H3C策略路由

S5510策略路由
1 组网拓扑
实验拓扑如上图所示，S5510分别使用int vlan 100和int vlan 101连接模拟电信和网通出口的两台路由器，交换机下有两个vlan，分别是192.168.10.0网段和192.168.20.0网段。

需求：客户想要实现192.168.10.0网段从电信上网，192.168.20.0从网通上网，vlan10能正常访问vlan20。

2 需求分析
客户要实现不同的业务网段从不同的ISP访问Internet，则使用策略路由，重定向下一跳，针对vlan10和vlan20应用，但又不能影响vlan10访问vlan20，则在ACL匹配流量时应区分出vlan10到vlan20的流量。

3 相关配置
S5510配置
vlan 10 //创建业务vlan
port g1/0/1
quit
vlan 20 //创建业务vlan
port g1/0/2
quit
vlan 100 //用于连接上层出口的vlan
port g1/0/23
quit
vlan 101 //用于连接上层出口的vlan
port g1/0/24
quit
int vlan 10
ip address 192.168.10.1 24
quit
int vlan 20
ip address 192.168.20.1 24
quit
int vlan 100
ip address 100.1.1.1 24 //用于上连的IP地址
quit
int vlan 101
ip address 200.1.1.2 24 //用于上连的IP地址
quit
ip route-static 0.0.0.0 0 100.1.1.2 preference 60 //默认所有流量从电信出去ip route-static 0.0.0.0 0 200.1.1.2 preference 80 //网通出口备份
quit
acl number 3000 //区分出vlan20到vlan10的数据流rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
quit
acl number 3001 //匹配从网通出去的流量
rule permit ip source 192.168.20.0 0.0.0.255
quit
#
traffic classifier a operator and //定义类a
if-match acl 3000 //匹配vlan20去往vlan10的流量traffic classifier b operator and //定义类b
if-match acl 3001 //匹配vlan20上网的流量
#
traffic behavior a //定义行为a
filter permit //执行动作为允许
traffic behavior b //定义行为b
redirect next-hop 200.1.1.1 //重定向下一跳为网通出口
#
qos policy h3c //创建策略h3c
classifier a behavior a //将类a和行为a绑定
classifier b behavior b
quit
qos vlan-policy h3c vlan 20 inbound //针对vlan20应用该策略
模拟Internet环境配置（3610）
#
interface Ethernet1/0/1
port link-mode route
ip address 100.1.1.1 255.255.255.0 //模拟电信网关
#
interface Ethernet1/0/2
port link-mode route
ip address 200.1.1.1 255.255.255.0 //模拟网通网关
#
interface Ethernet1/0/24
port link-mode route
ip address 2.2.2.1 255.255.255.0 //公网主机网关
#
ip route-static 192.168.10.0 255.255.255.0 100.1.1.2
ip route-static 192.168.20.0 255.255.255.0 200.1.1.2
#
4 测试分析
1、经过以上配置后，vlan10和vlan20访问Internet和互访时数据流走向如下：
A．vlan10内PCA访问Internet中的某主机2.2.2.10时其封装格式为：192.168.10.10→
2.2.2.10首先送到网关，因为没有策略针对vlan10，所以直接查路由表，匹配默认
路由送至100.1.1.1然后再经路由至2.2.2.10
B．v lan10内PCA访问vlan20内的PCB：192.168.10.10→192.168.20.10，同样因为没有策略直接经网关查路由送至192.168.20.10
C．v lan20内的主机PCB访问Internet内的主机2.2.2.10时：192.168.20.10→2.2.2.10，首先封装目的MAC为网关，到达5510后匹配策略h3c，第一条classifier a behavior a中ACL的目标是192.168.10.0所以不匹配，然后匹配下一跳，符合，修改下一跳
为200.1.1.1
D．vlan20内的主机PCB访问vlan10中的主机PCA时：192.168.20.10→192.168.10.10首先封装MAC地址为vlan20的网关，然后匹配策略h3c中的第一条classifier a behavior a，执行行为为允许。

2、如果去掉上面配置中的红色字体的配置，即直接对vlan20的数据使用策略修改下一跳，
这时vlan10和vlan20访问Internet和互访时数据流走向如下：
A．vlan10内的PCA访问Internet内的主机2.2.2.10时数据走向不变，PCA访问PCB的数据走向也没有变化：
B．vlan20中的PC访问Internet中的主机2.2.2.10时数据走向也不变
C．vlan20内的主机PCB访问vlan10的PCA时，由于在5510上使用了策略，首先要匹配
策略，修改下一跳为200.1.1.1，而不再查路由转发
5 问题总结
在该配置的实现中有两点要注意：
1、在针对vlan20的数据进行重定向时应首先区分出vlan20到vlan10的数据，避免策略导
致vlan20访问vlan10的数据被强制下一跳而不通。

2、策略应用时要注意是使用qos vlan-policy 在系统视图下应用，而不是在Internet vlan接
口下，而且策略是针对整个vlan数据生效，所以在交换机上的策略应针对vlan应用。