策略路由配置模板
交换机策略路由配置
策略路由配置一 组网需求:1.Pc-1的IP地址为10.1.1.2/24,MAC地址为000f-1fb8-fcb8;2.Pc-1连接到交换机的以太网端口0/1,属于VLAN10;3.Pc-1的网关在交换机上,网关地址为交换机VLAN10的地址10.1.1.1/24;4.Switch有两条上行链路,下一跳地址分别为172.1.1.2/30,和192.1.1.2/305.交换机默认路由下一跳地址为172.1.1.2;6.Pc-1访问WWW的业务,下一跳地址为192.1.1.2;7.此案例同时适用于以下产品:H3C 3500、3610、5510系列交换机。
二 组网图:三 配置步骤:1 H3C 3500系列交换机路由策略的配置SwitchA配置:1.创建(进入)vlan10,并将端口E0/1加入vlan10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12.创建(进入)vlan接口10,并配置IP地址[SwitchA]interface Vlan-interface 10[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0Un Re gi st er ed3.配置符合需求的访问控制列表[SwitchA]acl num 3000[SwitchA-acl-adv-3000]rule permit tcp source 10.1.1.2 0 destination-port eq www4.在端口E0/1上配置重定向[SwitchA-Ethernet0/1]traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.1.1.22 H3C 3610、5510系列交换机路由策略的配置SwitchA配置:1.创建(进入)vlan10,并将端口E0/1加入vlan10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12.创建(进入)vlan接口10,并配置IP地址[SwitchA]interface Vlan-interface 10[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.03.配置符合需求的访问控制列表[SwitchA]acl num 3000[SwitchA-acl-adv-3000]rule permit tcp source 10.1.1.2 0 destination-port eq www4.配置名为test的类[SwitchA-acl-adv-3000]quit[SwitchA]traffic classifier test[SwitchA-classifier-test]if-match acl 30005.配置名为test的流行为[SwitchA-classifier-test]quitUn Re gi st er ed[SwitchA]traffic behavior test[SwitchA-behavior-test]redirect next-hop 192.1.1.26.配置名为test的策略[SwitchA-behavior-test]quit[SwitchA]qos policy test[SwitchA-qospolicy-test]classifier test behavior test7.在端口端口E0/1上引用test策略[SwitchA-qospolicy-test]test [SwitchA]int Ethernet 0/1[SwitchA-Ethernet 0/1]qos apply policy test inbound四 配置关键点:1.路由方面照常进行配置即可,若想对其他应用进行重定向,需要配置精确匹配的访问规则,并在端口上引用;2.可以在“next-hop ”参数后面配置两个不同优先级的下一跳地址,例如:[SwitchA-Ethernet0/10]traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.1.1.2 172.1.1.2这条配置完成的功能是:Pc-1的WWW访问业务首先重定向到地址192.1.1.2,如果该地址不可达,则报文会被重定向到地址172.1.1.2。
路由器和交换机策略路由器配置
路由器和交换机策略路由器配置
一,网络调试目的
公司目前有两条外线,平时做的是主备,这样就导致一条外线繁忙,另一条线空闲,浪费资源,现在公司决定让两条外线做负载均衡,这样一是解决线路网络繁忙,二是刚好的利用网络资源。
二,网络拓扑图
三,解决方法
1,流分类
acl number 3000
rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255
acl number 3010
rule 10 permit ip source 172.16.10.0 0.0.0.255
2,流行为
traffic behavior b1
permit
traffic behavior b2
redirect ip-nexthop 172.16.1.1
3,流策略
traffic policy p1 match-order config
classifier 3000 behavior b1
classifier 3010 behavior b2
4,在相应的端口下应用流策略。
interface Vlanif1
ip address 172.16.1.2 255.255.255.0
traffic-policy p1 inbound
默认路由指向R2 ip route-static 0.0.0.0 0.0.0.0 172.16.2.1
四,测试效果
经过测试,发现172.16.10.0/24 走R1, 172.16.20.0/24 走R2,这样就达到了原来设计目标,使网络负载均衡。
H3C三层交换机 策略路由 配置
H3c策略路由配置整理这里只说明怎样配置,具体只参照H3C交换机配置文档第一步:区分数据流acl number 2001rule 0 permit source 10.0.0.0 0.255.255.255acl number 3001 name virusrule 0 deny tcp destination-port eq 445rule 5 deny udp destination-port eq 445acl number 3100 name laoshirule 0 permit ip source 192.168.12.0 0.0.0.255rule 1 permit ip source 192.168.13.0 0.0.0.255rule 2 permit ip source 192.168.14.0 0.0.0.255rule 3 permit ip source 192.168.15.0 0.0.0.255rule 4 permit ip source 192.168.16.0 0.0.0.255rule 5 permit ip source 192.168.17.0 0.0.0.255rule 6 permit ip source 192.168.18.0 0.0.0.255rule 7 permit ip source 192.168.19.0 0.0.0.255rule 8 permit ip source 192.168.20.0 0.0.0.255rule 9 permit ip source 10.0.0.0 0.0.255.255rule 10 permit ip source 192.168.11.0 0.0.0.255acl number 3101 name xueshengrule 0 permit ip source 192.168.21.0 0.0.0.255rule 1 permit ip source 192.168.22.0 0.0.0.255rule 2 permit ip source 192.168.23.0 0.0.0.255rule 3 permit ip source 192.168.24.0 0.0.0.255rule 4 permit ip source 192.168.25.0 0.0.0.255rule 5 permit ip source 192.168.26.0 0.0.0.255rule 6 permit ip source 192.168.27.0 0.0.0.255rule 7 permit ip source 192.168.28.0 0.0.0.255rule 8 permit ip source 192.168.29.0 0.0.0.255rule 9 permit ip source 192.168.30.0 0.0.0.255acl number 3103 name neiwangrule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255rule 1 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.0.0 0.0.255.255 rule 2 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.0.0 0.255.255.255 acl number 3104 name shiyanshirule 0 permit ip source 10.0.0.0 0.255.255.255#第二步:定义数据流traffic classifier laoshi operator andif-match acl name laoshitraffic classifier shiyanshi operator andif-match acl name shiyanshitraffic classifier xuesheng operator andif-match acl name xueshengtraffic classifier neiwang operator andif-match acl name neiwang第三步:定义数据流的动作traffic behavior laoshiredirect next-hop 192.168.0.254traffic behavior shiyanshiredirect next-hop 192.168.0.254traffic behavior xueshengredirect next-hop 192.168.0.250traffic behavior neiwangfilter permit第四步:定义策略:qos policy rpclassifier neiwang behavior neiwangclassifier laoshi behavior laoshiclassifier xuesheng behavior xueshengclassifier shiyanshi behavior shiyanshi第五步:应用完成的策略(应用到某个端或VLAN)interface E1/0/1qos apply policy rp inboundinterface vlan 1010qos vlan policy rp vlan 1010 inbound。
华为策略路由配置实例【范本模板】
华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示,公司用户通过Switch双归属到外部网络设备.其中,一条是低速链路,网关为10.1.20。
1/24;另外一条是高速链路,网关为10。
1。
30。
1/24。
公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。
2、配置思路1、创建VLAN并配置各接口,实现公司和外部网络设备互连。
2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3.3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。
4、配置流行为,使满足不同规则的报文分别被重定向到10.1.20.1/24和10。
1。
30.1/24。
5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。
3、操作步骤3。
1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。
<HUAWEI〉system-view[HUAWEI]sysname Switch[Switch]vlan batch 100 200#配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk,并加入VLAN100和VLAN200。
[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1]port link—type trunk [Switch—GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200[Switch-GigabitEthernet1/0/1]quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2]port link—type trunk[Switch-GigabitEthernet1/0/2]port trunk allow-pass vlan 100 200 [Switch—GigabitEthernet1/0/2]quit[Switch] interface gigabitethernet 2/0/1[Switch—GigabitEthernet2/0/1]port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow—pass vlan 100 200 [Switch—GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。
01-16 策略路由配置
Quidway Eudemon 300/500/1000配置指南网际互联分册目录目录16 策略路由配置...........................................................................................................................16-116.1 策略路由简介..........................................................................................................................................16-216.2 配置策略路由..........................................................................................................................................16-216.2.1 建立配置任务.................................................................................................................................16-216.2.2 配置策略路由的匹配规则.............................................................................................................16-216.2.3 配置策略路由的动作.....................................................................................................................16-316.2.4 应用策略路由.................................................................................................................................16-316.2.5 配置流量监管特性.........................................................................................................................16-316.2.6 检查配置结果.................................................................................................................................16-416.3 配置策略路由的注意事项......................................................................................................................16-416.4 维护策略路由..........................................................................................................................................16-516.5 策略路由配置示例..................................................................................................................................16-5插图目录Quidway Eudemon 300/500/1000配置指南网际互联分册插图目录图16-1 策略路由配置组网图.........................................................................................................................16-6配置指南网际互联分册表格目录表格目录表16-1 检查策略路由配置结果.....................................................................................................................16-4表16-2 维护策略路由....................................................................................................................................16-5策略路由配置配置指南网际互联分册 1616 策略路由配置关于本章本章描述内容如下表所示。
路由策略典型配置举例与故障排除
路由策略典型配置举例配置引入其它协议的路由信息组网需求本例说明了一种OSPF协议有选择地引入RIP协议路由的情况。
路由器连接了一所大学的校园网和一个地区性网络。
校园网使用RIP作为其内部路由协议,地区性网络使用OSPF路由协议,路由器需要将校园网中的某些路由信息在地区性网络中发布。
为实现这一功能,路由器上的OSPF协议在引入RIP协议路由信息时通过对一个路由策略的引用实现路由过滤的功能。
该路由策略由两个节点组成,实现和的路由信息以不同的路由权值被OSPF协议发布。
组网图图1-1配置OSPF引入RIP协议路由的组网图配置步骤# 定义地址前缀列表。
[Router][Router]# 配置路由策略。
[Router]route-policy r1 permit node 10[Router-route-policy] if-match ip-prefix p1[Router-route-policy] apply cost 120[Router-route-policy] route-policy r1 permit node 20[Router-route-policy] if-match ip-prefix p2[Router-route-policy] apply cost 100[Router-route-policy] quit# 配置OSPF协议[Router]ospf[Router-ospf-1] area 0[Router -ospf-1-area-0.0.0.0][Router -ospf-1-area-0.0.0.0] quit[Router-ospf-1] import-route rip route-policy r1[Router-ospf-1] quit[Router]interface ethernet 0/0/0[Router-Ethernet0/0/0]配置RIP过滤发布的路由信息组网需求本例说明了RIP协议有选择地发布路由信息的情况。
神州数码策略路由(PBR)配置
VRF ID: 0
S
192.168.0.0/24
C
192.168.1.0/24
C
192.168.2.0/24
第五步:测试
[1,0] via 192.168.1.1
!返回的数据包的路由
is directly connected, Serial1/0
is directly connected, FastEthernet0/0
Router-A#no debug all
七、 注意事项和排错
1. 注意是源地址匹配的路由 2. 绑定在源数据包的接口上
八、 配置序列
Router-A#sh run Building configuration...
Current configuration: ! !version 1.3.2E service timestamps log date service timestamps debug date no service password-encryption ! hostname Router-A ! ! ! ! ! ! ! interface FastEthernet0/0
Hale Waihona Puke 六、 实验步骤第一步:参照实验三,配置所有接口地址和 PC 地址,并测试连通性 第二步:配置路由器 A
Router-A_config#ip access-list standard net1
!定义 ACL
Router-A_config_std_nacl#permit 192.168.0.10 255.255.255.255 !设置需要进行策略路由的源地址
实验三十九、策略路由(PBR)配置
一、 实验目的
1. 掌握策略路由的配置 2. 理解策略路由的原理
(战略管理)路由策略配置
(战略管理)路由策略配置插图目录Error! Unknown document property name.Error! Unknown document property name.目录10 路由策略配置 10-110.1 简介 10-210.1.1 路由策略 10-210.1.2 过滤器 10-310.1.3 路由策略的应用 10-410.1.4FRR 原理 10-410.1.5 路由表 10-510.2配置地址前缀列表 10-510.2.1建立配置任务 10-510.2.2配置 IPv4 地址前缀列表 10-610.2.3配置 IPv6 地址前缀列表 10-710.2.4检查配置结果 10-710.3配置 Route-Policy10-810.3.1建立配置任务 10-810.3.2创建 Route-Policy10-910.3.3配置 If-match 子句 10-910.3.4配置 Apply 子句 10-1010.3.5检查配置结果 10-1110.4应用路由过滤器 10-1110.4.1建立配置任务 10-1110.4.2对接收的路由进行过滤 10-1210.4.3对发布的路由进行过滤 10-1310.4.4引入外部路由时应用策略 10-1310.4.5检查配置结果 10-1310.5控制路由策略生效时间 10-1410.5.1建立配置任务 10-1410.5.2配置路由策略应用延迟时间 10-1510.5.3检查配置结果 10-1510.6配置公网 IPFRR10-1510.6.1建立配置任务 10-1510.6.2配置 Route-Policy10-1610.6.3使能公网 IPFRR 功能 10-1710.6.4检查配置结果 10-1710.7 维护 10-1710.8 配置举例 10-18ii Error! Unknown documentproperty name.文档版本Error! Unknowndocument property name.(Error! Unknown documentproperty name.)10.8.1对接收和发布的路由进行过滤 10-18 10.8.2在路由引入时应用路由策略 10-23 10.8.3配置公网 IPFRR 功能 10-28插图目录图 10-1 对接收和发布的路由过滤组网图 10-18图 10-2 在路由引入时应用路由策略组网图 10-23图 10-3 配置公网 IPFRR 功能 10-28表格目录表 10-1 路由策略与策略路由的区别 10-210路由策略配置关于本章本章描述内容如下表所示。
简易策略路由配置
策略路由配置命令route map和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中.策略路由(policy route)实际上是复杂的静态路由,静态路由是基于数据包的目标地址并转发到指定的下一跳路由器,策略路由还利用和扩展IP ACL链接,这样就可以提供更多功能的过滤和分类route map的一些命令:一路由重发布相关match命令可以和路由的再发布结合使用:1.match interface {type number} […type number]:匹配指定的下一跳路由器的接口的路由2.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的目标IP地址的路由3.match ip next-hop {ACL number|name} […ACL number|name]:匹配ACL所指定的下一跳路由器地址的路由4.match ip route-source {ACL number|name} […ACL number|name]:匹配ACL所指定的路由器所宣告的路由5.match metric {metric-value}:匹配指定metric大小的路由6.match route-type {internal|external[type-1|type-2]|level-1|level-2}:匹配指定的OSPF,EIGRP或IS-IS的路由类型的路由7.match tag {tag-value} […tag-value]:匹配带有标签(tag)的路由set命令也可以和路由的再发布一起使用:1.set level {level-1|level-2|level-1-2|stub-area|backbone}:设置IS-IS的Level,或OSPF的区域,匹配成功的路由将被再发布到该区域2.set metric {metric-value|bandwidth delay RELY load MTU}:为匹配成功的路由设置metric大小3.set metric-type {internal|external|type-1|type-2}:为匹配成功的路由设置metric的类型,该路由将被再发布到OSPF或IS-IS 14.set next-hop {next-hop}:为匹配成功的路由指定下一跳地址5.set tag {tag-value}:为匹配成功的路由设置标签二策略路由相关match命令还可以和策略路由一起使用:1.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的数据包的特征的路由2.match length {min} {max}:匹配层3的数据包的长度set命令也可以和策略路由一起使用:1.set default interface {type number} […type number]:当不存在指向目标网络的显式路由(explicit route)的时候,为匹配成功的数据包设置出口接口2.set interface {type number} […type number]:当存在指向目标网络的显式路由的时候,为匹配成功的数据包设置出口接口3.set ip default next-hop {ip-address} […ip-address]:当不存在指向目标网络的显式路由的时候,为匹配成功的数据包设置下一跳路由器地址4.set ip precedence {precedence}:为匹配成功的IP数据包设置服务类型(Type of Service,ToS)的优先级5.set ip tos {tos}:为匹配成功的数据包设置服务类型的字段的TOS位Configuring Route Mapsroute map是通过名字来标识的,每个route map都包含许可或拒绝操作以及一个序列号,序列号在没有给出的情况下默认是10,并且route map允许有多个陈述,如下:Linus(config)#route-map Hagar 20Linus(config-route-map)#match ip address 111Linus(config-route-map)#set metric 50Linus(config-route-map)#route-map Hagar 15Linus(config-route-map)#match ip address 112Linus(config-route-map)#set metric 80尽管先输入的是20,后输入的是15,IOS将把15放在20之前.还可以允许删除个别陈述,如下: Linus(config)#no route-map Hagar 15 在删除的时候要特别小心,假如你输入了no route-map Hegar而没有指定序列号,那么整个route map将被删除.并且如果在添加match和set语句的时候没有指定序列号的话,那么它们仅仅会修改陈述10.在匹配的时候,从上到下,如果匹配成功,将不再和后面的陈述进行匹配,指定操作将被执行关于拒绝操作,是依赖于route map是使用再路由的再发布中还是策略路由中,如果是在策略路由中匹配失败(拒绝),那么数据包将按正常方式转发;如果是用于路由再发布,并且匹配失败(拒绝),那么路由将不会被再发布如果数据包没有找到任何匹配,和ACL一样,route map末尾也有个默认的隐含拒绝所有的操作,如果是在策略路由中匹配失败(拒绝),那么数据包将按正常方式转发;如果是用于路由再发布,并且匹配失败(拒绝),那么路由将不会被再发布如果route map的陈述中没有match语句,那么默认的操作是匹配所有的数据包和路由;每个route map的陈述可能有多个match和set语句,如下:! route-map Garfield permit 10match ip route-source 15match interface Serial0set metric-type type-1set next-hop 10.1.2.3 !在这里,为了执行set语句,每个match语句中都必须进行匹配 .基于策略的路由基于策略的路由技术概述:基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力,传统上,路由器用从路由协议派生出来的路由表,根据目的地址进行报文的转发。
策略路由(PBR)配置
策略路由(PBR)配置原理:PBR依据策略进行路由,而不是路由协议,目前支持的策略有:IP报文大小,源IP 地址,本例使用源IP地址过程:路由器R1只配置策略不配置路由,R2配置路由目的:PC1可以PING通PC2,PC2也可以PING通PC1,但PC2却PING不通R1的S1/1端口和F0/0端口,路由器R1没有192.168.2.0路由配置好各接口IP定义ACLR1(config)#ip access-list standard net1设置需要进行策略路由的源地址R1(config-std-nacl)#permit 192.168.0.10 255.255.255.255定义route-map,名为pbrR1(config)#route-map pbr permit 10设定源地址R1(config-route-map)#match ip address net1设置下一跳地址R1(config-route-map)#set ip next-hop 192.168.1.2进入源地址的路由器接口R1(config)#interface fastEthernet 0/0绑定route-mapR1(config-if)#ip policy route-map pbr路由器R2的配置添加静态路由R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1测试:查看路由R1#show ip routeC 192.168.0.0/24 is directly connected, FastEthernet0/0 C 192.168.1.0/24 is directly connected, Serial1/1没有到192.168.2.0的路由R2#show ip routeS 192.168.0.0/24 [1/0] via 192.168.1.1C 192.168.1.0/24 is directly connected, Serial1/0C 192.168.2.0/24 is directly connected, FastEthernet0/0检查所应用的策略路由R1#show ip policyInterface Route mapFa0/0 pbrR1#show route-maproute-map pbr, permit, sequence 10Match clauses:ip address (access-lists): net1Set clauses:ip next-hop 192.168.1.2Policy routing matches: 35 packets, 4180 bytes。
启明星辰安全网关USG-策略路由
5.策略路由文档修改记录目录5. 策略路由 (1)文档修改记录 (1)目录 (2)5.1 策略路由配置范例: (3)5.1.1 客户需求: (3)5.1.2 环境拓扑: (3)5.1.3 配置思路: (3)5.1.4 网关设备配置步骤: (4)本节介绍网关设备策略路由的应用范例。
5.1策略路由配置范例:5.1.1客户需求:客户在出口部署网关设备,配置了联通和电信两个ISP接入点访问Internet网络,并且要求内网用户PC需要通过联通(ISP1)上网,内部服务器通过电信(ISP2)提供服务。
5.1.2环境拓扑:10.1.1.14/24 5.1.3配置思路:1.网关设备接口IP地址配置如下:⏹eth1接口IP地址:200.1.1.2/24。
⏹eth2接口IP地址:201.1.1.2/24。
⏹eth3接口IP地址:10.1.1.10/242.配置内部服务器配置IP地址映射,将内部服务器地址(名称vip的IP地址10.1.1.14/24)转换为外部接口IP地址(201.1.1.2/24),保护内部服务器。
3.根据联通和电信提供的接入IP地址,配置网关设备默认路由,保证出口设备能够接入Internet。
4.根据需求分别针内部主机和服务器配置策略路由规则,并引用相依策略路由表。
5.根据用户具体环境要求,配置网关设备安全策略,保证用户使用的IP地址和访问服务允许通过。
注:网关设备路由匹配顺序:策略路由、ISP路由、直连路由、静态路由、动态路由和默认路由。
5.1.4网关设备配置步骤:1.配置网关设备接口,选择网络管理>网络接口>物理接口,配置网关设备物理接口eth1、eth2和eth3,并启用。
2.配置IP映射,保证外网用户可以访问内部服务器。
选择网关设备>策略>NAT策略>IP映射,IP映射NA T策略。
注:内部地址名称vip为手动建立的IP地址(10.1.1.14/24)。
3.配置默认路由。
策略路由格式
策略路由(Policy-Based Routing, PBR)允许网络管理员根据数据包的特定属性(如源地址、目的地址、端口号或协议类型)来控制数据包的转发路径,而不是仅仅依赖传统的基于目的IP地址的路由表。
策略路由的配置格式在不同的路由器和网络设备上可能有所不同,但一般遵循以下基本格式:1. 定义分类器(Classifier):分类器用于匹配特定的数据流。
它可以基于多种参数,如源地址、目的地址、端口号、协议类型等来识别数据包。
classifier <match-criteria>-<match-criteria>` 是匹配数据流的规则,可以包括多种条件组合。
2. 定义动作(Action):动作定义了当数据包匹配分类器规则时应该执行的操作,通常是指定一条新的下一跳路由或更改数据包的某些属性。
action <next-hop|route-map|policy>-<next-hop>` 是指定的下一跳地址。
-<route-map>` 是指向另一个路由映射表的引用,用于进一步处理数据包。
-<policy>` 是指向另一个策略路由的引用。
3. 应用策略:将定义好的策略应用到特定的接口上。
interface <interface-type> <interface-number>ip policy <classifier-name>-<interface-type>` 和<interface-number>` 指定了要应用策略的接口。
-<classifier-name>` 是前面定义的分类器的名称。
例如,一个策略路由的配置可能如下所示:classifier type ip match source-address A mask Baction log prefix "PBR-Match"action next-hop Cip policy classifier PBR-Matchinterface GigabitEthernet0/0ip policy PBR-Match这个例子中,所有源地址为A且子网掩码为B的数据包都会被标记并通过下一跳C转发。
策略路由配示例
基于源地址的策略路由配置示例组网需求如图14-1所示,定义策略mypolicy,控制所有从GigabitEthernet0/2接口接收的TCP报文使用接口GigabitEthernet0/0发送,其他报文仍然按照查找路由表的方式进行转发:●5号节点用于匹配ACL 3101规则的报文将被发往接口GigabitEthernet0/0。
●10号节点用于匹配ACL 3102规则的任何报文不做策略路由处理。
来自GigabitEthernet0/2的报文将依次试图匹配5、10号节点的if-match子句。
如果匹配了permit语句的节点,执行相应的apply子句;如果匹配了deny语句的节点,拒绝通过该节点的过滤,并且不会进行下一个节点的测试,退出策略路由处理。
图14-1 基于源地址的策略路由配置组网图配置步骤配置基于源地址的策略路由,需要进行如下操作。
步骤1配置ACL规则# 创建ACL 3101,并定义ACL规则。
<USG3000> system-view[USG3000] acl number 3101[USG3000-acl-adv-3101] rule permit tcp[USG3000-acl-adv-3101] quit# 创建ACL 3102,并定义ACL规则。
[USG3000] acl number 3102[USG3000-acl-adv-3102] rule permit ip[USG3000-acl-adv-3102] quit步骤2配置策略路由的if-match和apply# 定义5号节点。
[USG3000] route-policy mypolicy permit node 5# 使匹配ACL 3101的任何TCP报文被发往接口GigabitEthernet 0/0。
[USG3000-route-policy-mypolicy-5] if-match acl 3101[USG3000-route-policy-mypolicy-5] apply output-interfaceGigabitEthernet 0/0[USG3000-route-policy-mypolicy-5] quit# 定义10号节点。
华为策略路由配置实例
华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示,公司用户通过Switch双归属到外部网络设备。
其中,一条是低速链路,网关为10.1.20.1/24;另外一条是高速链路,网关为10.1.30.1/24。
公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。
2、配置思路1、创建VLAN并配置各接口,实现公司和外部网络设备互连。
2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。
3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。
4、配置流行为,使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。
5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。
3、操作步骤3.1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。
<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk,并加入VLAN100和VLAN200。
[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type trunk[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type trunk[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 2/0/1[Switch-GigabitEthernet2/0/1] port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。
Juniper 防火墙策略路由配置
Juniper 防火墙策略路由配置一、网络拓扑图要求:1、默认路由走电信;2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址,走电信,访问互联网走网通;二、建立extended acl1、选择network---routing---pbr---extended acl list,点击new 添加:Extended acl id:acl 编号Sequence No.:条目编号源地址:192.168.1.10/32 目的地址:1.0.0.0/8 Protocol:选择为any端口号选择为:1-65535 点击ok:2、点击add seg No.再建立一条同样的acl,但protocol 为icmp,否则在trace route 的时候仍然后走默认路由:3、建立目的地址为0.0.0.0 的acl:切记添加一条协议为icmp 的acl;命令行:set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocolicmp entry 20三、配置match group:1、network---routing---pbr---match group,点击add:Match group 的作用就是关联acl按照同样的方法将两个acl 进行关联:命令行:set match-group name group_10set match-group group_10 ext-acl 10 match-entry 10set match-group name group_20set match-group group_20 ext-acl 20 match-entry 10四、配置action group:1、network---routing---pbr---action group,点击add:在这里指定下一跳接口和地址。
策略路由典型配置案例
apply ip-address next-hop 30.1.1.1/指定下一跳地址/
#
ip route-static0.0.0.0 0.0.0.0 20.1.1.1 preference 60
ip route-static0.0.0.0 0.0.0.0 30.1.1.1 preference 60
#
user-interface con 0
user-interface vty 0 4
#
return
#
interface Serial1/0
link-protocol ppp
ip address20.1.1.2 255.255.255.252
#
interface Serial1/1
link-protocol ppp
ip address 30.1.1.2 255.255.255.252
#
interface NULL0
#
sysname RouterA
#
radius scheme system
#
domain system
#
acl number 2001/定义acl 2001/
rule 0 permit source 40.1.1.00.0.0.127/允许40.1.1.0/25源地址网段/
acl number 2002/定义acl 2002/
rule 0 permit source 41.1.1.1280.0.0.127/允许40.1.1.128/25源地址网段t0/0
ip address 40.1.1.1 255.255.255.0
ip policypolicy-based-routeaaa/在内网接口应用aaa策略/
策略路由配置说明
[sys S6506R-acl-3051] quit
[sys S6506R] vlan 2
[sys S6506R-vlan-2] traffic-redirect outbound ip-group 3051 next-hop 70.70.70.2 slot 7
1.1.2 acl 业务下发(策略路由)
vlan 2 (在系统视图下进入vlan 2 视图)
traffic-redirect outbound ip-group 3051 next-hop 70.70.70.2 slot 7
1.2 在NE20上配置回程地址
traffic-redirect outbound ip-group 3051 next-hop 70.70.70.2 slot 7
此时,172.32.199/200段的地址就由路由策略板就有指定的端口到达BAS2服务器进行认证即可访问外网。
3. 需要在路由器上指定回程地址:
.....
此时,需要增加的网段可以正常上网了。
一下是业务配置案例(本案例是在BAS2上认证的客户):
1. 业务配置要求
172.32.199.0 255.255.255.0 需要在BAS2上认证,并能上网;
acl 的配置。
1.1 在交换机R6505R上的配置:
3.1 如果回程(认证是往BAS1的时候)是往BAS1的应该是
ip route-static 172.18.199.0 255.255.255.0 172.28.1.6
ip route-static 172.18.200.0 255.255.255.0 172.28.1.6
配置策略路由
R4:R4#vlan databaseR4(vlan)#vlan 1 name vlan1A default VLAN may not have its name changed.R4(vlan)#vlan 2 name vlan2VLAN 2 added:Name: vlan2R4(vlan)#exitAPPL Y completed.Exiting....R4#conf tEnter configuration commands, one per line. End with CNTL/Z. R4(config)#int range f 0/1 - 9R4(config-if-range)#switch access vlan 1R4(config-if-range)#exitR4(config)#int range f 0/10 - 15R4(config-if-range)#switch access vlan 2R4(config-if-range)#exitR4(config)#ip routingR4(config)#int vlan 1R4(config-if)#ip add 192.168.1.1 255.255.255.0R4(config-if)#no shR4(config-if)#exitR4(config)#int vlan 2R4(config-if)#ip add 192.168.2.1 255.255.255.0R4(config-if)#no shR4(config-if)#ip add 10.1.1.2 255.255.255.252R4(config)#int f0/0R4(config-if)#no swR4(config-if)#ip add 10.1.1.2 255.255.255.252R4(config-if)#no shR4(config-if)#router ripR4(config-router)#network 192.168.1.0R4(config-router)#network 192.168.2.0R4(config-router)#network 10.1.1.0R4(config-router)#exitR4(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1R3:R3#conf tEnter configuration commands, one per line. End with CNTL/Z. R3(config)#int f0/0R3(config-if)#ip add 218.2.4.1 255.255.255.252R3(config-if)#no shR3(config-if)#int f0/1R3(config-if)#ip add 12.100.100.1 255.255.255.252R3(config-if)#no shR3(config-if)#int e1/0R3(config-if)#ip add 10.1.1.1 255.255.255.252R3(config-if)#no shR3(config-if)#exitR3(config)#router ripR3(config-router)#network 10.1.1.0R3(config-router)#exitR1:R1#conf tEnter configuration commands, one per line. End with CNTL/Z. R1(config)#int f0/1R1(config-if)#ip add 218.2.4.2 255.255.255.252R1(config-if)#no shR1(config-if)#int f0/0R1(config-if)#ip add 8.8.8.1 255.255.255.252R1(config-if)#no shR1(config-if)#exitR1(config)#ip route 192.168.0.0 255.255.0.0 218.2.4.1R2:R2#conf tEnter configuration commands, one per line. End with CNTL/Z. R2(config)#int f0/0R2(config-if)#ip add 8.8.8.2 255.255.255.0R2(config-if)#no shR2(config-if)#ip add 12.100.100.2 255.255.255.252R2(config-if)#no shR2(config-if)#exitR2(config)#ip route 192.168.0.0 255.255.0.0 12.100.100.1 R3:R3(config)#access-list 10 permit 192.168.1.0 0.0.0.255R3(config)#access-list 20 permit 192.168.2.0 0.0.0.255R3#sh access-listStandard IP access list 1010 permit 192.168.1.0, wildcard bits 0.0.0.255 Standard IP access list 2010 permit 192.168.2.0, wildcard bits 0.0.0.255R3#conf tR3(config)#route-map access permit 1R3(config-route-map)#match ip add 10R3(config-route-map)#set default int f 0/0R3(config-route-map)#exitR3(config)#route-map access permit 2R3(config-route-map)#match ip add 20R3(config-route-map)#set default int f0/1R3(config-route-map)#exitR3(config)#route-map permit 3R3(config-route-map)#set default int nall0R3(config-route-map)#exitR3(config-route-map)#exitR3(config)#int e1/0R3(config-if)#ip policy route-map accessR3(config-if)#exitR3#sh route-map all。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan-trust
set vlans vlan-trust vlan-id 3
set vlans vlan-trust l3-interface vlan.0
set security zones security-zone trust host-inbound-traffic system-services all
set routing-options rib-groups 0M-group import-rib to-100M.inet.0
set firewall family inet filter acl-to-100M term 1 from source-address 192.168.1.2/32
set firewall family inet filter acl-to-100M term 2 then accept
deactive firewall family inet filter acl-to-100M term 2 then accept
set routing-instances to-100M instance-type forwarding
set routing-options interface-routes rib-group inet to-100M-group
set routing-options static route 0.0.0.0/0 next-hop 192.168.201.251
set routing-options rib-groups to-100M-group import-rib inet.0
set interfaces ge-0/0/2 unit 0 family inet address 1.1.1.2/24
set interfaces vlan unit 0 family inet filter input acl-to-100M
set interfaces vlan unit 0 family inet address 192.168.1.1/24 //配置接口
set security zones security-zone untrust host-inbound-traffic protocols all
set security zones security-zone untrust interfaces ge-0/0/0.0
set security zones security-zone untrust interfaces ge-0/0/2.0
set routing-instances to-100M routing-options static route 0.0.0.0/0 next-hop 1.1.1.1
set routing-instances to-100M routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.201.251 preference 100
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces vlan.0
set security zones security-zone untrust host-inbound-traffic system-services all
set firewall family inet filter acl-to-100M term 1 from destination-address 0.0.0.0/0
set firewall family inet filter acl-to-100M term 1 then routing-instance to-100M