需要访问远程网络服务的情况下。

二、组网图三、配置步骤软件版本：H3C S9500交换机全系列软件版本硬件版本：H3C S9500交换机LSM1FW8DB1防火墙业务板1）添加内网VLAN 10，外网VLAN 50和SecBlade互连VLAN 30 [S9500] vlan 10[S9500－vlan10]port E2/1/1[S9500] vlan 50[S9500－vlan50] port E3/1/1[S9500] vlan 302）配置内网VLAN和互连VLAN配置接口地址[S9500] interface vlan-interface 10[S9500-Vlan-interface10] ip address 10.0.0.1 24[S9500] interface vlan-interface 30[S9500-Vlan-interface30] ip address 30.0.0.1 243）配置路由，外网报文下一跳为SecBlade防火墙[S9500] ip route-static 0.0.0.0 0 30.0.0.2544）配置SecBlade module，设置VLAN50为security-vlan，互连VLAN为VLAN30 [S9500]secblade module test[S9500-secblade-test] secblade-interface vlan-interface 30[S9500-secblade-test] security-vlan 50[S9500-secblade-test] map to slot 25）进入SecBlade视图，配置互连子接口VLAN 30和外网子接口VLAN 50（缺省用户名和密码为SecBlade，区分大小写）<S9500> secblade slot 2user：SecBladepassword：SecBlade<SecBlade_FW> system[SecBlade_FW] interface GigabitEthernet 0/0.50[SecBlade_FW -GigabitEthernet0/0.50] vlan-type dot1q vid 50[SecBlade_FW -GigabitEthernet0/0.50] ip address 50.0.0.254 24 [SecBlade_FW] interface g0/0.30[SecBlade_FW -GigabitEthernet0/0.30] vlan-type dot1q vid 30 [SecBlade_FW -GigabitEthernet0/0.30] ip address 30.0.0.254 246）把互连子接口加入trust区域，外网子接口加入untrunst区域[SecBlade_FW] firewall zone trust[SecBlade_FW -zone-trust] add interface GigabitEthernet 0/0.30 [SecBlade_FW] firewall zone untrust[SecBlade_FW -zone-untrust] add interface GigabitEthernet 0/0.507）配置路由，外网报文下一跳为路由器，内网报文下一跳为S9500 [SecBlade_FW] ip route-static 0.0.0.0 0 50.0.0.1[SecBlade_FW] ip route-static 10.0.0.0 24 30.0.0.18）SecBlade视图下配置ACL和ASPF策略，检测FTP报文[SecBlade_FW]firewall packet-filter enable[SecBlade_FW-acl-adv-3111]acl number 3111[SecBlade_FW-acl-adv-3111]rule deny ip[SecBlade_FW]aspf-policy 1[SecBlade_FW -aspf-policy-1]detect ftp aging-time 30009）SecBlade视图下把ASPF策略应用到外网子接口[SecBlade_FW]interface GigabitEthernet 0/0.50[SecBlade_FW -GigabitEthernet0/0.50]firewall aspf 1 outbound [SecBlade_FW -GigabitEthernet0/0.50]firewall packet-filter 3111 inbound四、配置关键点：1）Secblade的用户名一定要注意分清大小写；2）Firewall在缺省默认情况下对不符合规则的报文是不转发的，需要执行命令firewall packet-filter default permit使其默认转发；。