华为策略路由配置实例

合集下载

华为S2700 S3700系列交换机 01-11 策略路由配置

华为S2700 S3700系列交换机 01-11 策略路由配置

11策略路由配置关于本章通过配置策略路由,可以用于提高网络的安全性能和负载分担。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

11.2 配置举例配置示例中包括组网需求和配置思路等。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

背景信息通过配置重定向,设备将符合流分类规则的报文重定向到指定的下一跳地址。

包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。

说明对于S2700系列交换机,只有S2700-52P-EI和S2700-52P-PWR-EI交换机支持策略路由。

前置任务在配置策略路由前,需要完成以下任务:●配置相关接口的IP地址和路由协议,保证路由互通。

●如果使用ACL作为策略路由的流分类规则,配置相应的ACL。

操作步骤1.配置流分类a.执行命令system-view,进入系统视图。

b.执行命令traffic classifier classifier-name [ operator { and | or } ],创建一个流分类并进入流分类视图,或进入已存在的流分类视图。

and表示流分类中各规则之间关系为“逻辑与”,指定该逻辑关系后:▪当流分类中有ACL规则时,报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类;▪当流分类中没有ACL规则时,则报文必须匹配所有非ACL规则才属于该类。

or表示流分类各规则之间是“逻辑或”,即报文只需匹配流分类中的一个或多个规则即属于该类。

缺省情况下,流分类中各规则之间的关系为“逻辑与”。

c.请根据实际情况定义流分类中的匹配规则。

d.执行命令quit,退出流分类视图。

2.配置流行为a.执行命令traffic behavior behavior-name,创建一个流行为,进入流行为视图。

b.请根据实际需要进行如下配置:▪执行命令redirect ip-nexthop ip-address &<1-4> [ forced ],将符合流分类的报文重定向到下一跳。

策略路由和NAT实现负载均衡实例(华为防火墙)

策略路由和NAT实现负载均衡实例(华为防火墙)
acl number3001
rule0permit ip source10.0.0.0 0.255.255.255
acl number3002
rule0permit ip source20.0.0.0 0.255.255.255
#
nat address-group100NAT1100.0.0.1 100.0.0.100
注:方便起见,图中文字的接口用IP地址来表示具体三层接口。
从上图中,我们就可以知道,根据不同的下一跳接口,可以分类出两种不
同的域间策略,这时我们就可以在不同的域间进行不同NAT,实现了实验要求
的NAT需求。那么第二个实验要求能不能实现呢?
答案是确定能实现的。我们可以仔细思考一下,利用策略路由我们可以实
nat实际上在防火墙中也属于域间策略的一种即从上图中我们可以知道nat是在路由选路后进行的而nat的配置很简单只是将匹配的地址acl进行一个地址转换的操作如果不选nopat方式还包括端口所以我们不可能从nat上进行某种操作来实现冗余
一、组网需求:
1.正常情况下10.0.0.2从出口12.12.12.0NAT转化成100.0.0.0的地址,20.0.0.2从出口13.13.13.0NAT转化成200.0.0.0的地址,实现负载均衡。
ip route-static0.0.0.0 0.0.0.0 13.13.13.2
ip route-static 0.0.0.0 0.0.0.0 12.12.12.2
五、实现原理
按照实验要求,如果我们用传统的NAT,将10.0.0.2 nat成
100.0.0.0/24网段,将20.0.0.2 nat成200.0.0.0/24网段,这种方 法是实现不了当FW双线上连线路任意断掉一条业务不断的实验要求。那么我 们应如何解决这个问题呢?首先我们要了解防火墙的处理流程,如下图:

华为AR1200路由器策略路由配置

华为AR1200路由器策略路由配置

华为AR1200路由器策略路由配置华为AR1200 路由器策略路由配置[Huawei]display current-configuration[V200R007C00SPC900]#drop illegal-mac alarm#l2tp enable#ipv6#ip load-balance hash src-ip#dns resolvedns server 219.141.136.10dns server 219.141.140.10dns proxy enable#vlan batch 2#dhcp enable#pki realm defaultenrollment self-signed#ssl policy default_policy type serverpki-realm default#aclnumber 2999rule 5 permit source 172.16.10.0 0.0.1.255#acl number 3000 1;创建用于策略路由的ACLrule 5 permit ip source 192.168.1.0 0.0.0.255acl number 3001 用于策略路由及默认路由两个网段之间互通的ACLrule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255#traffic classifier 2 operator or 2;创建traffic classifier 匹配acl 两个网段互通if-match acl 3001traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由if-match acl 3000#traffic behavior 2 3创建流行为网段互通不做任何行为traffic behavior 1流行为策略路由重定向吓一跳redirect ip-nexthop 172.16.201.145#traffic policy 1 4:创建流策略绑定traffic classifier 与流行为classifier 2 behavior 2默认生效优先级按顺序来classifier 1 behavior 1注意:策略路由与网段互通必须是网段互通在前否则网段互通策略不生效#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password irreversible-cipher %^%#>GaX7&}u@XhKK_N|+BPYHB|'&(|*K+fdf)C8]CsCZ3 5JIRYkI5{ qq1J+r~*U%^%#local-user admin privilege level 15local-user admin service-type telnet terminal ssh httplocal-user admin1 password irreversible-cipher %^%#44VeXSBB2MGdR2*R)Y'(TQ15+Q_5*Lx3gD(C#<6$. nB[AHyOo&WU}7>!W%^0%^%#local-user admin1 privilege level 15local-user admin1 service-type telnet terminal ssh ftp x25-pad http#firewall zone Localpriority 16#interface Vlanif1ip address 172.16.10.1 255.255.254.0dhcp select interfacedhcp server excluded-ip-address 172.16.10.2dhcp server dns-list 219.141.136.10 219.141.140.10#interface Vlanif2ip address 192.168.1.1 255.255.255.0traffic-policy 1 inbound 5:接口inbound 方向应用流策略dhcp select interfacedhcp server dns-list 219.141.136.10 8.8.8.8#interface GigabitEthernet0/0/0#interface GigabitEthernet0/0/1port link-type accessport default vlan 2#interface GigabitEthernet0/0/2 port link-type accessport default vlan 2#interface GigabitEthernet0/0/3 port link-type accessport default vlan 2#interface GigabitEthernet0/0/4 port link-type accessport default vlan 2#interface GigabitEthernet0/0/5 port link-type accessport default vlan 2#interface GigabitEthernet0/0/6 port link-type access#interface GigabitEthernet0/0/7port link-type access#interface GigabitEthernet0/0/8tcp adjust-mss 1200ip address 222.249.226.138 255.255.255.248 nat outbound 2999#interface GigabitEthernet0/0/9tcp adjust-mss 1200ip address 172.16.201.146 255.255.255.252 nat outbound 3000#interface GigabitEthernet0/0/10description VirtualPort#interface Cellular0/0/0#interface Cellular0/0/1#interface NULL0#snmp-agent local-engineid 800007DB03F02FA78A2C38 #ssh user admin authentication-type allssh client first-time enablestelnet server enabletelnet server enable#http secure-server ssl-policy default_policyhttp server enablehttp secure-server enable#ip route-static 0.0.0.0 0.0.0.0 222.249.226.137#user-interface con 0authentication-mode aaauser-interface vty 0authentication-mode aaa user privilege level 15 protocol inbound ssh user-interface vty 1 4 authentication-mode aaa protocol inbound ssh#wlan ac #ops# autostart #return。

华为S9300策略路由配置

华为S9300策略路由配置

华为S9300策略路由配置华为S9300策略路由配置华为S9300策略路由配置需求描述:公司目前有两条带宽,一条为AC设备,用于普通用户上网,一条为VPN设备,用户服务器对外发布,AC跟VPN均连到核心交换机上,核心上需配置默认数据走AC,服务器(192.168.0.12)数据走VPN1.创建ACL规则#需要策略路由的源地址acl number 2000rule 10 permit source 192.168.0.12 0#内网地址时不需要走策略路由acl number 3000rule 10 permit ip destination 192.168.0.0 0.0.255.255rule 15 permit ip destination 172.16.0.0 0.0.255.255rule 20 permit icmp destination 192.168.0.0 0.0.255.255rule 25 permit icmp destination 172.16.0.0 0.0.255.2552.创建behavior#指定策略网关(下一跳地址必须为直接可达,当不存在时,走系统默认路由)traffic behavior 2000redirect ip-nexthop 172.16.1.150#172.16.1.150为VPN内网地址#未定义时走默认路由traffic behavior 30003.创建classifiertraffic classifier 2000 operator or precedence 10if-match acl 2000traffic classifier 3000 operator or precedence 5 if-match acl 30004.创建策略traffic policy servervpnclassifier 3000 behavior 3000classifier 2000 behavior 20005.查找服务器对应的端口dis arp | in 192.168.0.12192.168.0.12s c81f-66dc-3a39 20 D-0 GE1/0/16 #显示IP对应的MAC及端口信息6.应用到指定的端口interface GigabitEthernet1/0/16traffic-policy servervpn inbound。

华三F100系列、华为USG6300系列防火墙策略路由配置实例

华三F100系列、华为USG6300系列防火墙策略路由配置实例

华三F100系列、华为USG6300系列防⽕墙策略路由配置实例策略路由,是⼀种⽐基于⽬标⽹络进⾏路由更加灵活的数据包路由转发机制,路由器将通过路由图决定如何对需要路由的数据包进⾏处理,路由图决定了⼀个数据包的下⼀跳转发路由器。

策略路由的应⽤:1、可以不仅仅依据⽬的地址转发数据包,它可以基于源地址、数据应⽤、数据包长度等。

这样转发数据包更灵活。

2、为QoS服务。

使⽤route-map及策略路由可以根据数据包的特征修改其相关QoS项,进⾏为QoS服务。

3、负载平衡。

使⽤策略路由可以设置数据包的⾏为,⽐如下⼀跳、下⼀接⼝等,这样在存在多条链路的情况下,可以根据数据包的应⽤不同⽽使⽤不同的链路,进⽽提供⾼效的负载平衡能⼒。

在实际的⽹络场景中,普通静态或动态路由,已可满⾜⼤部分⽹络场景。

但⽹段和业务⼀旦复杂起来,普通的路由就难以胜任了,如以下场景:公司有⽹段A,做A业务,需要通过A⽹关进⾏通信。

同时⼜有B⽹段,做B业务,需要通过B⽹关进⾏通信。

如果A,B两个业务,同时都需要访问10.0.0.0/8⽹段。

因普通路由,⽆法对源地址进⾏区分与分别路由,此时如果仅⽤普通路由进⾏配置,那么⽹段A与⽹段B ,都只能选择⼀个下⼀跳⽹关,造成其中⼀个业务⽆法正常开展。

此时就需要使⽤策略路由,对源IP地址进⾏匹配,并根据源IP地址分别进⾏路由。

※华三F100系列防⽕墙策略路由配置:acl advanced 3860 ----配置ACL ,⽤户源IP地址的匹配rule 5 permit ip source 10.*.*.* 0rule 10 permit ip source 10.*.*.* 0rule 15 permit ip source 10.*.*.* 0rule 20 permit ip source 10.*.*.* 0.......----配置策略路由规则policy-based-route management permit node 1 -----management是⾃定义名称,node 1为序号。

华为交换机策略路由配置--产品实现

华为交换机策略路由配置--产品实现

华为交换机策略路由配置--产品实现华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口,匹配成功后将从指定接口发出去。

接口不是能以太网等广播类型接口(改为P2P即可),因为多个下一跳可能导致报文转发不成功。

3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳,仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)(关键)flash Set packet precedence to flash(3)(闪速)flash-override Set packet precedence to flash override(4)(疾速)immediate Set packet precedence to immediate(2)(快速)internet Set packet precedence to Internet control(6)(网间)network Set packet precedence to network control(7)(网内)priority Set packet precedence to priority(1)(优先)routine Set packet precedence to routine(0)(普通)3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由(可以创建多条)2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to match dlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。

华为CE交换机配置策略路由重定向到防火墙

华为CE交换机配置策略路由重定向到防火墙

华为CE交换机配置策略路由重定向到防火墙适用产品和版本CE12800/CE6800/CE5800系列产品V100R001C00或更高版本,CE12800E系列产品V200R002C50或更高版本,CE7800系列产品V100R003C00或者更高版本,CE8800系列产品V100R006C00或者更高版本。

组网需求如图2-47所示,某公司由于业务需要,业务区的服务器有访问Internet的需求。

业务区的数据服务器和视频服务器通过接入层交换机SwitchB和核心层交换机SwitchA接入出口网关Router与Internet 进行通信。

为了保证服务器到Internet和Internet到服务器的流量的安全性,在核心交换机SwitchA旁挂一个防火墙,将所有流经SwitchA的流量通过策略路由重定向到防火墙,防火墙对流量进行过滤从而保证公司内外网络的安全性。

图2-47 配置策略路由的组网图表2-7列出了图2-47上设备的基本网络规划情况。

需求分析•出于安全性考虑,在SwitchA上旁挂一台核心防火墙USG,对流量进行安全过滤。

•对服务器到Internet的流量和Internet到服务器的流量分别进行安全过滤。

操作步骤1.SwitchB的配置,以CE5800系列为例system-view[~HUAWEI] sysname SwitchB //修改设备名称为SwitchB[~HUAWEI] commit[~SwitchB] vlan batch 100 200 //在SwitchB上创建VLAN100和VLAN200[~SwitchB] commit[~SwitchB] interface 10ge 1/0/1 //进入SwitchB与SwitchA相连接口的视图[~SwitchB-10GE1/0/1] port link-type trunk //配置接口类型为Trunk[~SwitchB-10GE1/0/1] port trunk allow-pass vlan 100 200 //将接口加入VLAN100和VLAN200,使VLAN100、VLAN200的报文都能通过[~SwitchB-10GE1/0/1] quit[~SwitchB] interface GE 1/0/2 //进入SwitchB与Data Server 相连的接口的视图[~SwitchB-GE1/0/2] port default vlan 100 //接口类型缺省为Access,允许VLAN100的报文通过[~SwitchB-GE1/0/2] quit[~SwitchB] interface GE 1/0/3 //进入SwitchB与Video Server 相连的接口的视图[~SwitchB-GE1/0/3] port default vlan 200 //接口类型缺省为Access,允许VLAN200的报文通过[~SwitchB-GE1/0/3] quit[~SwitchB] commitSwitchA的配置,以CE12800系列为例system-view[~HUAWEI] sysname SwitchA //修改设备名称为SwitchA[~HUAWEI] commit[~SwitchA] vlan batch 100 200 300 400 500 //在SwitchA上创建VLAN100、VLAN200、VLAN300、VLAN400和VLAN500 [~SwitchA] commit[~SwitchA] interface 10ge 1/0/1 //进入SwitchA与SwitchB相连接口的视图[~SwitchA-10GE1/0/1] port link-type trunk //配置接口类型为Trunk[~SwitchA-10GE1/0/1] port trunk allow-pass vlan 100 200 //将接口加入VLAN100和VLAN200,使VLAN100、VLAN200的报文都能通过[~SwitchA-10GE1/0/1] quit[~SwitchA] interface 10ge 1/0/2 //进入SwitchA与Router相连的接口的视图[~SwitchA-10GE1/0/2] port default vlan 500 //接口默认为Access类型,将接口加入VLAN500[~SwitchA-10GE1/0/2] quit[~SwitchA] interface 10ge 1/0/3 //进入SwitchA与核心防火墙相连的其中一个接口的视图[~SwitchA-10GE1/0/3] port default vlan 300 //接口默认为Access类型,将接口加入VLAN300[~SwitchA-10GE1/0/3] quit[~SwitchA] interface 10ge 1/0/4 //进入SwitchA与核心防火墙相连的另一个接口的视图[~SwitchA-10GE1/0/4] port default vlan 400 //接口默认为Access类型,将接口加入VLAN400[~SwitchA-10GE1/0/4] quit[~SwitchA] commit[~SwitchA] interface vlanif 100[~SwitchA-Vlanif100] ip address 192.168.1.1 24 //配置VLANIF100的IP地址为192.168.1.1,掩码为24[~SwitchA-Vlanif100] quit[~SwitchA] interface vlanif 200[~SwitchA-Vlanif200] ip address 192.168.2.1 24 //配置VLANIF200的IP地址为192.168.2.1,掩码为24[~SwitchA-Vlanif200] quit[~SwitchA] interface vlanif 300[~SwitchA-Vlanif300] ip address 192.168.3.1 24 //配置VLANIF300的IP地址为192.168.3.1,掩码为24[~SwitchA-Vlanif300] quit[~SwitchA] interface vlanif 400[~SwitchA-Vlanif400] ip address 192.168.4.1 24 //配置VLANIF400的IP地址为192.168.4.1,掩码为24[~SwitchA-Vlanif400] quit[~SwitchA] interface vlanif 500[~SwitchA-Vlanif500] ip address 192.168.10.1 24 //配置VLANIF500的IP地址为192.168.10.1,掩码为24[~SwitchA-Vlanif500] quit[~SwitchA] commit[~SwitchA] ip route-static 0.0.0.0 0.0.0.0 192.168.10.2 //配置缺省路由,使服务器能正常访问Internet[~SwitchA] commit[~SwitchA] acl 3001 //创建ACL3001[~SwitchA-acl4-advance-3001] rule 5 permit ip source 192.168.1.2 24 //配置ACL3001中的规则:源网段为192.168.1.0 [~SwitchA-acl4-advance-3001] rule 10 permit ip source 192.168.2.2 24 //配置ACL3001中的规则:源网段为192.168.2.0 [~SwitchA-acl4-advance-3001] commit[~SwitchA-acl4-advance-3001] quit[~SwitchA] traffic classifier c1 //创建流分类c1[~SwitchA-classifier-c1] if-match acl 3001 //匹配ACL3001的规则,匹配原网段为192.168.1.0或192.168.2.0网段内的所有报文,即所有从服务器到Internet的报文[~SwitchA-classifier-c1] quit[~SwitchA] commit[~SwitchA] traffic behavior b1 //创建流行为b1[~SwitchA-behavior-b1] redirect nexthop 192.168.3.2 //对匹配的报文重定向到192.168.3.2,即重定向到核心防火墙USG [~SwitchA-behavior-b1] quit[~SwitchA] commit[~SwitchA] traffic policy p1 //创建流策略p1[~SwitchA-trafficpolicy-p1] classifier c1 behavior b1 //在流策略p1中绑定流分类c1和流行为b1,即将所有从服务器到Internet的报文重定向到核心防火墙USG[~SwitchA-trafficpolicy-p1] quit[~SwitchA] commit[~SwitchA] interface 10ge 1/0/1 //进入SwitchA与SwitchB相连接口的视图[~SwitchA-10GE1/0/1] traffic-policy p1 inbound //将流策略p1应用在SwitchA与SwitchB相连接口的入方向上,对从服务器到Internet的报文进行安全过滤[~SwitchA-10GE1/0/1] quit[~SwitchA] commit[~SwitchA] acl 3002 //创建ACL3002[~SwitchA-acl4-advance-3002] rule 5 permit ip destination 192.168.1.2 24 //配置ACL3002中的规则:目的网段为192.168.1.0 [~SwitchA-acl4-advance-3002] rule 10 permit ip destination 192.168.2.2 24 //配置ACL3002中的规则:目的网段为192.168.2.0 [~SwitchA-acl4-advance-3002] commit[~SwitchA-acl4-advance-3002] quit[~SwitchA] traffic classifier c2 //创建流分类c2[~SwitchA-classifier-c2] if-match acl 3002 //匹配ACL3002的规则,匹配目的网段为192.168.1.0或192.168.2.0网段内的所有报文,即所有从Internet到服务器的报文[~SwitchA-classifier-c2] quit[~SwitchA] commit[~SwitchA] traffic behavior b2 //创建流行为b2[~SwitchA-behavior-b2] redirect nexthop 192.168.3.2 //对匹配的报文重定向到192.168.3.2,即重定向到核心防火墙USG [~SwitchA-behavior-b2] quit[~SwitchA] commit[~SwitchA] traffic policy p2 //创建流策略p2[~SwitchA-trafficpolicy-p2] classifier c2 behavior b2 //在流策略p1中绑定流分类c2和流行为b2,即将所有从Internet到服务器的报文重定向到核心防火墙USG[~SwitchA-trafficpolicy-p2] quit[~SwitchA] commit[~SwitchA] interface 10ge 1/0/2 //进入SwitchA与Router相连接口的视图[~SwitchA-10GE1/0/2] traffic-policy p1 inbound //将流策略p1应用在SwitchA与Router相连接口的入方向上,对从Internet到服务器的报文进行安全过滤[~SwitchA-10GE1/0/2] quit[~SwitchA] commit防火墙的配置,以USG系列为例system-view[USG] interface GigabitEthernet 1/0/3 //进入USG与SwitchA 与相连的其中一个接口的视图[USG-GigabitEthernet1/0/3] ip address 192.168.3.2 24 //配置接口的IP地址[USG-GigabitEthernet1/0/3] quit[USG] interface GigabitEthernet 1/0/4 //进入USG与SwitchA 与相连的另外一个接口的视图[USG-GigabitEthernet1/0/4] ip address 192.168.4.2 24 /配置接口的IP地址[USG-GigabitEthernet1/0/4] quit[USG] firewall zone trust //进入Trust安全区域视图[USG-zone-trust] add interface GigabitEthernet 1/0/3 //将接口GigabitEthernet 1/0/3加入Trust安全区域[USG-zone-trust] quit[USG] firewall zone untrust //进入untrust安全区域视图[USG-zone-untrust] add interface GigabitEthernet 1/0/4 //将接口GigabitEthernet 1/0/4加入untrust安全区域[USG-zone-untrust] quit[USG] policy interzone trust untrust outbound //进入Trust-Untrust域间安全策略视图[USG-policy-interzone-trust-untrust-outbound] policy 1 //创建安全策略,并进入策略ID视图[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255 //指定源地址为192.168.1.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.2.0 0.0.0.255 //指定源地址为192.168.2.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.1.0 0.0.0.255 //指定目的地址为192.168.1.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.2.0 0.0.0.255 //指定目的地址为192.168.2.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] action permit //配置对匹配流量的包过滤动作为允许通过[USG-policy-interzone-trust-untrust-outbound-1] quit[USG-policy-interzone-trust-untrust-outbound] quit[USG] firewall blacklist enable //开启黑名单功能[USG] firewall defend ip-sweep enable //开启IP地址扫描攻击防范功能[USG] firewall defend ip-spoofing enable //开启IP Spoofing 攻击防范功能[USG] ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 //配置路由,下一跳为SwitchA的vlanif 400的接口地址,不管是从服务器到Internet的流量,还是从Internet到服务器的流量都是从防火墙的GigabitEthernet 1/0/4到SwitchA验证在SwitchA上使用display traffic policy命令,检查回显信息,看流策略中的信息是否配置正确。

华为路由器配置实例

华为路由器配置实例

华为路由器配置实例华为路由器配置实例1.硬件连接配置1.1 连接路由器①将电缆连接到路由器的WAN口②将另一端的电缆连接到互联网服务提供商(ISP)的调制解调器1.2 连接计算机①将计算机连接到路由器的LAN口②确保计算机网络设置为自动获得IP地质2.登录路由器管理界面2.1 打开网页浏览器2.2 在浏览器地质栏输入默认的路由器管理界面IP地质(例如.192.16①)2.3 输入用户名和密码登录路由器管理界面3.基本网络设置3.1 修改管理密码①在路由器管理界面中找到“系统管理”或类似选项②设置新的管理密码并确认保存3.2 更新路由器固件①在路由器管理界面中找到“系统升级”或类似选项②相应的固件文件并进行升级3.3 配置网络名称(SSID)①在路由器管理界面中找到“无线设置”或类似选项②输入新的网络名称(SSID)并确认保存3.4 配置密码①在路由器管理界面中找到“无线设置”或类似选项②设置新的无线密码并确认保存3.5 配置IP地质分配①在路由器管理界面中找到“局域网设置”或类似选项②设置IP地质分配方式为DHCP(自动获取)4.高级网络设置4.1 配置端口转发①在路由器管理界面中找到“虚拟服务器”或类似选项②添加需要转发的端口号和对应的内部IP地质4.2 配置端口触发①在路由器管理界面中找到“端口触发”或类似选项②添加需要触发的端口范围和对应的触发条件4.3 配置静态路由①在路由器管理界面中找到“静态路由”或类似选项②添加需要配置的网络地质和对应的出口或下一跳选项5.安全设置5.1 配置防火墙①在路由器管理界面中找到“防火墙”或类似选项②配置需要开放或关闭的端口5.2 启用MAC地质过滤①在路由器管理界面中找到“无线设置”或类似选项②添加允许或禁止连接的MAC地质5.3 启用网络地质转换(NAT)①在路由器管理界面中找到“NAT”或类似选项②启用NAT并确认保存6.附件本文档涉及附件:●路由器配置截图●路由器固件升级文件●其他相关配置文件7.法律名词及注释●IP地质:Internet Protocol Address,互联网协议地质,用于标识网络设备的唯一地质。

华为交换机策略路由方法

华为交换机策略路由方法

华为交换机策略路由方法
华为交换机策略路由方法是使用IP地址、路由策略和路由条
目来实现路由决策和流量控制。

具体步骤如下:
1. 配置IP地址:在华为交换机上为相应的接口配置IP地址,
确保交换机能够与其他设备进行通信。

2. 创建路由策略:使用命令行界面或图形用户界面来创建路由策略,可以基于多种条件来定义策略,如源IP地址、目的IP
地址、业务类型等。

3. 创建路由条目:根据创建的路由策略,配置相应的路由条目,指定目的网络和下一跳地址。

4. 配置路由选项:设置路由选项,如路由缓存、路由版本、路由处理方式等。

5. 进行路由决策:当交换机接收到数据包时,会根据路由策略和路由条目进行路由决策,选择最优的路径将数据包转发到目标网络。

6. 流量控制:根据路由策略和路由条目,可以对特定的流量进行控制和限制,如限制带宽、设置QoS优先级等。

值得注意的是,华为交换机还支持动态路由协议,如OSPF、BGP等,可以与其他路由器交换路由信息,实现更加灵活和
自适应的路由选择。

华为交换机策略路由配置--产品实现

华为交换机策略路由配置--产品实现

华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口,匹配成功后将从指定接口发出去。

接口不是能以太网等广播类型接口(改为P2P即可),因为多个下一跳可能导致报文转发不成功。

3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳,仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)(关键)flash Set packet precedence to flash(3)(闪速)flash-override Set packet precedence to flash override(4)(疾速)immediate Set packet precedence to immediate(2)(快速)internet Set packet precedence to Internet control(6)(网间)network Set packet precedence to network control(7)(网内)priority Set packet precedence to priority(1)(优先)routine Set packet precedence to routine(0)(普通)3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)<cr>3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由(可以创建多条)2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to matchdlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。

华为AR系列路由器 01-12 策略路由配置

华为AR系列路由器 01-12 策略路由配置

12策略路由配置关于本章通过配置策略路由,可以用于提高网络的安全性能和负载分担。

12.1 策略路由简介介绍策略路由的定义和作用。

12.2 策略路由原理描述介绍策略路由的实现原理。

12.3 策略路由应用介绍策略路由的应用场景。

12.4 策略路由配置任务概览设备不仅支持基于到达报文的源地址、报文长度等信息进行路由选择的本地策略路由和接口策略路由,还支持基于链路质量信息为业务数据流选择优选链路的智能策略路由SPR(Smart Policy Routing)。

12.5 策略路由配置注意事项介绍策略路由在使用和配置过程中的注意事项。

12.6 配置本地策略路由通过配置本地策略路由,可以控制本机下发的报文通过指定的出口进行发送。

本地策略路由只对主机面下发的数据生效。

12.7 配置接口策略路由配置接口策略路由可以将到达接口的三层报文重定向到指定的下一跳地址。

12.8 配置智能策略路由根据业务对链路质量的需求情况配置智能策略路由SPR(Smart Policy Routing)可以实现随链路质量变化情况动态切换业务数据的传输链路。

12.9 策略路由配置举例配置示例中包括组网需求和配置思路等。

12.1 策略路由简介介绍策略路由的定义和作用。

定义策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制,分为本地策略路由、接口策略路由和智能策略路由SPR(Smart PolicyRouting)。

说明●策略路由与路由策略(Routing Policy)存在以下不同:●策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。

●路由策略的操作对象是路由信息。

路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。

路由策略的详细内容请参见10 路由策略配置。

目的传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。

华为路由器学习指南-本地策略路由配置示例

华为路由器学习指南-本地策略路由配置示例

华为路由器学习指南-本地策略路由配置⽰例拓扑图如下,RouterA与RouterB间有两条链路相连。

⽤户希望RouterA在发送不同长度的报⽂时,通过不同的下⼀跳地址进⾏转发。

长度为64~1400字节的报⽂设置150.1.1.2作为下⼀跳地址。

长度为1401~1500字节的报⽂设置1151.1.1.2作为下⼀跳地址。

在RouterA上创建名为lab1的本地策略路由,⽤策略点10和策略点20分别配置两种报⽂长度匹配规则,并分别指定对就策略点的协作,即指定对就的下⼀跳地址。

[RouterA]display policy-based-route lab1policy-based-route : lab1Node 10 permit :if-match packet-length 641400apply ip-address next-hop 150.1.1.2Node 20 permit :if-match packet-length 1401 1500apply ip-address next-hop 151.1.1.2验证配置结果在使能本地策略路由lab1之前重置RuterB接⼝统计信息reset counters interface g0/0/1reset counters interface g0/0/0查看RouterB接⼝统计信息display int g0/0/1GigabitEthernet0/0/1 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:50 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/1 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 150.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a6Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:31:31-08:00Port Mode: FORCE COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 0 bits/sec, 0 packets/secLast 300 seconds output rate 0 bits/sec, 0 packets/secInput peak rate 592 bits/sec,Record time: 2017-06-26 15:21:38Output peak rate 560 bits/sec,Record time: 2017-06-26 15:21:38Input: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%display int g0/0/0GigabitEthernet0/0/0 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:59 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/0 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 151.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a5 Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:31:40-08:00Port Mode: COMMON COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 0 bits/sec, 0 packets/secLast 300 seconds output rate 0 bits/sec, 0 packets/secInput peak rate 720 bits/sec,Record time: 2017-06-26 15:21:53Output peak rate 720 bits/sec,Record time: 2017-06-26 15:21:53Input: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%input为0 packet在RouterA ping -s 80 10.1.2.1display int g0/0/0GigabitEthernet0/0/0 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:59 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/0 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 151.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a5 Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:34:40-08:00Port Mode: COMMON COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 16 bits/sec, 0 packets/secLast 300 seconds output rate 16 bits/sec, 0 packets/secInput peak rate 976 bits/sec,Record time: 2017-06-26 15:34:38Output peak rate 976 bits/sec,Record time: 2017-06-26 15:34:38Input: 5 packets, 610 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 5 packets, 610 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%RoutrB g0/0/0增加了5个packet ——————————————————————————————————————————在使能本地策略路由lab1之后[RouterA]ip local policy-based-route lab1display int g0/0/1GigabitEthernet0/0/1 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:50 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/1 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 150.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a6Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:37:26-08:00Port Mode: FORCE COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 16 bits/sec, 0 packets/secLast 300 seconds output rate 16 bits/sec, 0 packets/secInput peak rate 600 bits/sec,Record time: 2017-06-26 15:37:23Output peak rate 584 bits/sec,Record time: 2017-06-26 15:37:23Input: 5 packets, 630 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 5 packets, 610 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%[RouterA]ping -s 1401 10.1.2.1display int g0/0/0GigabitEthernet0/0/0 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:59 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/0 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 151.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a5Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:38:11-08:00Port Mode: COMMON COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 208 bits/sec, 0 packets/secLast 300 seconds output rate 208 bits/sec, 0 packets/secInput peak rate 11544 bits/sec,Record time: 2017-06-26 15:38:11 Output peak rate 11544 bits/sec,Record time: 2017-06-26 15:38:11 Input: 10 packets, 7825 bytesUnicast: 10, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 10 packets, 7825 bytesUnicast: 10, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%证明本地策略路由配置成功。

华为策略路由配置实例

华为策略路由配置实例

华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示,公司用户通过Switch双归属到外部网络设备。

其中,一条是低速链路,网关为10.1.20.1/24;另外一条是高速链路,网关为10.1.30.1/24。

公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路1、创建VLAN并配置各接口,实现公司和外部网络设备互连。

2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。

3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。

4、配置流行为,使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。

5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。

3、操作步骤3.1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk,并加入VLAN100和VLAN200。

[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type trunk[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type trunk[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 2/0/1[Switch-GigabitEthernet2/0/1] port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。

华为路由器路由策略和策略路由配置与管理

华为路由器路由策略和策略路由配置与管理

路由策略和策略路由配置管理一、路由策略简介路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所 经过的路径。

路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变 路由信息的属性,如:1、 控制路由的接收和发布只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。

2、 控制路由的引入在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信 息。

3、 设置特定路由的属性修改通过路由策略过滤的路由的属性,满足自身需要。

路由策略具有以下价值:通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修 改路由属性,对网络数据流量进行合理规划,提高网络性能。

、基本原理路由策略使用 不同的匹配条件和匹配模式 选择路由和改变路由属性。

在特定的场景中,路由策略的 6种过滤器也能单独使用,实现路由过滤。

若设备支持 BGP to IGP 功能,还能在IGP 引入BGP 路由时,使用BGP 私有属性作为 匹配条件。

Dony图1路由策略原理图如图1,一个路由策略中包含 N ( N>=1)个节点(Node )。

路由进入路由策略后, 各个节点是否匹配。

匹配条件由lf-match 子句定义,涉及路由信息的属性和路由策略的 匹配模式分 permit 和 deny 两种:permit :路由将被允许通过,并且执行该节点的 Apply 子句对路由信息的一些属性进行设置。

仝部托配咗功---- 血扯模Permit Apply^Apply―■「 h逍过Deny——加邨d 过)\ 丿『If 嗣贰 If maich 全部匹配成功 ------ 龍瓊工)Permit ApplyApply迪过昭ih 播略按节点序号从小到大依次检查6种过滤器。

Routing policyIf match If match (Kode N)-^deny:路由将被拒绝通过。

华为策略路由配置实例

华为策略路由配置实例

华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示,公司用户通过Switch双归属到外部网络设备。

其中,一条是低速链路,网关为10.1.20.1/24;另外一条是高速链路,网关为10.1.30.1/24。

公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路1、创建VLAN并配置各接口,实现公司和外部网络设备互连。

2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。

3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。

4、配置流行为,使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。

5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。

3、操作步骤3.1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk,并加入VLAN100和VLAN200。

[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type trunk[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type trunk[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 2/0/1[Switch-GigabitEthernet2/0/1] port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。

华为路由器配置实例

华为路由器配置实例

华为路由器配置实例This model paper was revised by the Standardization Office on December 10, 2020华为路由器配置实例 1华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。

实现防火墙策略,和访问控制(ACL),我们这里用的是四台电脑。

方案说明:四台PC的IP地址、掩码如下列表:P1 网关IP 为P2 网关IP 为P3 网关IP 为P4 网关IP 为路由器上Ethernet0的IP 为Ethernet1的IP 为firewall 设置默认为deny实施命令列表:交换机上设置,划分VLAN:sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2[Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3 [Quidway]dis vlan all[Quidway]dis cu路由器上设置,实现访问控制:[Router]interface ethernet 0[Router-Ethernet0]ip address[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address[Router-Ethernet1]quit//开启firewall,并将默认设置为deny[Router]fire enable[Router]fire default deny//允许访问//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source destination [Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit [Router-Ethernet1]fire pa 101 [Router-Ethernet1]quit。

华为路由器配置实例2024

华为路由器配置实例2024

引言概述:本文旨在向读者介绍华为路由器的配置实例,以帮助读者了解如何正确配置华为路由器以实现网络连接和安全保护。

本文将结合具体实例,介绍华为路由器的基本配置步骤和注意事项,并提供一些实用的配置技巧。

正文:一、网络连接配置1. 连接物理设备:首先需要将路由器与外部网络设备(如调制解调器或交换机)通过网线进行连接。

确保连接端口配置正确,并检查物理连接的稳定性。

2. 配置IP地址:在华为路由器的管理界面中,通过访问路由器的默认IP地址,进入路由器的配置界面。

在配置界面中,可以为路由器的LAN口设置静态IP地址,确保路由器和其他网络设备可以相互通信。

3. 配置PPPoE拨号:如果您的网络服务提供商(ISP)要求使用PPPoE进行拨号上网,您需要在路由器上进行相关配置。

在配置界面中,输入ISP提供的帐号和密码,并设置自动拨号功能,以确保路由器可以成功连接到互联网。

二、无线网络配置1. 开启无线功能:在路由器的配置界面中,找到无线网络配置选项,并启用无线功能。

确保设置无线网络的名称(SSID)并选择适当的加密方式,以保护无线网络的安全性。

2. 设置无线密码:为无线网络设置密码是保护网络安全的关键。

在配置界面中,选择适当的加密方式(如WPA2-PSK)并输入密码。

确保密码是强密码,并定期更换密码以增强网络安全性。

3. 优化无线信号:通过调整路由器的信道设置,可以优化无线信号的传输效果。

选择一个信道上的干扰较少,并且与邻近的无线网络信道相互独立的信道,可以减少无线信号的干扰和干扰。

三、防火墙和网络安全配置1. 配置网络地址转换(NAT):NAT可以隐藏内部网络的IP地址,提供一定程度的安全性。

在路由器的配置界面中,找到NAT选项,并确保开启NAT功能。

2. 启用防火墙:华为路由器通常配备了内置的防火墙功能。

在配置界面中,找到防火墙选项,并启用防火墙功能。

可以根据具体需求,设置防火墙的规则和策略,以增强网络的安全性。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

华为策略路由配置实例1、组网需求?????????????????图1?策略路由组网示例图????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路1、创建VLAN并配置各接口,实现公司和外部网络设备互连。

2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。

3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。

5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。

3、操作步骤3.1、创建VLAN并配置各接口#?在Switch上创建VLAN100和VLAN200。

<HUAWEI>?system-view[HUAWEI]?sysnameSwitch[Switch]?vlanbatch100200#?配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk,并加入VLAN100和VLAN200。

[Switch]?interfacegigabitethernet1/0/1[Switch-GigabitEthernet1/0/1]?portlink-typetrunk[Switch-GigabitEthernet1/0/1]?porttrunkallow-passvlan100200[Switch-GigabitEthernet1/0/1]?quit[Switch]?interfacegigabitethernet1/0/2[Switch-GigabitEthernet1/0/2]?portlink-typetrunk[Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200[Switch-GigabitEthernet1/0/2]?quit[Switch]?interfacegigabitethernet2/0/1[Switch-GigabitEthernet2/0/1]?portlink-typetrunk[Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200[Switch-GigabitEthernet2/0/1]?quit配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。

#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。

[Switch]?interfacevlanif100[Switch-Vlanif100]?ipaddress24[Switch-Vlanif100]?quit[Switch]?interfacevlanif200[Switch-Vlanif200]?ipaddress24[Switch-Vlanif200]?quit3.2、配置ACL规则#?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。

[Switch]?acl3001[Switch-acl-adv-3001]?rulepermitipprecedence0[Switch-acl-adv-3001]?rulepermitipprecedence1[Switch-acl-adv-3001]?rulepermitipprecedence2[Switch-acl-adv-3001]?rulepermitipprecedence3[Switch-acl-adv-3001]?quit[Switch]?acl3002[Switch-acl-adv-3002]?rulepermitipprecedence4[Switch-acl-adv-3002]?rulepermitipprecedence5[Switch-acl-adv-3002]?rulepermitipprecedence6[Switch-acl-adv-3002]?rulepermitipprecedence7[Switch-acl-adv-3002]?quit3.3、配置流分类在Switch上创建流分类c1、c2,匹配规则分别为ACL3001和ACL3002。

[Switch]?trafficclassifierc1operatorand[Switch-classifier-c1]?if-matchacl3001[Switch-classifier-c1]?quit[Switch]?trafficclassifierc2operatorand[Switch-classifier-c2]?if-matchacl3002[Switch-classifier-c2]?quit3.4、配置流行为#?[Switch]?trafficbehaviorb1[Switch-behavior-b1]?redirectip-nexthop[Switch-behavior-b1]?quit[Switch]?trafficbehaviorb2[Switch-behavior-b2]?redirectip-nexthop[Switch-behavior-b2]?quit3.5、配置流策略并应用到接口上#?在Switch上创建流策略p1,将流分类和对应的流行为进行绑定。

[Switch]?trafficpolicyp1[Switch-trafficpolicy-p1]?classifierc1behaviorb1[Switch-trafficpolicy-p1]?classifierc2behaviorb2[Switch-trafficpolicy-p1]?quit#?将流策略p1应用到接口GE2/0/1的入方向上。

[Switch]?interfacegigabitethernet2/0/1[Switch-GigabitEthernet2/0/1]?traffic-policyp1inbound [Switch-GigabitEthernet2/0/1]?return3.6、验证配置结果#?查看ACL规则的配置信息。

<Switch>?displayacl3001AdvancedACL3001,4rulesAcl'sstepis5?rule5permitipprecedenceroutine(match-counter0)?rule10permitipprecedencepriority(match-counter0)?rule15permitipprecedenceimmediate(match-counter0)?rule20permitipprecedenceflash(match-counter0)<Switch>?displayacl3002AdvancedACL3002,4rulesAcl'sstepis5?rule5permitipprecedenceflash-override(match-counter0) ?rule10permitipprecedencecritical(match-counter0)?rule15permitipprecedenceinternet(match-counter0)?rule20permitipprecedencenetwork(match-counter0) #?查看流分类的配置信息。

<Switch>?displaytrafficclassifieruser-defined?UserDefinedClassifierInformation:???Classifier:c1?????Precedence:5?????Operator:AND?????Rule(s):?if-matchacl3001???Classifier:c2????Precedence:10????Operator:AND????Rule(s):if-matchacl3002 Totalclassifiernumberis2?#?查看流策略的配置信息。

<Switch>?displaytrafficpolicyuser-definedp1?UserDefinedTrafficPolicyInformation:?Policy:p1??Classifier:c1???Operator:AND????Behavior:b1?????Redirect:noforced ???????Redirectip-nexthop??Classifier:c2???Operator:AND????Behavior:b2?????Redirect:noforced ???????Redirectip-nexthop4、配置文件Switch的配置文件#sysnameSwitch#vlanbatch100200#aclnumber3001?rule5permitipprecedenceroutine?rule10permitipprecedencepriority?rule15permitipprecedenceimmediate ?rule20permitipprecedenceflash#aclnumber3002?rule5permitipprecedenceflash-override ?rule10permitipprecedencecritical?rule15permitipprecedenceinternet?rule20permitipprecedencenetwork#trafficclassifierc1operatorandprecedence5 ?if-matchacl3001trafficclassifierc2operatorandprecedence10 ?if-matchacl3002#trafficbehaviorb1?redirectip-nexthoptrafficbehaviorb2?redirectip-nexthop#trafficpolicyp1match-orderconfig?classifierc1behaviorb1?classifierc2behaviorb2#interfaceVlanif100?ipaddress#interfaceVlanif200?ipaddress#interfaceGigabitEthernet1/0/1 ?portlink-typetrunk?porttrunkallow-passvlan100200 # interfaceGigabitEthernet1/0/2 ?portlink-typetrunk?porttrunkallow-passvlan100200 # interfaceGigabitEthernet2/0/1 ?portlink-typetrunk?porttrunkallow-passvlan100200 ?traffic-policyp1inbound#return。

相关文档
最新文档