目  录

1 通过QoS策略实现策略路由典型配置指导

1.1 通过QoS策略实现IPv4策略路由典型配置指导

1.1.1 组网需求

1.1.2 配置思路

1.1.3 适用产品、版本

1.1.4 配置过程和解释

1.1.5 完整配置

1.1.6 配置注意事项

1.2 通过QoS策略实现IPv6策略路由典型配置指导

1.2.1 组网需求

1.2.2 配置思路

1.2.3 适用产品、版本

1.2.4 配置过程和解释

1.2.5 完整配置

1.2.6 配置注意事项

1 通过QoS策略实现策略路由典型配置指导

策略路由是一种依据用户制定的策略进行路由选择的机制。与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由可以基于到达报文的源地址等信息灵活地进行路由选择。当使用传统路由协议无法满足根据流量特征选择路径的需求时，可以采用策略路由功能来实现。

一般来讲，策略路由的优先级要高于普通路由，即设备在转发报文时，首先将报文与策略路由的匹配规则进行比较，如果符合匹配条件，则按照策略路由进行转发。如果报文无法匹配策略路由的条件，再按照普通路由进行转发。

通过QoS策略实现策略路由是指利用QoS策略的流分类功能来制定细致的匹配规则，并使用流行为中的重定向动作将报文按指定的目的进行转发。QoS策略方式能够实现IPv4、IPv6单播策略路由。

1.1  通过QoS策略实现IPv4策略路由典型配置指导

1.1.1  组网需求

图1-1 通过QoS策略实现IPv4策略路由组网示意图

某公司通过两个SP（Service Provider，服务提供商）的线路接入Internet，公司内管理部和研发部两个部门都有访问Internet的需求。

出于对研发信息的保护，要求研发部门通过SwitchB上行的线路访问Internet，只能访问受限网站且需要通过防火墙的过滤和记录。而管理部可以通过SwitchC接入的SP访问Internet，可以不受限制。

对于研发部经理的主机（IP地址为192.168.0.100），可以通过SwitchC接入的SP访问Internet而不受任何限制。

1.1.2  配置思路

在通过路由协议生成的路由表中，不存在入接口或是源网段的内容，只能为设备提供目的网段对应出接口/下一跳的转发指导。也就是说，设备无法通过路由协议实现将去往相同目的的报文从不同的接口进行转发。

这时，可以通过策略路由的功能，对报文的源IP地址进行匹配，并通过重定向到下一跳的动作，实现对不同数据的分流。

在本例中，可以首先通过路由协议使SwitchA、SwitchB、SwitchC以及各部门主机之间实现互通，然后在SwitchA上配置QoS策略，将源IP地址为两个部门网段的报文，分别重定向到SwitchB和SwitchC上进行转发，同时针对研发经理的主机特别定义流分类规则，将其发送的报文重定向到SwitchC进行转发。

需要注意的是，由于QoS策略中流分类和流行为的配对生效顺序为配置顺序，因此对于研发经理主机的配对需要在对研发部整体网段进行控制的配对之前进行配置，以避免配置失效。

1.1.3  适用产品、版本

表1-1 配置适用的产品与软硬件版本关系

1.1.4  配置过程和解释

l              路由协议的配置

# 根据图1-1配置各设备上的VLAN接口及IP地址，配置过程这里不再赘述。

# 在SwitchA上配置OSPF协议，将本设备上的各直连网段进行发布。

<SwitchA> system-view

[SwitchA] ospf

[SwitchA-ospf-1] area 0

[SwitchA-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255

[SwitchA-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255

[SwitchA-ospf-1-area-0.0.0.0] network 10.10.1.0 0.0.0.255

[SwitchA-ospf-1-area-0.0.0.0] network 10.10.2.0 0.0.0.255

# 在SwitchB上配置OSPF协议，发布本地直连网段。

<SwitchB> system-view

[SwitchB] ospf

[SwitchB-ospf-1] area 0

[SwitchB-ospf-1-area-0.0.0.0] network 10.10.1.0 0.0.0.255

# 在SwitchC上配置OSPF协议，发布本地直连网段。

<SwitchC> system-view

[SwitchC] ospf

[SwitchC-ospf-1] area 0

[SwitchC-ospf-1-area-0.0.0.0] network 10.10.2.0 0.0.0.255

# 配置研发部主机的缺省网关为192.168.0.1，管理部主机的缺省网关为192.168.1.1。

经过上述配置后，请将检查各部门与SwitchB和SwitchC之间是否能够互通，如果可以互通，表示路由协议配置正确，可以继续进行下面的配置。

l              策略路由的配置

# 在SwitchA上创建基本ACL2000，匹配源地址为192.168.0.0/24网段的报文。

[SwitchA] acl number 2000

[SwitchA-acl-basic-2000] rule permit source 192.168.0.0 0.0.0.255

[SwitchA-acl-basic-2000] quit

# 创建基本ACL2001，匹配源地址为192.168.1.0/24网段的报文。

[SwitchA] acl number 2001

[SwitchA-acl-basic-2001] rule permit source 192.168.1.0 0.0.0.255

[SwitchA-acl-basic-2001] quit

# 创建基本ACL2002，匹配源地址为192.168.0.100的报文（即研发经理主机的IP地址）。

[SwitchA] acl number 2002

[SwitchA-acl-basic-2002] rule permit source 192.168.0.100 0.0.0.0

[SwitchA-acl-basic-2002] quit

# 创建流分类rd_internet，定义规则为匹配ACL2000的报文。

[SwitchA] traffic classifier rd_internet

[SwitchA-classifier-rd_internet] if-match acl 2000

[SwitchA-classifier-rd_internet] quit

# 创建流行为rd_internet，动作为重定向到下一跳地址10.10.1.2（SwitchB）。

[SwitchA] traffic behavior rd_internet

[SwitchA-behavior-rd_internet] redirect next-hop 10.10.1.2

[SwitchA-behavior-rd_internet] quit

# 创建流分类admin_internet，定义规则为匹配ACL2001的报文。

[SwitchA] traffic classifier admin_internet

[SwitchA-classifier-admin_internet] if-match acl 2001

[SwitchA-classifier-admin_internet] quit

# 创建流行为admin_internet，动作为重定向到下一跳地址10.10.2.2（SwitchC）。

[SwitchA] traffic behavior admin_internet

[SwitchA-behavior-admin_internet] redirect next-hop 10.10.2.2

[SwitchA-behavior-admin_internet] quit

# 创建流分类rd_mgr_internet，定义规则为匹配ACL2002的报文。

[SwitchA] traffic classifier admin_internet

[SwitchA-classifier-admin_internet] if-match acl 2002

[SwitchA-classifier-admin_internet] quit

# 对于研发经理主机的重定向动作，直接使用市场部主机的流行为admin_internet即可，无需再单独创建。

# 创建QoS策略rd_internet，将匹配研发部门主机的流分类和流行为进行配对。需要注意的是，针对研发经理主机的配对需要在针对整个研发部门的配对之前配置。

[SwitchA] qos policy rd_internet

[SwitchA-qospolicy-rd_internet] classifier rd_mgr_internet behavior admin_internet

[SwitchA-qospolicy-rd_internet] classifier rd_internet behavior rd_internet

[SwitchA-qospolicy-rd_internet] quit

# 创建QoS策略admin_internet，将匹配管理部门主机的流分类和流行为进行配对。

[SwitchA] qos policy admin_internet

[SwitchA-qospolicy-admin_internet] classifier admin_internet behavior admin_internet

[SwitchA-qospolicy-admin_internet] quit

# 将策略rd_internet应用到GigabitEthernet1/0/1端口的入方向。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] qos apply policy rd_internet inbound

[SwitchA-GigabitEthernet1/0/1] quit

# 将策略admin_internet应用到GigabitEthernet1/0/2端口的入方向。

[SwitchA] interface gigabitethernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] qos apply policy admin_internet inbound

[SwitchA-GigabitEthernet1/0/2] quit

1.1.5  完整配置

#

acl number 2000

 rule 0 permit source 192.168.0.0 0.0.0.255

acl number 2001

 rule 0 permit source 192.168.1.0 0.0.0.255

acl number 2002

 rule 0 permit source 192.168.0.100 0

#

traffic classifier admin_internet operator and

 if-match acl 2001

traffic classifier rd_mgr_internet operator and

 if-match acl 2002

traffic classifier rd_internet operator and

 if-match acl 2000

#

traffic behavior admin_internet

 redirect next-hop 10.10.2.2 fail-action forward

traffic behavior rd_internet

 redirect next-hop 10.10.1.2 fail-action forward

#

qos policy admin_internet

 classifier admin_internet behavior admin_internet

qos policy rd_internet

 classifier rd_mgr_internet behavior admin_internet

 classifier rd_internet behavior rd_internet 

#

interface GigabitEthernet1/0/1

 qos apply policy rd_internet inbound

#

interface GigabitEthernet1/0/2

 qos apply policy admin_internet inbound

#

ospf 1

 area 0.0.0.0

  network 192.168.0.0 0.0.0.255

  network 192.168.1.0 0.0.0.255

  network 10.1.1.0 0.0.0.255

  network 10.1.2.0 0.0.0.255

1.1.6  配置注意事项

l              在配置策略路由之前，需要保证各设备之间可以通过正常的路由协议实现互通。

l              配置QoS策略时需要注意流分类和流行为的配对配置顺序，配对的生效顺序与配置顺序相同。

1.2  通过QoS策略实现IPv6策略路由典型配置指导

1.2.1  组网需求

图1-2 通过QoS策略实现IPv6策略路由组网示意图

某公司通过两个SP（Service Provider，服务提供商）的线路接入Internet，公司内管理部和研发部两个部门都有访问Internet的需求。

出于对研发信息的保护，要求研发部门通过SwitchB上行的线路访问Internet，只能访问受限网站且需要通过防火墙的过滤和记录。而管理部可以通过SwitchC接入的SP访问Internet，可以不受限制。

对于研发部经理的主机（IPv6地址为200::30），可以通过SwitchC接入的SP访问Internet而不受任何限制。

1.2.2  配置思路

在通过路由协议生成的路由表中，不存在入接口或是源网段的内容，只能为设备提供目的网段对应出接口/下一跳的转发指导。也就是说，设备无法通过路由协议实现将去往相同目的的报文从不同的接口进行转发。

这时，可以通过策略路由的功能，对报文的源IP地址进行匹配，并通过重定向到下一跳的动作，实现对不同数据的分流。

在本例中，可以首先通过路由协议使SwitchA、SwitchB、SwitchC以及各部门主机之间实现互通，然后在SwitchA上配置QoS策略，将源IP地址为两个部门网段的报文，分别重定向到SwitchB和SwitchC上进行转发，同时针对研发经理的主机特别定义流分类规则，将其发送的报文重定向到SwitchC进行转发。

需要注意的是，由于QoS策略中流分类和流行为的配对生效顺序为配置顺序，因此对于研发经理主机的配对需要在对研发部整体网段进行控制的配对之前进行配置，以避免配置失效。

1.2.3  适用产品、版本

表1-2 配置适用的产品与软硬件版本关系

1.2.4  配置过程和解释

l              路由协议的配置

# 根据图1-1配置各设备上的VLAN接口及IPv6地址，配置过程这里不再赘述。

# 在SwitchA上启动RIPng协议，并在各接口上开启RIPng。

<SwitchA> system-view

[SwitchA] ripng

[SwitchA-ripng-1] quit

[SwitchA] interface vlan-interface 10

[SwitchA-Vlan-interface10] ripng 1 enable

[SwitchA] interface vlan-interface 11

[SwitchA-Vlan-interface11] ripng 1 enable

[SwitchA] interface vlan-interface 20

[SwitchA-Vlan-interface20] ripng 1 enable

[SwitchA] interface vlan-interface 21

[SwitchA-Vlan-interface21] ripng 1 enable

# 在SwitchB上启动RIPng协议，并在Vlan-interface20接口上开启RIPng。

<SwitchB> system-view

[SwitchB] ripng

[SwitchB-ripng-1] quit

[SwitchB] interface vlan-interface 20

[SwitchB-Vlan-interface20] ripng 1 enable

# 在SwitchC上启动RIPng协议，并在Vlan-interface21接口上开启RIPng。

<SwitchC> system-view

[SwitchC] ripng

[SwitchC-ripng-1] quit

[SwitchC] interface vlan-interface 21

[SwitchC-Vlan-interface21] ripng 1 enable

# 配置研发部主机的缺省网关为200::1/64，管理部主机的缺省网关为203::1/64。

经过上述配置后，请将检查各部门与SwitchB和SwitchC之间是否能够互通，如果可以互通，表示路由协议配置正确，可以继续进行下面的配置。

l              策略路由的配置

# 在SwitchA上创建IPv6基本ACL2000，匹配源地址为200::0/64网段的报文。

[SwitchA] acl ipv6 number 2000

[SwitchA-acl6-basic-2000] rule permit source 200::0 64 

[SwitchA-acl6-basic-2000] quit

# 创建IPv6基本ACL2001，匹配源地址为203::0/64网段的报文。

[SwitchA] acl ipv6 number 2001

[SwitchA-acl6-basic-2001] rule permit source 203::0 64 

[SwitchA-acl6-basic-2001] quit

# 创建IPv6基本ACL2002，匹配源地址为200::30/128的报文（即研发经理主机的IP地址）。

[SwitchA] acl ipv6 number 2002

[SwitchA-acl6-basic-2002] rule permit source 200::30 128

[SwitchA-acl6-basic-2002] quit

# 创建流分类rd_internet，定义规则为匹配IPv6基本ACL2000的报文。

[SwitchA] traffic classifier rd_internet

[SwitchA-classifier-rd_internet] if-match acl ipv6 2000

[SwitchA-classifier-rd_internet] quit

# 创建流行为rd_internet，动作为重定向到下一跳地址201::2（SwitchB）。

[SwitchA] traffic behavior rd_internet

[SwitchA-behavior-rd_internet] redirect next-hop 201::2

[SwitchA-behavior-rd_internet] quit

# 创建流分类admin_internet，定义规则为匹配IPv6基本ACL2001的报文。

[SwitchA] traffic classifier admin_internet

[SwitchA-classifier-admin_internet] if-match acl ipv6 2001

[SwitchA-classifier-admin_internet] quit

# 创建流行为admin_internet，动作为重定向到下一跳地址202::2（SwitchC）。

[SwitchA] traffic behavior admin_internet

[SwitchA-behavior-admin_internet] redirect next-hop 202::2

[SwitchA-behavior-admin_internet] quit

# 创建流分类rd_mgr_internet，定义规则为匹配IPv6基本ACL2002的报文。

[SwitchA] traffic classifier admin_internet

[SwitchA-classifier-admin_internet] if-match acl ipv6 2002

[SwitchA-classifier-admin_internet] quit

# 对于研发经理主机的重定向动作，直接使用市场部主机的流行为admin_internet即可，无需再单独创建。

# 创建QoS策略rd_internet，将匹配研发部门主机的流分类和流行为进行配对。需要注意的是，针对研发经理主机的配对需要在针对整个研发部门的配对之前配置。

[SwitchA] qos policy rd_internet

[SwitchA-qospolicy-rd_internet] classifier rd_mgr_internet behavior admin_internet

[SwitchA-qospolicy-rd_internet] classifier rd_internet behavior rd_internet

[SwitchA-qospolicy-rd_internet] quit

# 创建QoS策略admin_internet，将匹配管理部门主机的流分类和流行为进行配对。

[SwitchA] qos policy admin_internet

[SwitchA-qospolicy-admin_internet] classifier admin_internet behavior admin_internet

[SwitchA-qospolicy-admin_internet] quit

# 将策略rd_internet应用到GigabitEthernet1/0/1端口的入方向。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] qos apply policy rd_internet inbound

[SwitchA-GigabitEthernet1/0/1] quit

# 将策略admin_internet应用到GigabitEthernet1/0/2端口的入方向。

[SwitchA] interface gigabitethernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] qos apply policy admin_internet inbound

[SwitchA-GigabitEthernet1/0/2] quit

1.2.5  完整配置

#

acl ipv6 number 2000

 rule 0 permit source 200::/64

acl ipv6 number 2001

 rule 0 permit source 203::/64

acl ipv6 number 2002

 rule 0 permit source 200::30/128

#

traffic classifier admin_internet operator and

 if-match acl ipv6 2001

traffic classifier rd_mgr_internet operator and

 if-match acl ipv6 2002

traffic classifier rd_internet operator and

 if-match acl ipv6 2000

#

traffic behavior admin_internet

 redirect next-hop 202::2 fail-action forward

traffic behavior rd_internet

 redirect next-hop 201::2 fail-action forward

#

qos policy admin_internet

 classifier admin_internet behavior admin_internet

qos policy rd_internet

 classifier rd_mgr_internet behavior admin_internet

 classifier rd_internet behavior rd_internet 

#

interface Vlan-interface10

 ripng 1 enable

#

interface Vlan-interface11

 ripng 1 enable

#

interface Vlan-interface20

 ripng 1 enable

#

interface Vlan-interface21

 ripng 1 enable

#

interface GigabitEthernet1/0/1

 qos apply policy rd_internet inbound

#

interface GigabitEthernet1/0/2

 qos apply policy admin_internet inbound

#

ripng 1

1.2.6  配置注意事项

l              在配置策略路由之前，需要保证各设备之间可以通过正常的路由协议实现互通。

l              配置QoS策略时需要注意流分类和流行为的配对配置顺序，配对的生效顺序与配置顺序相同。