02-S12500_IPv6策略路由典型配置举例
本章节下载: 02-S12500_IPv6策略路由典型配置举例 (144.23 KB)
本文档介绍了IPv6策略路由的配置举例。
普通IPv6报文是根据IPv6目的地址来查找路由表转发的,IPv6策略路由是一种依据用户制定的策略进行路由选择的机制。IPv6策略路由可以基于到达报文的IPv6源地址、IPv6目的地址、IP优先级、协议类型等字段灵活地进行路由选择。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
IPv6策略路由的优先级高于普通路由。配置了IPv6策略路由后,报文的转发流程如下(分4种情况):
(1) IPv6策略节点的匹配模式为permit,该节点下ACL规则动作为permit
· 匹配成功:若IPv6策略路由设置的出接口或下一跳有效,则按IPv6策略路由转发;若IPv6策略路由设置的出接口或下一跳无效,则按照普通路由表转发;
· 匹配失败:继续下一个节点的匹配。
(2) IPv6策略节点的匹配模式为permit,该节点下ACL规则动作为deny
· 匹配成功:继续下一个节点的匹配;
· 匹配失败:继续下一个节点的匹配。
(3) IPv6策略节点的匹配模式为deny,该节点下ACL规则动作为permit
· 匹配成功:按照普通路由表转发;
· 匹配失败:继续下一个节点的匹配。
(4) IPv6策略节点的匹配模式为deny,该节点下ACL规则动作为deny
· 匹配成功:继续下一个节点的匹配;
· 匹配失败:继续下一个节点的匹配。
实际应用中,策略路由的配置一般采用第一种情况。
如(1)所示缺省情况下,Device的GE5/0/47端口上收到的所有报文根据路由表转发的下一跳均为2004::2。
现要求在Device上配置IPv6策略路由,具体实现要求如下:
(1) 首先匹配GE5/0/47端口上收到的源IP为2002::1的报文,将该报文的下一跳重定向到2005::2;
(2) 其次匹配GE5/0/47端口上收到的源IP不为2002::1的TCP报文,将该报文的下一跳重定向到2003::2。
图1 IPv6策略路由特性典型配置组网图
· 为了确保能同时满足对于两种不同类型的报文重定向到不同的下一跳,需要配置两个访问控制列表,一个用于匹配GE5/0/47端口上收到的源IP为2002::1的报文,另一个用于匹配GE5/0/47端口上收到的源IP不为2002::1的TCP报文,并在策略路由中创建两个节点,分别对匹配上的报文进行重定向;
· 同一条策略路由中,创建的节点编号越小,优先级越高。为了确保GE5/0/47端口上收到源IP为2002::1的TCP报文下一跳能优先被重定向到2005::2,需要在策略路由中配置该策略使用较小的节点编号(本例中使用0号节点,另一策略使用1号节点)。
本举例是在S12500-CMW710-R7129版本上进行配置和验证的。
· S12500只支持转发策略路由。转发策略路由只对接口接收的报文起作用,指导其转发,对本地产生的报文不起作用;
· 配置重定向到下一跳时,不能将IPv4规则重定向到IPv6地址,反之亦然。
# 请按照(1)配置各接口的IP地址和子网掩码,具体配置过程略。
# 定义IPv6访问控制列表IPv6 ACL 3005,用于匹配源IP为2002::1/64网段的报文。
<DEVICE> system-view
[DEVICE] acl ipv6 number 3005
[DEVICE-acl6-adv-3005] rule 0 permit ipv6 source 2002::1/64
[DEVICE-acl6-adv-3005] quit
# 定义IPv6访问控制列表IPv6 ACL 3006,用于匹配GE5/0/47端口上收到的源IP不为2002::1的TCP报文。
[DEVICE] acl ipv6 number 3006
[DEVICE-acl6-adv-3006] rule 0 permit tcp
[DEVICE-acl6-adv-3006] quit
# 创建IPv6策略路由pbr1的0号结点0,将匹配IPv6 ACL 3005的报文下一跳重定向到2005::2。
[DEVICE] ipv6 policy-based-route pbr1 permit node 0
[DEVICE-pbr6-pbr1-0] if-match acl 3005
[DEVICE-pbr6-pbr1-0] apply next-hop 2005::2
[DEVICE-pbr6-pbr1-0] quit
# 创建IPv6策略路由pbr1的1号结点,将匹配IPv6 ACL 3006的报文下一跳重定向到2003::2。
[DEVICE] ipv6 policy-based-route pbr1 permit node 1
[DEVICE-pbr6-pbr1-1] if-match acl 3006
[DEVICE-pbr6-pbr1-1] apply next-hop 2003::2
[DEVICE-pbr6-pbr1-1] quit
# 在交换机的入接口Vlan-interface2上应用策略。
[DEVICE] interface vlan-interface 2
[DEVICE-Vlan-interface2] ipv6 policy-based-route pbr1
[DEVICE-Vlan-interface2] quit
通过display ipv6 policy-based-route命令可以查看到当前IPv6策略路由配置已经生效:
[DEVICE] display ipv6 policy-based-route policy pbr1
Policy name: pbr1
node 0 permit:
if-match acl 3005
apply next-hop 2005::2
node 1 permit:
if-match acl 3006
apply next-hop 2003::2
当Device收到源IP为2001::1/24和2002::1/24的报文时,有如下结果:
· 当2003::2和2005::2均可达时,源IP为2002::1的所有IP报文都被重定向到2005::2;源IP为2001::1的TCP报文被重定向到2003::2;其他报文会根据普通的路由表转发到下一跳10.4.1.2;
· 当2003::2可达和2005::2不可达时,源IP为2001::1的TCP报文被重定向到2003::2;其他报文会根据普通的路由表转发到下一跳10.4.1.2;
· 当2003::2不可达和2005::2可达时,源IP为2002::1的所有IP报文都被重定向到2005::2;其他报文会根据普通的路由表转发到下一跳10.4.1.2;
· 当2003::2和2005::2均不可达时,所有报文都会根据普通的路由表转发到下一跳2004::2。
#
vlan 1
#
vlan 2 to 5
#
ipv6 policy-based-route pbr1 permit node 0
if-match acl 3005
apply next-hop 2005::2
#
ipv6 policy-based-route pbr1 permit node 1
if-match acl 3006
apply next-hop 2003::2
#
interface Vlan-interface2
ipv6 policy-based-route pbr1
ipv6 address 2007::1/64
#
interface Vlan-interface3
ipv6 address 2003::1 64
#
interface Vlan-interface4
ipv6 address 2004::1 64
#
interface Vlan-interface5
ipv6 address 2005::1 64
#
interface GigabitEthernet5/0/3
port link-mode bridge
port access vlan 3
#
interface GigabitEthernet5/0/4
port link-mode bridge
port access vlan 4
#
interface GigabitEthernet5/0/47
port link-mode bridge
port access vlan 3
#
interface GigabitEthernet5/0/48
port link-mode bridge
port access vlan 5
#
acl ipv6 number 3005
rule 0 permit ipv6 source 2002::/64
#
acl ipv6 number 3006
rule 0 permit tcp
#
return
· 《H3C S12500系列路由交换机 三层技术-IP路由配置指导》中的“IPv6 策略路由”
· 《H3C S12500系列路由交换机 三层技术-IP路由命令参考》中的“IPv6 策略路由”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!