华为交换机策略路由配置--产品实现

11策略路由配置关于本章通过配置策略路由，可以用于提高网络的安全性能和负载分担。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

11.2 配置举例配置示例中包括组网需求和配置思路等。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

背景信息通过配置重定向，设备将符合流分类规则的报文重定向到指定的下一跳地址。

包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。

说明对于S2700系列交换机，只有S2700-52P-EI和S2700-52P-PWR-EI交换机支持策略路由。

前置任务在配置策略路由前，需要完成以下任务：●配置相关接口的IP地址和路由协议，保证路由互通。

●如果使用ACL作为策略路由的流分类规则，配置相应的ACL。

操作步骤1.配置流分类a.执行命令system-view，进入系统视图。

b.执行命令traffic classifier classifier-name [ operator { and | or } ]，创建一个流分类并进入流分类视图，或进入已存在的流分类视图。

and表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：▪当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；▪当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。

or表示流分类各规则之间是“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。

缺省情况下，流分类中各规则之间的关系为“逻辑与”。

c.请根据实际情况定义流分类中的匹配规则。

d.执行命令quit，退出流分类视图。

2.配置流行为a.执行命令traffic behavior behavior-name，创建一个流行为，进入流行为视图。

b.请根据实际需要进行如下配置：▪执行命令redirect ip-nexthop ip-address &<1-4> [ forced ]，将符合流分类的报文重定向到下一跳。

华为路由器和交换机实例配置华为路由器和交换机实例配置华为路由器和交换机实例配置命令(文章转载有错误的地请指点,以便改正)一. 端口：路由器——ethernet（以太口）、Serial（串口）、loopback （虚拟端口）交换机——ethernet、vlan、loopback注意：交换机默认其24个端口全在vlan 1里面，交换机在给vlan 配了ip之后就具有路由器的功能了。

另一个需要注意的是，所用的端口是否被shutdown了，如果被shutdown了，需要进入相应的端口执行undo shutdown。

二. 配置ip除了交换机的以太口不可以配置ip外，其他端口都可以，配置方法相同。

[Quidway] interface *（所要配置的端口，如vlan 1）[Quidway-*]ip add *.*.*.*（ip）*.*.*.*（掩码）/*（掩码位数，一般只在路由器上适用）三. NAT 上网（此命令是在VRP版本为3.4的路由器上测试的，在其他版本上是否适用，未经考察）组网图：R1E0/2E0/3E0/1E1:192.192.169.*/24E0:192.168.2.1/24Ip:192.168.2.10/24网关:192.168.2.1Ip:192.168.2.11/24网关:192.168.2.1Ip:192.168.2.12/24网关:192.168.2.1Ip:192.168.2.13/24网关:192.168.2.1PCAPCBPCCE0/4To internetPCDS1E0/5NAPT工作过程：P191. 用地址池的方法上网：首先配置路由器的接口的ip地址，然后配置地址转换，把所有内网地址转换成所配置的地址池中的地址，参考命令如下：[R1]acl number 2000 //在vrp为3.4的路由器上，2000-2999表示basic acl [R1-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255（地址掩码的反码）[R1-acl-basic-2000]rule deny source any#这个访问控制列表定义了IP源地址为192.168.2.0/24的外出数据包[R1]nat address-group 1（地址池的组号）192.192.169.10 192.192.169.15#这条命令定义了一个包含6个公网地址（10～15）的地址池，地址池代号为1[R1] interface e 1[R1-Ethernet1] nat outbound 2000（acl的编号）address-group 1 （地址池的代号）[R1]ip route-static 0.0.0.0 0.0.0.0 192.192.169.1 （千万不要忘记这一步，！）#上面设置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。

华为交换机静态路由配置在SW1上0接口配IP192.168.1.254；在1接口配置IP地址192.168.2.1；在SW2上0接口配IP192.168.3.254；在1接口配置IP地址192.168.2.2；PC1;PC2配置IP地址，子网掩码，网关。

SW1上配置静态路由去往192.168.3.0网段，下一跳192.168.2.2SW2上也做相同操作华为交换机配置路由分为明细路由和默认路由，具体配置方法如下：明细路由（又叫静态路由）：system-veiw（进入系统视图）ip route-static 192.168.2.0 255.255.255.0 192.168.1.1（分别代表：目标网段IP 地址，目标子网掩码，下一路由器接口ip地址）默认路由：system-veiw（进入系统视图）ip route-static 0.0.0.0 0.0.0.0 192.168.1.1（分别代表：所有目标网段IP地址，所有目标子网掩码，下一路由器接口ip地址）静态路由是指由用户或网络管理员手工配置的路由信息。

当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。

静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。

当然，网管员也可以通过对路由器进行设置使之成为共享的。

静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。

默认路由是一种特殊的静态路由，指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。

如果没有默认路由，那么目的地址在路由表中没有匹配表项的包将被丢弃·默认路由在某些时候非常有效，当存在末梢网络时，默认路由会大大简化路由器的配置，减轻管理员的工作负担，提高网络性能。

释放ipconfig /release刷新ipconfig /renew。

华为交换机静态路由配置华为交换机路由路由协议**（英语：Routing protocol）是⼀种指定转送⽅式的⽹上协议。

⽹络的主要节点设备是，路由器通过来转发接收到的数据。

转发策略可以是⼈⼯指定的（通过、等⽅法）。

在具有较⼩规模的⽹络中，⼈⼯指定转发策略没有任何问题。

但是在具有较⼤的⽹络中（如跨国企业⽹络、⽹络），如果通过⼈⼯指定转发策略，将会给⽹络管理员带来巨⼤的⼯作量，并且在管理、维护路由表上也变得⼗分困难。

为了解决这个问题，应运⽽⽣。

动态路由协议可以让路由器⾃动学习到其他路由器的⽹络，并且⽹络拓扑发⽣改变后⾃动更新路由表。

⽹络管理员只需要配置动态路由协议即可，相⽐⼈⼯指定转发策略，⼯作量⼤⼤减少。

路由协议主要运⾏于上，路由协议是⽤来确定到达路径的，它包括，（私有协议），（Cisco私有协议），，，。

起到⼀个地图导航，负责找路的作⽤。

它⼯作在。

常见路由协议常见的路由协议有、（Cisco私有协议）、（Cisco私有协议）、、、等。

RIP、IGRP、EIGRP、OSPF、IS-IS是内部⽹关协议（），适⽤于单个的统⼀路由协议的运⾏，⼀般由⼀个ISP运营的⽹络位于⼀个AS（）内，有统⼀的AS number（⾃治系统号）。

BGP是间的路由协议，是⼀种，多⽤于不同ISP之间交换路由信息，以及⼤型企业、政府等具有较⼤规模的私有⽹络。

静态路由静态路由（英语：Static routing），⼀种的⽅式，路由项（routing entry）由⼿动配置，⽽⾮动态决定。

与不同，静态路由是固定的，不会改变，即使⽹络状况已经改变或是重新被组态。

⼀般来说，静态路由是由逐项加⼊。

优点：⽤静态路由的另⼀个好处是保密性⾼。

因为需要之间频繁地交换各⾃的，⽽对路由表的分析可以揭⽰⽹络的和等信息。

因此，⽹络出于安全⽅⾯的考虑也可以采⽤静态路由。

不占⽤⽹络带宽，因为静态路由不会产⽣更新流量。

缺点：⼤型和复杂的⽹络环境通常不宜采⽤静态路由。

10路由策略配置关于本章路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。

10.1 路由策略概述随着网络的日益扩大，路由表激增导致网络负担越来越重，网络安全问题也越来越多。

为了解决上述问题，可以在路由协议发布、接收和引入路由时配置路由策略，过滤路由和改变路由属性。

10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。

10.3 配置过滤器路由策略过滤器包括访问控制列表、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。

本章介绍其中的地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器的配置。

其中访问控制列表的配置请参见《S2700, S3700 系列以太网交换机配置指南-安全》中的“ACL配置”。

10.4 配置路由策略路由策略的每个节点由一组if-match子句和apply子句组成。

10.5 配置路由策略生效时间为了保障网络的稳定性，修改路由策略时需要控制路由策略的生效时间。

10.6 维护路由策略路由策略的维护包括清除地址前缀列表统计数据。

10.7 配置举例路由策略配置举例包括组网需求、组网图、配置思路和配置步骤。

10.1 路由策略概述随着网络的日益扩大，路由表激增导致网络负担越来越重，网络安全问题也越来越多。

为了解决上述问题，可以在路由协议发布、接收和引入路由时配置路由策略，过滤路由和改变路由属性。

路由策略与策略路由的区别策略路由PBR（Policy-Based Routing）与单纯依照IP报文的目的地址查找转发表进行转发不同，是一种依据制定的策略而进行路由选择的机制，可应用于安全、负载分担等目的。

路由策略与策略路由是两种不同的机制，主要区别如表10-1。

表10-1路由策略与策略路由的区别10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。

华为交换机策略路由配置--产品实现华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口，匹配成功后将从指定接口发出去。

接口不是能以太网等广播类型接口（改为P2P即可），因为多个下一跳可能导致报文转发不成功。

3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳，仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)（关键）flash Set packet precedence to flash(3)（闪速）flash-override Set packet precedence to flash override(4)（疾速）immediate Set packet precedence to immediate(2)（快速）internet Set packet precedence to Internet control(6)（网间）network Set packet precedence to network control(7)（网内）priority Set packet precedence to priority(1)（优先）routine Set packet precedence to routine(0)（普通）3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由（可以创建多条）2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to match dlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。

华为AR1200路由器策略路由配置华为AR1200 路由器策略路由配置[Huawei]display current-configuration[V200R007C00SPC900]#drop illegal-mac alarm#l2tp enable#ipv6#ip load-balance hash src-ip#dns resolvedns server 219.141.136.10dns server 219.141.140.10dns proxy enable#vlan batch 2#dhcp enable#pki realm defaultenrollment self-signed#ssl policy default_policy type serverpki-realm default#aclnumber 2999rule 5 permit source 172.16.10.0 0.0.1.255#acl number 3000 1;创建⽤于策略路由的ACLrule 5 permit ip source 192.168.1.0 0.0.0.255acl number 3001 ⽤于策略路由及默认路由两个⽹段之间互通的ACL rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255#traffic classifier 2 operator or 2;创建traffic classifier 匹配acl两个⽹段互通if-match acl 3001traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由if-match acl 3000#traffic behavior 2 3创建流⾏为⽹段互通不做任何⾏为traffic behavior 1流⾏为策略路由重定向吓⼀跳redirect ip-nexthop 172.16.201.145#traffic policy 1 4：创建流策略绑定traffic classifier 与流⾏为classifier 2 behavior 2默认⽣效优先级按顺序来classifier 1 behavior 1注意：策略路由与⽹段互通必须是⽹段互通在前否则⽹段互通策略不⽣效#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password irreversible-cipher %^%#>GaX7&}u@XhKK_N|+BPYHB|'&(|*K+fdf)C8]CsCZ35JIRYkI5{ qq1J+r~*U%^%#local-user admin privilege level 15local-user admin service-type telnet terminal ssh httplocal-user admin1 password irreversible-cipher %^%#44VeXSBB2MGdR2*R)Y'(TQ15+Q_5*Lx3gD(C#<6$.nB[AHyO o&WU}7>!W%^0%^%#local-user admin1 privilege level 15local-user admin1 service-type telnet terminal ssh ftp x25-pad http#firewall zone Localpriority 16#interface Vlanif1ip address 172.16.10.1 255.255.254.0dhcp select interfacedhcp server excluded-ip-address 172.16.10.2dhcp server dns-list 219.141.136.10 219.141.140.10#interface Vlanif2ip address 192.168.1.1 255.255.255.0traffic-policy 1 inbound 5：接⼝inbound ⽅向应⽤流策略dhcp select interface dhcp server dns-list 219.141.136.10 8.8.8.8#interface GigabitEthernet0/0/0#interface GigabitEthernet0/0/1port link-type accessport default vlan 2#interface GigabitEthernet0/0/2 port link-type accessport default vlan 2#interface GigabitEthernet0/0/3 port link-type accessport default vlan 2#interface GigabitEthernet0/0/4 port link-type accessport default vlan 2#interface GigabitEthernet0/0/5 port link-type accessport default vlan 2#interface GigabitEthernet0/0/6 port link-type access#interface GigabitEthernet0/0/7port link-type access#interface GigabitEthernet0/0/8tcp adjust-mss 1200ip address 222.249.226.138 255.255.255.248 nat outbound 2999interface GigabitEthernet0/0/9tcp adjust-mss 1200ip address 172.16.201.146 255.255.255.252 nat outbound 3000 #interface GigabitEthernet0/0/10description VirtualPort#interface Cellular0/0/0#interface Cellular0/0/1#interface NULL0#snmp-agent local-engineid 800007DB03F02FA78A2C38 # ssh user admin authentication-type allssh client first-time enablestelnet server enabletelnet server enable#http secure-server ssl-policy default_policyhttp server enablehttp secure-server enable#ip route-static 0.0.0.0 0.0.0.0 222.249.226.137#user-interface con 0authentication-mode aaauser-interface vty 0authentication-mode aaauser privilege level 15protocol inbound sshuser-interface vty 1 4authentication-mode aaaprotocol inbound sshwlan ac # ops# autostart # return。

华为CE交换机配置策略路由重定向到防火墙适用产品和版本CE12800/CE6800/CE5800系列产品V100R001C00或更高版本，CE12800E系列产品V200R002C50或更高版本，CE7800系列产品V100R003C00或者更高版本，CE8800系列产品V100R006C00或者更高版本。

组网需求如图2-47所示，某公司由于业务需要，业务区的服务器有访问Internet的需求。

业务区的数据服务器和视频服务器通过接入层交换机SwitchB和核心层交换机SwitchA接入出口网关Router与Internet 进行通信。

为了保证服务器到Internet和Internet到服务器的流量的安全性，在核心交换机SwitchA旁挂一个防火墙，将所有流经SwitchA的流量通过策略路由重定向到防火墙，防火墙对流量进行过滤从而保证公司内外网络的安全性。

图2-47 配置策略路由的组网图表2-7列出了图2-47上设备的基本网络规划情况。

需求分析•出于安全性考虑，在SwitchA上旁挂一台核心防火墙USG，对流量进行安全过滤。

•对服务器到Internet的流量和Internet到服务器的流量分别进行安全过滤。

操作步骤1.SwitchB的配置，以CE5800系列为例system-view[~HUAWEI] sysname SwitchB //修改设备名称为SwitchB[~HUAWEI] commit[~SwitchB] vlan batch 100 200 //在SwitchB上创建VLAN100和VLAN200[~SwitchB] commit[~SwitchB] interface 10ge 1/0/1 //进入SwitchB与SwitchA相连接口的视图[~SwitchB-10GE1/0/1] port link-type trunk //配置接口类型为Trunk[~SwitchB-10GE1/0/1] port trunk allow-pass vlan 100 200 //将接口加入VLAN100和VLAN200，使VLAN100、VLAN200的报文都能通过[~SwitchB-10GE1/0/1] quit[~SwitchB] interface GE 1/0/2 //进入SwitchB与Data Server 相连的接口的视图[~SwitchB-GE1/0/2] port default vlan 100 //接口类型缺省为Access，允许VLAN100的报文通过[~SwitchB-GE1/0/2] quit[~SwitchB] interface GE 1/0/3 //进入SwitchB与Video Server 相连的接口的视图[~SwitchB-GE1/0/3] port default vlan 200 //接口类型缺省为Access，允许VLAN200的报文通过[~SwitchB-GE1/0/3] quit[~SwitchB] commitSwitchA的配置，以CE12800系列为例system-view[~HUAWEI] sysname SwitchA //修改设备名称为SwitchA[~HUAWEI] commit[~SwitchA] vlan batch 100 200 300 400 500 //在SwitchA上创建VLAN100、VLAN200、VLAN300、VLAN400和VLAN500 [~SwitchA] commit[~SwitchA] interface 10ge 1/0/1 //进入SwitchA与SwitchB相连接口的视图[~SwitchA-10GE1/0/1] port link-type trunk //配置接口类型为Trunk[~SwitchA-10GE1/0/1] port trunk allow-pass vlan 100 200 //将接口加入VLAN100和VLAN200，使VLAN100、VLAN200的报文都能通过[~SwitchA-10GE1/0/1] quit[~SwitchA] interface 10ge 1/0/2 //进入SwitchA与Router相连的接口的视图[~SwitchA-10GE1/0/2] port default vlan 500 //接口默认为Access类型，将接口加入VLAN500[~SwitchA-10GE1/0/2] quit[~SwitchA] interface 10ge 1/0/3 //进入SwitchA与核心防火墙相连的其中一个接口的视图[~SwitchA-10GE1/0/3] port default vlan 300 //接口默认为Access类型，将接口加入VLAN300[~SwitchA-10GE1/0/3] quit[~SwitchA] interface 10ge 1/0/4 //进入SwitchA与核心防火墙相连的另一个接口的视图[~SwitchA-10GE1/0/4] port default vlan 400 //接口默认为Access类型，将接口加入VLAN400[~SwitchA-10GE1/0/4] quit[~SwitchA] commit[~SwitchA] interface vlanif 100[~SwitchA-Vlanif100] ip address 192.168.1.1 24 //配置VLANIF100的IP地址为192.168.1.1，掩码为24[~SwitchA-Vlanif100] quit[~SwitchA] interface vlanif 200[~SwitchA-Vlanif200] ip address 192.168.2.1 24 //配置VLANIF200的IP地址为192.168.2.1，掩码为24[~SwitchA-Vlanif200] quit[~SwitchA] interface vlanif 300[~SwitchA-Vlanif300] ip address 192.168.3.1 24 //配置VLANIF300的IP地址为192.168.3.1，掩码为24[~SwitchA-Vlanif300] quit[~SwitchA] interface vlanif 400[~SwitchA-Vlanif400] ip address 192.168.4.1 24 //配置VLANIF400的IP地址为192.168.4.1，掩码为24[~SwitchA-Vlanif400] quit[~SwitchA] interface vlanif 500[~SwitchA-Vlanif500] ip address 192.168.10.1 24 //配置VLANIF500的IP地址为192.168.10.1，掩码为24[~SwitchA-Vlanif500] quit[~SwitchA] commit[~SwitchA] ip route-static 0.0.0.0 0.0.0.0 192.168.10.2 //配置缺省路由，使服务器能正常访问Internet[~SwitchA] commit[~SwitchA] acl 3001 //创建ACL3001[~SwitchA-acl4-advance-3001] rule 5 permit ip source 192.168.1.2 24 //配置ACL3001中的规则:源网段为192.168.1.0 [~SwitchA-acl4-advance-3001] rule 10 permit ip source 192.168.2.2 24 //配置ACL3001中的规则:源网段为192.168.2.0 [~SwitchA-acl4-advance-3001] commit[~SwitchA-acl4-advance-3001] quit[~SwitchA] traffic classifier c1 //创建流分类c1[~SwitchA-classifier-c1] if-match acl 3001 //匹配ACL3001的规则，匹配原网段为192.168.1.0或192.168.2.0网段内的所有报文，即所有从服务器到Internet的报文[~SwitchA-classifier-c1] quit[~SwitchA] commit[~SwitchA] traffic behavior b1 //创建流行为b1[~SwitchA-behavior-b1] redirect nexthop 192.168.3.2 //对匹配的报文重定向到192.168.3.2，即重定向到核心防火墙USG [~SwitchA-behavior-b1] quit[~SwitchA] commit[~SwitchA] traffic policy p1 //创建流策略p1[~SwitchA-trafficpolicy-p1] classifier c1 behavior b1 //在流策略p1中绑定流分类c1和流行为b1，即将所有从服务器到Internet的报文重定向到核心防火墙USG[~SwitchA-trafficpolicy-p1] quit[~SwitchA] commit[~SwitchA] interface 10ge 1/0/1 //进入SwitchA与SwitchB相连接口的视图[~SwitchA-10GE1/0/1] traffic-policy p1 inbound //将流策略p1应用在SwitchA与SwitchB相连接口的入方向上，对从服务器到Internet的报文进行安全过滤[~SwitchA-10GE1/0/1] quit[~SwitchA] commit[~SwitchA] acl 3002 //创建ACL3002[~SwitchA-acl4-advance-3002] rule 5 permit ip destination 192.168.1.2 24 //配置ACL3002中的规则:目的网段为192.168.1.0 [~SwitchA-acl4-advance-3002] rule 10 permit ip destination 192.168.2.2 24 //配置ACL3002中的规则:目的网段为192.168.2.0 [~SwitchA-acl4-advance-3002] commit[~SwitchA-acl4-advance-3002] quit[~SwitchA] traffic classifier c2 //创建流分类c2[~SwitchA-classifier-c2] if-match acl 3002 //匹配ACL3002的规则，匹配目的网段为192.168.1.0或192.168.2.0网段内的所有报文，即所有从Internet到服务器的报文[~SwitchA-classifier-c2] quit[~SwitchA] commit[~SwitchA] traffic behavior b2 //创建流行为b2[~SwitchA-behavior-b2] redirect nexthop 192.168.3.2 //对匹配的报文重定向到192.168.3.2，即重定向到核心防火墙USG [~SwitchA-behavior-b2] quit[~SwitchA] commit[~SwitchA] traffic policy p2 //创建流策略p2[~SwitchA-trafficpolicy-p2] classifier c2 behavior b2 //在流策略p1中绑定流分类c2和流行为b2，即将所有从Internet到服务器的报文重定向到核心防火墙USG[~SwitchA-trafficpolicy-p2] quit[~SwitchA] commit[~SwitchA] interface 10ge 1/0/2 //进入SwitchA与Router相连接口的视图[~SwitchA-10GE1/0/2] traffic-policy p1 inbound //将流策略p1应用在SwitchA与Router相连接口的入方向上，对从Internet到服务器的报文进行安全过滤[~SwitchA-10GE1/0/2] quit[~SwitchA] commit防火墙的配置，以USG系列为例system-view[USG] interface GigabitEthernet 1/0/3 //进入USG与SwitchA 与相连的其中一个接口的视图[USG-GigabitEthernet1/0/3] ip address 192.168.3.2 24 //配置接口的IP地址[USG-GigabitEthernet1/0/3] quit[USG] interface GigabitEthernet 1/0/4 //进入USG与SwitchA 与相连的另外一个接口的视图[USG-GigabitEthernet1/0/4] ip address 192.168.4.2 24 /配置接口的IP地址[USG-GigabitEthernet1/0/4] quit[USG] firewall zone trust //进入Trust安全区域视图[USG-zone-trust] add interface GigabitEthernet 1/0/3 //将接口GigabitEthernet 1/0/3加入Trust安全区域[USG-zone-trust] quit[USG] firewall zone untrust //进入untrust安全区域视图[USG-zone-untrust] add interface GigabitEthernet 1/0/4 //将接口GigabitEthernet 1/0/4加入untrust安全区域[USG-zone-untrust] quit[USG] policy interzone trust untrust outbound //进入Trust-Untrust域间安全策略视图[USG-policy-interzone-trust-untrust-outbound] policy 1 //创建安全策略，并进入策略ID视图[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255 //指定源地址为192.168.1.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.2.0 0.0.0.255 //指定源地址为192.168.2.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.1.0 0.0.0.255 //指定目的地址为192.168.1.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.2.0 0.0.0.255 //指定目的地址为192.168.2.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] action permit //配置对匹配流量的包过滤动作为允许通过[USG-policy-interzone-trust-untrust-outbound-1] quit[USG-policy-interzone-trust-untrust-outbound] quit[USG] firewall blacklist enable //开启黑名单功能[USG] firewall defend ip-sweep enable //开启IP地址扫描攻击防范功能[USG] firewall defend ip-spoofing enable //开启IP Spoofing 攻击防范功能[USG] ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 //配置路由，下一跳为SwitchA的vlanif 400的接口地址，不管是从服务器到Internet的流量，还是从Internet到服务器的流量都是从防火墙的GigabitEthernet 1/0/4到SwitchA验证在SwitchA上使用display traffic policy命令，检查回显信息，看流策略中的信息是否配置正确。

华为交换机策略路由方法
华为交换机策略路由方法是使用IP地址、路由策略和路由条
目来实现路由决策和流量控制。

具体步骤如下：
1. 配置IP地址：在华为交换机上为相应的接口配置IP地址，
确保交换机能够与其他设备进行通信。

2. 创建路由策略：使用命令行界面或图形用户界面来创建路由策略，可以基于多种条件来定义策略，如源IP地址、目的IP
地址、业务类型等。

3. 创建路由条目：根据创建的路由策略，配置相应的路由条目，指定目的网络和下一跳地址。

4. 配置路由选项：设置路由选项，如路由缓存、路由版本、路由处理方式等。

5. 进行路由决策：当交换机接收到数据包时，会根据路由策略和路由条目进行路由决策，选择最优的路径将数据包转发到目标网络。

6. 流量控制：根据路由策略和路由条目，可以对特定的流量进行控制和限制，如限制带宽、设置QoS优先级等。

值得注意的是，华为交换机还支持动态路由协议，如OSPF、BGP等，可以与其他路由器交换路由信息，实现更加灵活和
自适应的路由选择。

路由协议配置目录目录第6章IP路由策略配置........................................................................................................... 6-16.1 IP路由策略简介................................................................................................................. 6-16.2 IP路由策略配置................................................................................................................. 6-36.2.1 IP路由策略配置任务列表........................................................................................ 6-36.2.2 定义Route-map ...................................................................................................... 6-36.2.3 定义Route-map的match子句 .............................................................................. 6-46.2.4 定义Route-map的set子句 ................................................................................... 6-56.2.5 引入其它路由协议发现的路由信息 ......................................................................... 6-66.2.6 定义地址前缀列表................................................................................................... 6-76.2.7 配置路由过滤.......................................................................................................... 6-76.3 IP路由策略的监控与维护................................................................................................... 6-96.4 IP路由策略典型配置举例................................................................................................. 6-106.4.1 配置过滤接收的路由信息...................................................................................... 6-10第6章 IP路由策略配置6.1 IP路由策略简介路由器在发布与接收路由信息时，可能需要实施一些策略，对路由信息进行过滤，比如只希望接收或发布一部分满足给定条件的路由信息；一种路由协议（如RIP）可能需要引入（redistribute）其它的路由协议（如OSPF）发现的路由信息，从而丰富自己的路由知识；在引入其它路由协议的路由信息时，可能需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。

华为路由器学习指南-本地策略路由配置⽰例拓扑图如下,RouterA与RouterB间有两条链路相连。

⽤户希望RouterA在发送不同长度的报⽂时，通过不同的下⼀跳地址进⾏转发。

长度为64~1400字节的报⽂设置150.1.1.2作为下⼀跳地址。

长度为1401~1500字节的报⽂设置1151.1.1.2作为下⼀跳地址。

在RouterA上创建名为lab1的本地策略路由，⽤策略点10和策略点20分别配置两种报⽂长度匹配规则，并分别指定对就策略点的协作，即指定对就的下⼀跳地址。

[RouterA]display policy-based-route lab1policy-based-route : lab1Node 10 permit :if-match packet-length 641400apply ip-address next-hop 150.1.1.2Node 20 permit :if-match packet-length 1401 1500apply ip-address next-hop 151.1.1.2验证配置结果在使能本地策略路由lab1之前重置RuterB接⼝统计信息reset counters interface g0/0/1reset counters interface g0/0/0查看RouterB接⼝统计信息display int g0/0/1GigabitEthernet0/0/1 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:50 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/1 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 150.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a6Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:31:31-08:00Port Mode: FORCE COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 0 bits/sec, 0 packets/secLast 300 seconds output rate 0 bits/sec, 0 packets/secInput peak rate 592 bits/sec,Record time: 2017-06-26 15:21:38Output peak rate 560 bits/sec,Record time: 2017-06-26 15:21:38Input: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%display int g0/0/0GigabitEthernet0/0/0 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:59 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/0 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 151.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a5 Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:31:40-08:00Port Mode: COMMON COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 0 bits/sec, 0 packets/secLast 300 seconds output rate 0 bits/sec, 0 packets/secInput peak rate 720 bits/sec,Record time: 2017-06-26 15:21:53Output peak rate 720 bits/sec,Record time: 2017-06-26 15:21:53Input: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%input为0 packet在RouterA ping -s 80 10.1.2.1display int g0/0/0GigabitEthernet0/0/0 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:59 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/0 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 151.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a5 Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:34:40-08:00Port Mode: COMMON COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 16 bits/sec, 0 packets/secLast 300 seconds output rate 16 bits/sec, 0 packets/secInput peak rate 976 bits/sec,Record time: 2017-06-26 15:34:38Output peak rate 976 bits/sec,Record time: 2017-06-26 15:34:38Input: 5 packets, 610 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 5 packets, 610 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%RoutrB g0/0/0增加了5个packet ——————————————————————————————————————————在使能本地策略路由lab1之后[RouterA]ip local policy-based-route lab1display int g0/0/1GigabitEthernet0/0/1 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:50 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/1 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 150.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a6Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:37:26-08:00Port Mode: FORCE COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 16 bits/sec, 0 packets/secLast 300 seconds output rate 16 bits/sec, 0 packets/secInput peak rate 600 bits/sec,Record time: 2017-06-26 15:37:23Output peak rate 584 bits/sec,Record time: 2017-06-26 15:37:23Input: 5 packets, 630 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 5 packets, 610 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%[RouterA]ping -s 1401 10.1.2.1display int g0/0/0GigabitEthernet0/0/0 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:59 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/0 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 151.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a5Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:38:11-08:00Port Mode: COMMON COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 208 bits/sec, 0 packets/secLast 300 seconds output rate 208 bits/sec, 0 packets/secInput peak rate 11544 bits/sec,Record time: 2017-06-26 15:38:11 Output peak rate 11544 bits/sec,Record time: 2017-06-26 15:38:11 Input: 10 packets, 7825 bytesUnicast: 10, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 10 packets, 7825 bytesUnicast: 10, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%证明本地策略路由配置成功。

华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示，公司用户通过Switch双归属到外部网络设备。

其中，一条是低速链路，网关为10.1.20.1/24；另外一条是高速链路，网关为10.1.30.1/24。

公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路1、创建VLAN并配置各接口，实现公司和外部网络设备互连。

2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。

3、配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。

4、配置流行为，使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。

5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。

3、操作步骤3.1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk，并加入VLAN100和VLAN200。

[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type trunk[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type trunk[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 2/0/1[Switch-GigabitEthernet2/0/1] port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。

写过华为S8508的策略路由，这次碰到一台H3C S5500，在配置上和华为交换机有些不同。

大致配置如下：拓扑图：网络情况如下：用户1网络：172.16.1.0/24用户2网络： 192.168.1.0/24至出口1网络：172.16.100.0/24至出口2网络：192.168.100.0/24实现功能：用户1通过互联网出口1，用户2通过互联网出口2。

功能实现：在三层交换台机上配置默认路由，将数据包丢向192.168.100.253，再利用策略路由，凡是用户2网络IP192.168.1.0/24的地址都丢向172.16.100.253。

配置步骤：说明：这里接口的配置等操作就不在写了。

1、首先建立默认路由，将所有的数据包都丢往出口2的下一节点192.168.100.253[H3C5500] ip route-static 0.0.0.0 0.0.0.0 192.168.100.2532、配置流分类1，对象为172.16.1.0/24的数据[H3C5500]acl number 3001[H3C5500-acl-adv-3001] rule 0 permit ip source 172.16.1.0 0.0.0.255 [H3C5500] quit[H3C5500] traffic classifier 1[H3C5500-classifier-1] if-match acl 3001[H3C5500-classifier-1] quit3、配置刚才定义的流分类的行为，定义如果匹配就下一跳至出口1即172.16.100.253[H3C5500] traffic behavior 1[H3C5500-behavior-1] redirect next-hop 172.16.100.253[H3C5500-behavior-1] quit4、将刚才设置的应用至QOS策略中，定义policy 1[H3C5500] qos policy 1[H3C5500-qospolicy-1] classifier 1 behavior 1[H3C5500-qospolicy-1] quit5、在接口上应用定义的QOS策略policy 1[H3C5500] interface GigabitEthernet 1/0/15[H3C5500-GigabitEthernet1/0/15] qos apply policy 1 inbound[H3C5500-GigabitEthernet1/0/15] quit至此，配置已完成。

华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示，公司用户通过Switch双归属到外部网络设备。

其中，一条是低速链路，网关为10.1.20.1/24；另外一条是高速链路，网关为10.1.30.1/24。

公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路1、创建VLAN并配置各接口，实现公司和外部网络设备互连。

2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。

3、配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。

4、配置流行为，使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。

5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。

3、操作步骤3.1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk，并加入VLAN100和VLAN200。

[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type trunk[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type trunk[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 2/0/1[Switch-GigabitEthernet2/0/1] port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。