交换机重定向-策略路由

交换机上也做策略路由随着互联网的发展，数据传输量大，访问速度快的要求越来越高。

为了满足这样的要求，网络技术不断地更新和完善，其规模各式各样的网络也不断扩大和发展。

在这种情况下，策略路由的应用变得越来越重要。

在传统IP网络中，路由器使用的是静态路由。

静态路由需要管理员手动设置网络路由规则，并在其中加入至少一条适用于所有子网的默认路由，以确定包的流向。

但是静态路由在自适应性和灵活性方面存在很大的不足，网络的准确性和可扩展性也有所限制。

于是，动态路由的出现可以说是一个新的网络革命。

动态路由会在网络的不同节点之间建立一种“通讯协议”，路由器之间可以相互交换路由信息，形成一个网络拓扑图，实现路由的自动转换和更新。

随着网络不断发展和拓展，传统路由器已经无法满足网络需求，很多运营商开始采用具有更多功能的交换设备。

而一些厂商的交换机已经开始支持动态路由，实现了类似于路由器的高级路由功能，如策略路由。

策略路由概述策略路由是一个基于条件规则的路由选择机制。

通过设置路由策略，可以使路由器决定每个数据包的最佳路径。

策略路由可以对数据包的源地址、目的地址、协议、端口等不同的参数进行分类，然后将它们送到最合适的目的地。

策略路由可以带来很多好处，例如：•支持多路径类型（例如，不同的ISP和物理路径），可以优化和增强数据流的整体性能和可靠性。

•允许在路由器上进行更多的转发决策，从而灵活控制网络流量和带宽。

•策略路由可以控制每个流量的路径，从而实现特定链路的负载均衡和防止特定链路出现拥塞。

交换机上实现策略路由的优势随着网络不断变化，交换机也不再仅仅是桥接器，它们还被用作路由器，这些新功能可以极大地提高网络的性能和灵活性。

在许多情况下，交换机比路由器更便宜、更易于配置和部署，从而为网络管理员提供更多的选择。

与路由器相比，交换机具有以下优点：•交换机的转发速度更快，比路由器产生的网络延迟更低。

•交换机可以灵活部署，可以使用自动设备发现了解网络拓扑，然后在网络中设置路由规则。

11策略路由配置关于本章通过配置策略路由，可以用于提高网络的安全性能和负载分担。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

11.2 配置举例配置示例中包括组网需求和配置思路等。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

背景信息通过配置重定向，设备将符合流分类规则的报文重定向到指定的下一跳地址。

包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。

说明对于S2700系列交换机，只有S2700-52P-EI和S2700-52P-PWR-EI交换机支持策略路由。

前置任务在配置策略路由前，需要完成以下任务：●配置相关接口的IP地址和路由协议，保证路由互通。

●如果使用ACL作为策略路由的流分类规则，配置相应的ACL。

操作步骤1.配置流分类a.执行命令system-view，进入系统视图。

b.执行命令traffic classifier classifier-name [ operator { and | or } ]，创建一个流分类并进入流分类视图，或进入已存在的流分类视图。

and表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：▪当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；▪当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。

or表示流分类各规则之间是“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。

缺省情况下，流分类中各规则之间的关系为“逻辑与”。

c.请根据实际情况定义流分类中的匹配规则。

d.执行命令quit，退出流分类视图。

2.配置流行为a.执行命令traffic behavior behavior-name，创建一个流行为，进入流行为视图。

b.请根据实际需要进行如下配置：▪执行命令redirect ip-nexthop ip-address &<1-4> [ forced ]，将符合流分类的报文重定向到下一跳。

交换机路由策略
交换机路由策略是指在网络中，通过交换机对数据进行转发和路由的一种策略。

交换机是网络设备中的一种，其主要作用是通过学习和转发机制，将数据包从一个端口转发到另一个端口，从而实现网络中的数据传输。

交换机路由策略的主要功能是将数据包从源地址转发到目标地址。

在网络中，每个数据包都有一个源地址和一个目标地址，交换机通过学习每个端口连接的设备的MAC地址，可以确定数据包应该从哪个端口转发到哪个端口。

交换机路由策略可以将数据包按照一定的规则进行分类和转发，从而提高网络的传输效率和安全性。

交换机路由策略有多种，常见的有静态路由和动态路由。

静态路由是由网络管理员手动配置的路由策略，通常用于小型网络。

动态路由是由网络设备之间通过协议自动学习和配置的路由策略，通常用于大型网络。

在实际应用中，交换机路由策略需要根据网络的具体情况和需求进行调整和优化。

例如，对于需要高速传输大量数据的网络，可以采用多路径路由策略来提高传输效率；对于需要保证网络安全性的网络，可以采用访问控制列表等策略来限制网络中的数据访问。

总之，交换机路由策略是网络中非常重要的一部分，通过科学的规划和配置，可以提高网络传输效率和安全性，从而更好地满足人们的生产和生活需求。

- 1 -。

策略路由配置详解
一、策略路由的概念
策略路由是一种网络路由管理方法，它的基本思想是建立一组用来定
义所有网络流量及其传输路径的策略，并利用这组策略实现路由负载均衡，从而提高网络性能。

二、策略路由配置的要素
1.路由器
路由器是策略路由的基础，配置正确的路由器是策略路由正常运行的
关键，一般需要设置路由协议和路由策略。

2.协议
协议是指路由器交换机之间的连接，当路由器与交换机之间的连接类
型是协议时，策略路由就可以在此基础上正确工作，用户可以根据自身需
要选择合适的协议进行配置。

3.连接
连接是指策略路由需要通过路由器或交换机保持的一种物理连接，它
是策略路由的基础，因此必须正确配置路由器和交换机之间的连接，才能
确保策略路由的正常运行。

4.地址
地址是指在策略路由系统中所有设备的IP地址，这些地址是策略路
由网络中所有设备的唯一标识符，必须正确设置，才能使策略路由能够真
正发挥出效用。

5.策略
策略是指在策略路由系统中，路由器或交换机根据其中一种规则选择最佳路由策略，从而实现合理分配网络流量，提高网络性能。

1、应用场景在企业网络中，很多用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路，即策略路由。

交换机上一般使用重定向来实现策略路由。

例如右图中，汇聚层Switch做三层转发设备，上行到两个核心路由器上。

接入层设备LSW做用户网关，下挂两个用户网段。

A网段：192.168.10.0/24B网段：192.168.20.0/24A网段的用户通过高速链路访问外网；B网段的用户通过低速链路访问外网。

2、配置思路采用重定向方式实现策略路由。

所谓策略路由即在路由表已经产生的情况下，不按照路由表进行转发，而是根据需要，依照某种策略改变报文转发路径。

可以按照如下5个步骤进行配置：1、配置ACL规则：分别匹配源IP为192.168.10.0/24和192.168.20.0/24网段的报文。

2、配置流分类：匹配规则为上述ACL规则，使设备可以对报文进行区分。

3、配置流行为：使满足不同规则的报文分别被重定向到10.1.10.1和10.1.20.1。

4、配置流策略：将流分类和对应的流行为进行绑定。

5、应用流策略：将流策略应用到用户侧接口的入方向上，实现策略路由。

3、操作步骤（1）配置ACL规则[Switch] acl 3001[Switch-acl-adv-3001] rule permit ip source 192.168.10.00.0.0.255[Switch-acl-adv-3001] quit[Switch] acl 3002[Switch-acl-adv-3002] rule permit ip source 192.168.20.00.0.0.255[Switch-acl-adv-3002] quit在Switch上创建编号为3001、3002的高级ACL，规则分别为允许源IP为192.168.10.0/24和192.168.20.0/24网段的报文通过。

（2）配置流分类[Switch] traffic classifier c1[Switch-classifier-c1] if-match acl 3001[Switch-classifier-c1] quit[Switch] traffic classifier c2[Switch-classifier-c2] if-match acl 3002[Switch-classifier-c2] quit在Switch上创建流分类c1、c2，匹配规则分别为ACL 3001和ACL 3002。

华为交换机策略路由配置--产品实现华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口，匹配成功后将从指定接口发出去。

接口不是能以太网等广播类型接口（改为P2P即可），因为多个下一跳可能导致报文转发不成功。

3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳，仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)（关键）flash Set packet precedence to flash(3)（闪速）flash-override Set packet precedence to flash override(4)（疾速）immediate Set packet precedence to immediate(2)（快速）internet Set packet precedence to Internet control(6)（网间）network Set packet precedence to network control(7)（网内）priority Set packet precedence to priority(1)（优先）routine Set packet precedence to routine(0)（普通）3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由（可以创建多条）2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to match dlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。

华为CE交换机配置策略路由重定向到防火墙适用产品和版本CE12800/CE6800/CE5800系列产品V100R001C00或更高版本，CE12800E系列产品V200R002C50或更高版本，CE7800系列产品V100R003C00或者更高版本，CE8800系列产品V100R006C00或者更高版本。

组网需求如图2-47所示，某公司由于业务需要，业务区的服务器有访问Internet的需求。

业务区的数据服务器和视频服务器通过接入层交换机SwitchB和核心层交换机SwitchA接入出口网关Router与Internet 进行通信。

为了保证服务器到Internet和Internet到服务器的流量的安全性，在核心交换机SwitchA旁挂一个防火墙，将所有流经SwitchA的流量通过策略路由重定向到防火墙，防火墙对流量进行过滤从而保证公司内外网络的安全性。

图2-47 配置策略路由的组网图表2-7列出了图2-47上设备的基本网络规划情况。

需求分析•出于安全性考虑，在SwitchA上旁挂一台核心防火墙USG，对流量进行安全过滤。

•对服务器到Internet的流量和Internet到服务器的流量分别进行安全过滤。

操作步骤1.SwitchB的配置，以CE5800系列为例system-view[~HUAWEI] sysname SwitchB //修改设备名称为SwitchB[~HUAWEI] commit[~SwitchB] vlan batch 100 200 //在SwitchB上创建VLAN100和VLAN200[~SwitchB] commit[~SwitchB] interface 10ge 1/0/1 //进入SwitchB与SwitchA相连接口的视图[~SwitchB-10GE1/0/1] port link-type trunk //配置接口类型为Trunk[~SwitchB-10GE1/0/1] port trunk allow-pass vlan 100 200 //将接口加入VLAN100和VLAN200，使VLAN100、VLAN200的报文都能通过[~SwitchB-10GE1/0/1] quit[~SwitchB] interface GE 1/0/2 //进入SwitchB与Data Server 相连的接口的视图[~SwitchB-GE1/0/2] port default vlan 100 //接口类型缺省为Access，允许VLAN100的报文通过[~SwitchB-GE1/0/2] quit[~SwitchB] interface GE 1/0/3 //进入SwitchB与Video Server 相连的接口的视图[~SwitchB-GE1/0/3] port default vlan 200 //接口类型缺省为Access，允许VLAN200的报文通过[~SwitchB-GE1/0/3] quit[~SwitchB] commitSwitchA的配置，以CE12800系列为例system-view[~HUAWEI] sysname SwitchA //修改设备名称为SwitchA[~HUAWEI] commit[~SwitchA] vlan batch 100 200 300 400 500 //在SwitchA上创建VLAN100、VLAN200、VLAN300、VLAN400和VLAN500 [~SwitchA] commit[~SwitchA] interface 10ge 1/0/1 //进入SwitchA与SwitchB相连接口的视图[~SwitchA-10GE1/0/1] port link-type trunk //配置接口类型为Trunk[~SwitchA-10GE1/0/1] port trunk allow-pass vlan 100 200 //将接口加入VLAN100和VLAN200，使VLAN100、VLAN200的报文都能通过[~SwitchA-10GE1/0/1] quit[~SwitchA] interface 10ge 1/0/2 //进入SwitchA与Router相连的接口的视图[~SwitchA-10GE1/0/2] port default vlan 500 //接口默认为Access类型，将接口加入VLAN500[~SwitchA-10GE1/0/2] quit[~SwitchA] interface 10ge 1/0/3 //进入SwitchA与核心防火墙相连的其中一个接口的视图[~SwitchA-10GE1/0/3] port default vlan 300 //接口默认为Access类型，将接口加入VLAN300[~SwitchA-10GE1/0/3] quit[~SwitchA] interface 10ge 1/0/4 //进入SwitchA与核心防火墙相连的另一个接口的视图[~SwitchA-10GE1/0/4] port default vlan 400 //接口默认为Access类型，将接口加入VLAN400[~SwitchA-10GE1/0/4] quit[~SwitchA] commit[~SwitchA] interface vlanif 100[~SwitchA-Vlanif100] ip address 192.168.1.1 24 //配置VLANIF100的IP地址为192.168.1.1，掩码为24[~SwitchA-Vlanif100] quit[~SwitchA] interface vlanif 200[~SwitchA-Vlanif200] ip address 192.168.2.1 24 //配置VLANIF200的IP地址为192.168.2.1，掩码为24[~SwitchA-Vlanif200] quit[~SwitchA] interface vlanif 300[~SwitchA-Vlanif300] ip address 192.168.3.1 24 //配置VLANIF300的IP地址为192.168.3.1，掩码为24[~SwitchA-Vlanif300] quit[~SwitchA] interface vlanif 400[~SwitchA-Vlanif400] ip address 192.168.4.1 24 //配置VLANIF400的IP地址为192.168.4.1，掩码为24[~SwitchA-Vlanif400] quit[~SwitchA] interface vlanif 500[~SwitchA-Vlanif500] ip address 192.168.10.1 24 //配置VLANIF500的IP地址为192.168.10.1，掩码为24[~SwitchA-Vlanif500] quit[~SwitchA] commit[~SwitchA] ip route-static 0.0.0.0 0.0.0.0 192.168.10.2 //配置缺省路由，使服务器能正常访问Internet[~SwitchA] commit[~SwitchA] acl 3001 //创建ACL3001[~SwitchA-acl4-advance-3001] rule 5 permit ip source 192.168.1.2 24 //配置ACL3001中的规则:源网段为192.168.1.0 [~SwitchA-acl4-advance-3001] rule 10 permit ip source 192.168.2.2 24 //配置ACL3001中的规则:源网段为192.168.2.0 [~SwitchA-acl4-advance-3001] commit[~SwitchA-acl4-advance-3001] quit[~SwitchA] traffic classifier c1 //创建流分类c1[~SwitchA-classifier-c1] if-match acl 3001 //匹配ACL3001的规则，匹配原网段为192.168.1.0或192.168.2.0网段内的所有报文，即所有从服务器到Internet的报文[~SwitchA-classifier-c1] quit[~SwitchA] commit[~SwitchA] traffic behavior b1 //创建流行为b1[~SwitchA-behavior-b1] redirect nexthop 192.168.3.2 //对匹配的报文重定向到192.168.3.2，即重定向到核心防火墙USG [~SwitchA-behavior-b1] quit[~SwitchA] commit[~SwitchA] traffic policy p1 //创建流策略p1[~SwitchA-trafficpolicy-p1] classifier c1 behavior b1 //在流策略p1中绑定流分类c1和流行为b1，即将所有从服务器到Internet的报文重定向到核心防火墙USG[~SwitchA-trafficpolicy-p1] quit[~SwitchA] commit[~SwitchA] interface 10ge 1/0/1 //进入SwitchA与SwitchB相连接口的视图[~SwitchA-10GE1/0/1] traffic-policy p1 inbound //将流策略p1应用在SwitchA与SwitchB相连接口的入方向上，对从服务器到Internet的报文进行安全过滤[~SwitchA-10GE1/0/1] quit[~SwitchA] commit[~SwitchA] acl 3002 //创建ACL3002[~SwitchA-acl4-advance-3002] rule 5 permit ip destination 192.168.1.2 24 //配置ACL3002中的规则:目的网段为192.168.1.0 [~SwitchA-acl4-advance-3002] rule 10 permit ip destination 192.168.2.2 24 //配置ACL3002中的规则:目的网段为192.168.2.0 [~SwitchA-acl4-advance-3002] commit[~SwitchA-acl4-advance-3002] quit[~SwitchA] traffic classifier c2 //创建流分类c2[~SwitchA-classifier-c2] if-match acl 3002 //匹配ACL3002的规则，匹配目的网段为192.168.1.0或192.168.2.0网段内的所有报文，即所有从Internet到服务器的报文[~SwitchA-classifier-c2] quit[~SwitchA] commit[~SwitchA] traffic behavior b2 //创建流行为b2[~SwitchA-behavior-b2] redirect nexthop 192.168.3.2 //对匹配的报文重定向到192.168.3.2，即重定向到核心防火墙USG [~SwitchA-behavior-b2] quit[~SwitchA] commit[~SwitchA] traffic policy p2 //创建流策略p2[~SwitchA-trafficpolicy-p2] classifier c2 behavior b2 //在流策略p1中绑定流分类c2和流行为b2，即将所有从Internet到服务器的报文重定向到核心防火墙USG[~SwitchA-trafficpolicy-p2] quit[~SwitchA] commit[~SwitchA] interface 10ge 1/0/2 //进入SwitchA与Router相连接口的视图[~SwitchA-10GE1/0/2] traffic-policy p1 inbound //将流策略p1应用在SwitchA与Router相连接口的入方向上，对从Internet到服务器的报文进行安全过滤[~SwitchA-10GE1/0/2] quit[~SwitchA] commit防火墙的配置，以USG系列为例system-view[USG] interface GigabitEthernet 1/0/3 //进入USG与SwitchA 与相连的其中一个接口的视图[USG-GigabitEthernet1/0/3] ip address 192.168.3.2 24 //配置接口的IP地址[USG-GigabitEthernet1/0/3] quit[USG] interface GigabitEthernet 1/0/4 //进入USG与SwitchA 与相连的另外一个接口的视图[USG-GigabitEthernet1/0/4] ip address 192.168.4.2 24 /配置接口的IP地址[USG-GigabitEthernet1/0/4] quit[USG] firewall zone trust //进入Trust安全区域视图[USG-zone-trust] add interface GigabitEthernet 1/0/3 //将接口GigabitEthernet 1/0/3加入Trust安全区域[USG-zone-trust] quit[USG] firewall zone untrust //进入untrust安全区域视图[USG-zone-untrust] add interface GigabitEthernet 1/0/4 //将接口GigabitEthernet 1/0/4加入untrust安全区域[USG-zone-untrust] quit[USG] policy interzone trust untrust outbound //进入Trust-Untrust域间安全策略视图[USG-policy-interzone-trust-untrust-outbound] policy 1 //创建安全策略，并进入策略ID视图[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.0 0.0.0.255 //指定源地址为192.168.1.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.2.0 0.0.0.255 //指定源地址为192.168.2.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.1.0 0.0.0.255 //指定目的地址为192.168.1.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.2.0 0.0.0.255 //指定目的地址为192.168.2.0/24的流量通过[USG-policy-interzone-trust-untrust-outbound-1] action permit //配置对匹配流量的包过滤动作为允许通过[USG-policy-interzone-trust-untrust-outbound-1] quit[USG-policy-interzone-trust-untrust-outbound] quit[USG] firewall blacklist enable //开启黑名单功能[USG] firewall defend ip-sweep enable //开启IP地址扫描攻击防范功能[USG] firewall defend ip-spoofing enable //开启IP Spoofing 攻击防范功能[USG] ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 //配置路由，下一跳为SwitchA的vlanif 400的接口地址，不管是从服务器到Internet的流量，还是从Internet到服务器的流量都是从防火墙的GigabitEthernet 1/0/4到SwitchA验证在SwitchA上使用display traffic policy命令，检查回显信息，看流策略中的信息是否配置正确。

华为交换机策略路由方法
华为交换机策略路由方法是使用IP地址、路由策略和路由条
目来实现路由决策和流量控制。

具体步骤如下：
1. 配置IP地址：在华为交换机上为相应的接口配置IP地址，
确保交换机能够与其他设备进行通信。

2. 创建路由策略：使用命令行界面或图形用户界面来创建路由策略，可以基于多种条件来定义策略，如源IP地址、目的IP
地址、业务类型等。

3. 创建路由条目：根据创建的路由策略，配置相应的路由条目，指定目的网络和下一跳地址。

4. 配置路由选项：设置路由选项，如路由缓存、路由版本、路由处理方式等。

5. 进行路由决策：当交换机接收到数据包时，会根据路由策略和路由条目进行路由决策，选择最优的路径将数据包转发到目标网络。

6. 流量控制：根据路由策略和路由条目，可以对特定的流量进行控制和限制，如限制带宽、设置QoS优先级等。

值得注意的是，华为交换机还支持动态路由协议，如OSPF、BGP等，可以与其他路由器交换路由信息，实现更加灵活和
自适应的路由选择。

华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口，匹配成功后将从指定接口发出去。

接口不是能以太网等广播类型接口（改为P2P即可），因为多个下一跳可能导致报文转发不成功。

3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳，仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)（关键）flash Set packet precedence to flash(3)（闪速）flash-override Set packet precedence to flash override(4)（疾速）immediate Set packet precedence to immediate(2)（快速）internet Set packet precedence to Internet control(6)（网间）network Set packet precedence to network control(7)（网内）priority Set packet precedence to priority(1)（优先）routine Set packet precedence to routine(0)（普通）3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)<cr>3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由（可以创建多条）2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to matchdlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。

交换机路由策略
交换机路由策略是一种网络管理方法，用于控制数据包在局域网和广域网中的转发。

路由策略指定了数据包从源地址到目的地址的路径，并根据网络拓扑、协议类型和流量负载等因素确定最佳的路径。

一般来说，交换机路由策略的实现包含以下几个方面：
1.路由协议选择：交换机可支持不同的路由协议，如RIP、OSPF、BGP，根据需求选择最适合的协议。

2.路由表管理：交换机通过维护路由表来管理数据包的转发，路由表中包含了网络拓扑、路由协议以及距离等信息，交换机根据路由表中信息来决定数据包的转发路径。

3.数据包过滤：交换机可以根据源地址、目的地址、协议类型、端口号等信息对数据包进行过滤，通过设置过滤规则来限制数据包的转发。

4.负载均衡：在网络出现拥塞的情况下，交换机会根据流量负载情况选择最佳的转发路径，以实现负载均衡的效果。

5.VLAN管理：交换机可以将不同的设备隔离在不同的VLAN中，通过不同的VLAN之间的路由设置，实现不同设备之间的通信。

通过交换机路由策略的管理，可以有效地控制网络流量，提高网络性能和安全性。

路由重定向工作原理
路由重定向是一种网络管理技术，它可以帮助管理员实现网络资源的快速流转和优化网络性能。

路由重定向的工作原理是通过在网络中设置路由器和交换机，实现数据包的跳转和交换，使得数据能够快速到达目标地址。

具体来说，路由器和交换机会根据设定的路由表，将数据包从源地址传输至目标地址，同时根据网络拓扑结构和数据包优先级进行处理和调度，从而实现网络资源的高效利用和管理。

路由重定向的应用范围非常广泛，可以用于企业内部网络、互联网、数据中心等多种场景。

通过路由重定向技术，管理员可以实现网络流量的优化、负载均衡、故障恢复等功能，从而提升整个网络的性能和可靠性。

同时，路由重定向还可以帮助管理员简化网络管理流程，提高工作效率和自动化程度，减少了运维难度和成本。

总之，路由重定向是一种非常实用和重要的网络管理技术，它可以帮助管理员实现网络资源的快速流转和优化网络性能，具有广泛的应用前景和发展空间。

- 1 -。

1.1.1CISCO交换机配置方法一、（不具备逃生方案）建立ACLip access-list extended policy-route-aclpermit ip any anyexit配置route-map路由图route-map policy-routematch ip address policy-route-aclset ip next-hop 192.168.100.123exit在接口上应用route-mapinterface vlan 54ip policy route-map policy-routeexit方法二、（具备逃生方案）建立ACLaccess-list 101 permit ip 192.168.36.0 0.0.0.255 anyip access-list extended policy-route-aclpermit ip any anyexit配置带下跳检测的route-map路由图ip sla monitor 1type echo protocol ipIcmpEcho 172.28.1.11frequency 8ip sla monitor schedule 1 life forever start-time nowtrack 123 rtr 1 reachabilityip sla monitor 2type echo protocol ipIcmpEcho 172.28.1.12frequency 8ip sla monitor schedule 2 life forever start-time nowtrack 223 rtr 2 reachabilityroute-map policy_routematch ip address policy-route-aclset ip next-hop verify-availability 172.28.1.11 10 track 123 set ip next-hop verify-availability 172.28.1.12 20 track 223 在接口上应用route-mapinterface vlan 200ip policy route-map policy-routeCISCO EEM逃生方案#创建一个event managerevent manager applet PBR#您那边的event manager如果版本是3.0的话应该支持#event track 1的用法,我们这里只支持syslog进行模式匹配event syslog pattern "Interface FastEthernet0/3, changed state to down" action 1.0 syslog msg "PBR to shutdown the interface vlan 112"action 1.1 cli command "en"action 1.3 cli command "config term"action 1.5 cli command "int vlan 112"action 1.7 cli command "shutdown"1.1.2H3C交换机配置1.2.2.1policy-based-route方法配置建立ACLacl number 3040rule 0 permit ip source anyquit配置policy-based-route路由图policy-based-route policy-route permit node 10if-match acl 3040apply ip-address next-hop 192.168.100.123quit在接口应用policy-based-routeinterface Ethernet0/3.40ip policy-based-route policy-routequit1.2.2.2qos policy方法配置配置ACL策略[H3C7506E]acl number 3040[H3C7506E-acl-adv-3040] rule 10 permit ip source any[H3C7506E-acl-adv-3040]quit配置匹配ACL的流分类1[H3C7506E] traffic classifier 1[H3C7506E-classifier-1] if-match acl 3040[H3C7506E-classifier-1] quit配置刚才定义的流分类1的行为，定义如果匹配就下一跳至192.168.100.123 [H3C7506E] traffic behavior 1[H3C7506E-behavior-1] redirect next-hop 192.168.100.123[H3C7506E-behavior-1] quit将刚才设置的流分类及行为应用至QOS策略中，定义policy 1[H3C7506E] qos policy 1[H3C7506E-qospolicy-1] classifier 1[H3C7506E-qospolicy-1] behavior 1[H3C7506E-qospolicy-1] quit在接口上应用定义的QOS策略policy 1[H3C7506E] interface GigabitEthernet 2/0/11[H3C7506E-GigabitEthernet2/0/11] qos apply policy 1 inbound[H3C7506E-GigabitEthernet2/0/11] quit1.2.2.3route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由图route-policy policy-route permit node 1if-match acl 3000apply ip-address next-hop 192.168.100.123quit在接口应用route policyinterface Ethernet1/0ip policy route-policy policy-routequit1.2.2.4traffic-redirect方法配置建立ACLacl number 3000rule 0 permit ip source anyquit在接口应用traffic-redirecinterface GigabitEthernet6/1/1traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123quit逃生方案：traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123 in forword1.1.3华为交换机配置1.2.3.1traffic-policy方法配置配置ACL策略acl number 3040rule 10 permit ip source anyquit配置匹配ACL的流分类1traffic classifier 1if-match acl 3040quit配置刚才定义的流分类1的行为，定义如果匹配就下一跳至192.168.100.123 traffic behavior 1redirect next-hop 192.168.100.123quit将刚才设置的流分类及行为应用至traffic-policy策略中，定义policy 1traffic policy 1classifier 1 behavior 1quit在接口上应用定义的QOS策略policy 1interface GigabitEthernet 2/0/11traffic-policy 1 inboundquit1.2.3.2traffic-redirect方法配置建立ACLacl number 3000rule 0 permit ip source anyquit在接口应用traffic-redirecinterface GigabitEthernet6/1/1traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123quit1.2.3.3route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由图route-policy policy-route permit node 1if-match acl 3000apply ip-address next-hop 192.168.100.123quit在接口应用route policyinterface Ethernet1/0ip policy route-policy policy-routequit。

交换机上也做策略路由交换机上也可以做策略路由，这是因为现代交换机逐渐具备了路由器的功能，从而实现了多重功能的集成。

在网络拓扑结构较为复杂的情况下，为了保障网络的高可用性、安全性以及性能等方面的需求，交换机上的策略路由也变得越来越重要。

1. 策略路由的基本原理策略路由是一种基于目的地址不同的路由选择策略，可以根据不同的需求选择不同的路由方案进行转发，从而实现对流量的控制和管理。

在交换机上实现策略路由，通常采用的是ACL（Access Control List）技术，即访问控制列表技术，通过配置ACL可以实现路由的分流，以及对不同流量的控制和限制。

2. 策略路由的应用场景（1）流量分流在网络拓扑结构较为复杂的情况下，流量分流可以有效提高网络的负载能力，避免网络拥塞发生。

通过策略路由技术，可以将不同类型的流量按需求分流到不同的路由上进行传输，从而优化网络性能。

例如，在企业网络中，一部分部门需要专线连接，而另一部分只需要公网连接，此时可以通过ACL配置，将需要专线连接的部门的流量分流到专线路由上进行传输，让公网路由处理其他部门的流量。

（2）网络安全控制通过ACL技术，可以实现对不同类型的流量的过滤和控制，确保网络的安全性。

例如，可以通过配置ACL来限制某些危险的IP流量进入网络，以保证网络的正常运行；还可以通过ACL来防止DDoS攻击、网络蠕虫和病毒等恶意流量的攻击。

（3）灵活的路由控制传统的无层交换机无法支持路由控制，而现代交换机就可以利用策略路由技术灵活地对IP数据流进行路由的控制，同时还能够根据不同流量的特点进行不同的路由转发。

例如，某公司的某个部门需要对特定的IP流量进行优先级路由，可以通过ACL进行配置，将这部分IP流量发送到目标设备的路由上，从而实现更加灵活的路由控制。

3. 策略路由的配置方法在交换机上实现策略路由技术，需要按照以下步骤进行配置：（1）确定分流规则根据实际需求，确定需要分流的流量类型和路由方向，例如需要将某个部门的流量分流到专线连接上，或者需要将恶意流量分流到黑洞，从而实现网络的安全控制。

交换机pbr原理
交换机PBR原理
交换机PBR（Policy-Based Routing）是一种基于策略的数据包路由转发机制，它可以根据管理员定义的策略对数据包进行灵活的路由选择，以满足特定场景下的需求。

PBR不仅基于目的地址进行路由转发，还可以根据源地址、目的地址、端口、报文长度等内容进行路由选择，使得路由策略更加灵活和个性化。

PBR的核心原理是通过对数据包的识别和处理，按照管理员定义的策略对数据包进行路由选择。

在华为S系列交换机上，PBR通过重定向实现，即将符合流分类规则的三层报文重定向到指定的下一跳地址。

这种机制使得管理员可以根据不同的需求对数据流进行精确控制，例如使不同的数据流通过不同的链路进行发送，提高链路的利用效率；将数据流引流到防火墙等安全设备，进行安全过滤；在满足业务服务质量的前提下，选择费用较低的链路传输业务数据，从而降低企业数据服务的成本。

在实际应用中，PBR的配置通常包括以下几个步骤：
1.定义流分类规则：根据实际需求，定义一系列的流分类规则，用于匹配需要策略
路由的数据包。

这些规则可以基于源地址、目的地址、端口号、协议类型等条件进行定义。

2.配置策略路由：针对每个流分类规则，配置相应的策略路由。

策略路由包括下一
跳地址、出接口等参数，用于指定数据包的转发路径。

3.应用策略路由：将配置好的策略路由应用到交换机上，使得满足流分类规则的数
据包按照指定的策略进行路由转发。

通过以上步骤，PBR可以根据管理员的意志对部分感兴趣的流量重新定义报文的转发路径，满足一些特殊场景下的需求。

同时，PBR还可以与其他网络技术结合使用，例如VPN、负载均衡等，以实现更加复杂的网络功能。

H3CS9500交换机QoS报⽂重定向功能的配置H3C S9500交换机QoS报⽂重定向功能的配置⼀、组⽹需求：报⽂重定向就是改变转发的报⽂的输出⽅向，将其输出到CPU、其他端⼝、其他IP地址或其他单板。

S9500通过流分类重定向到IP下⼀跳实现了策略路由，可以根据报⽂头的其他信息进⾏路由。

由于策略路由的配置是静态的，所以，当配置中的下⼀跳不可⽤时，报⽂将被丢弃。

S9500⽀持配置两个下⼀跳。

以下组⽹图中，公司交换机通过S9500连接到服务提供商设备，⼀条是千兆链路，⽹关为20.20.20.1；另外⼀条是百兆链路，⽹关为20.20.30.1。

公司要求千兆链路只传送IP优先级为4、5、6、7的⾼优先级报⽂，⽽其它低优先级报⽂则使⽤百兆链路连接到服务提供商。

⼆、组⽹图：报⽂重定向典型组⽹图三、配置步骤：软件版本：S9500交换机全系列软件版本硬件版本：S9500交换机全系列硬件版本1）配置VLAN20、VLAN30及虚接⼝地址，使S9500能ping通服务提供商的⽹关，并把相应端⼝加⼊VLAN中[S9500]vlan 20[S9500-vlan20]port GigabitEthernet 9/2/1[S9500]interface Vlan-interface 20[S9500-Vlan-interface20]ip address 20.20.20.2 255.255.255.0[S9500]vlan 30[S9500-vlan30]port Ethernet 3/1/17[S9500]interface Vlan-interface 30[S9500-Vlan-interface30]ip address 20.20.30.2 255.255.255.02）配置匹配IP优先级的流模板并应⽤在端⼝上[S9500]flow-template user-defined slot 9 ip-precedence[S9500]interface GigabitEthernet 9/1/1[S9500-GigabitEthernet9/1/1]flow-template user-defined3）配置ACL规则3000和3100[S9500]acl number 3000[S9500-acl-adv-3000]rule 0 permit ip precedence 7[S9500-acl-adv-3000]rule 1 permit ip precedence 6[S9500-acl-adv-3000]rule 2 permit ip precedence 5[S9500-acl-adv-3000]rule 3 permit ip precedence 4[S9500]acl number 3100[S9500-acl-adv-3100]rule 0 permit ip precedence 3[S9500-acl-adv-3100]rule 1 permit ip precedence 2[S9500-acl-adv-3100]rule 2 permit ip precedence 1[S9500-acl-adv-3100]rule 3 permit ip precedence 04）在端⼝下应⽤规则[S9500]interface GigabitEthernet 9/1/1[S9500-GigabitEthernet9/1/1]traffic-redirect inbound ip-group 3000 next-hop 20.20.20.1[S9500-GigabitEthernet9/1/1]traffic-redirect inbound ip-group 3100 next-hop 20.20.30.1四、配置关键点：1）可以配置两个下⼀跳，当第⼀跳不⽣效后，经过⼤约20秒后切换到第⼆跳，当第⼀跳恢复后再切换回来；2）B类、C类、CA类业务板不⽀持重定向到nested-vlan、modified-vlan；3）CA类单板不⽀持重定向到NAT业务板；4）重定向配置仅对访问列表中动作为permit的规则有效；5）当报⽂被重定向到CPU后，将不再正常转发。

H3C交换机重定向⾄下⼀跳典型配置指导5.5 重定向⾄下⼀跳典型配置指导5.5.1 组⽹图5.5.2 应⽤要求某⽹络环境描述如下：交换机 Switch A 通过两条链路与 Switch B 连接，同时 Switch A 和 Switch B 各⾃连接其他的设备；Switch A 上的端⼝GigabitEthernet 1/0/2 和Switch B 上的端⼝GigabitEthernet1/0/2 属于 VLAN 200；Switch A 上的端⼝GigabitEthernet 1/0/3 和Switch B 上的端⼝GigabitEthernet1/0/3 属于 VLAN 201；Switch A 上 VLAN 200 虚接⼝的 IP 地址为 200.1.1.1，VLAN 201 虚接⼝的 IP 地址为201.1.1.1；Switch B 上 VLAN 200 虚接⼝的 IP 地址为 200.1.1.2， VLAN 201 虚接⼝的 IP 地址为 201.1.1.2。

配置重定向⾄下⼀跳，实现策略路由功能，满⾜如下需求：将 Switch A 的端⼝ GigabitEthernet 1/0/1 接收到的源 IP 地址为 2.1.1.1 的报⽂转发⾄200.1.1.2；将 Switch A 的端⼝ GigabitEthernet 1/0/1 接收到的源 IP 地址为 2.1.1.2 的报⽂转发⾄201.1.1.2；对于 Switch A 的端⼝ GigabitEthernet 1/0/1 接收到的其它报⽂，按照查找路由表的⽅式进⾏转发。

5.5.3 配置过程和解释配置 Switch A# 定义基本 ACL 2000，对源 IP 地址为 2.1.1.1 的报⽂进⾏分类。

system-view[Switch] acl number 2000[Switch-acl-basic-2000] rule permit source 2.1.1.1 0 [Switch-acl-basic-2000] quit# 定义基本 ACL 2001，对源 IP 地址为 2.1.1.2 的报⽂进⾏分类。

低端交换机qos重定向实现策略路由的功能举例
S3610不支持策略路由，官网上面写错了。

是支持路由策略。

但是还是可以使用qos中CBQ的方式来实现（C--classifier，B--behavior，Q--qos policy）：
由于无法找到对应的配置案例，我就手写,下面的配置实现的功能是将从vlan1中收到的源为192.168.1.0/24，目的为10.1.1.0/24的数据流重定向到e0/0发送出去1、定义需要重定向的数据流acl number 3001
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
2、定义qos的类并引用定义的数据流
traffic classifier e0/0 operator and
if-match acl 3001
3、定义对数据流执行的行为
traffic behavior e0/0
redirect interface Ethernet0/0
4、将类与行为绑定
qos policy e0/0
classifier e0/0 behavior e0/0
5、应用在vlan 1的进方向
qos vlan-policy test vlan 1 inbound
希望对大家有所帮助。