国家 / 地区

07-三层技术-IP路由配置举例

03-H3C_策略路由典型配置举例

本章节下载  (207.37 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/CR/CR16000-F/Configure/Typical_Configuration_Example/H3C_CR16000-F_CE-R7951P01-6W100/07/202003/1276429_30005_0.htm

03-H3C_策略路由典型配置举例

H3C 策略路由配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W100-20200306

产品版本:Release 7951P01

 

Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍了策略路由的配置举例。

普通报文是根据目的IP地址来查找路由表转发的,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP优先级、协议类型等字段灵活地进行路由选择。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解策略路由特性。

3  使用限制

·     本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用,指导其转发,对本地产生的报文不起作用;

·     配置重定向到下一跳时,不能将IPv4规则重定向到IPv6地址,反之亦然。

4  IPv4策略路由配置举例

4.1  组网需求

图1所示,缺省情况下,Device的接口GigabitEthernet 3/1/1上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。

现要求在Device上配置IPv4策略路由,对于访问Server的报文实现如下要求:

(1)     首先匹配接口GigabitEthernet 3/1/1上收到的源IP地址为10.2.1.1的报文,将该报文的下一跳重定向到10.5.1.2

(2)     其次匹配接口GigabitEthernet 3/1/1上收到的HTTP报文,将该报文的下一跳重定向到10.3.1.2。

图1 IPv4策略路由特性典型配置组网图

 

 

4.2  配置思路

·     为了确保能同时满足对于两种不同类型的报文重定向到不同的下一跳,需要配置两个访问控制列表,一个用于匹配接口GigabitEthernet 3/1/1上收到的源IP地址为10.2.1.1的报文,另一个用于匹配接口GigabitEthernet 3/1/1上收到的HTTP报文,并在策略路由中创建两个节点,分别对匹配上的报文进行重定向;

·     同一条策略路由中,创建的节点编号越小,优先级越高。为了确保接口GigabitEthernet 3/1/1上收到源IP地址为10.2.1.1的HTTP报文下一跳能优先被重定向到10.5.1.2,需要在策略路由中配置该策略使用较小的节点编号(本例中使用0号节点,另一策略使用1号节点)。

4.3  配置步骤

# 配置接口GigabitEthernet 3/1/1的IP地址。

<Device> system-view

[Device] interface gigabitethernet 3/1/1

[Device-GigabitEthernet3/1/1] ip address 10.1.2.1 255.255.255.0

[Device-GigabitEthernet3/1/1] quit

# 请参考以上方法配置图1中其它接口的IP地址,配置步骤这里省略。

# 配置静态路由,指定发往192.168.1.0/24的报文,下一跳为10.4.1.2。

[Device] ip route-static 192.168.1.0 24 10.4.1.2

# 定义访问控制列表ACL 3005,用于匹配源IP地址为10.2.1.1的报文。

[Device] acl advanced 3005

[Device-acl-ipv4-adv-3005] rule 0 permit ip source 10.2.1.1 0

[Device-acl-ipv4-adv-3005] quit

# 定义访问控制列表ACL 3006,用于匹配HTTP报文。

[Device] acl advanced 3006

[Device-acl-ipv4-adv-3006] rule 0 permit tcp destination-port eq www

[Device-acl-ipv4-adv-3006] quit

# 创建策略路由pbr1的0号节点,将匹配ACL 3005的报文下一跳重定向到10.5.1.2。

[Device] policy-based-route pbr1 permit node 0

[Device-pbr-pbr1-0] if-match acl 3005

[Device-pbr-pbr1-0] apply next-hop 10.5.1.2

[Device-pbr-pbr1-0] quit

# 创建策略路由pbr1的1号节点,将匹配ACL 3006的报文下一跳重定向到10.3.1.2。

[Device] policy-based-route pbr1 permit node 1

[Device-pbr-pbr1-1] if-match acl 3006

[Device-pbr-pbr1-1] apply next-hop 10.3.1.2

[Device-pbr-pbr1-1] quit

# 在Device的接口GigabitEthernet 3/1/1上应用策略。

[Device] interface gigabitethernet 3/1/1

[Device-GigabitEthernet3/1/1] ip policy-based-route pbr1

[Device-GigabitEthernet3/1/1] quit

4.4  验证配置

通过display ip policy-based-route命令可以查看到当前策略路由配置已经配置成功:

[Device] display ip policy-based-route policy pbr1

Policy name: pbr1

  node 0 permit:

    if-match acl 3005

    apply next-hop 10.5.1.2

  node 1 permit:

    if-match acl 3006

    apply next-hop 10.3.1.2

# 通过tracert命令查看以下报文的转发路径(使用Tracert功能需要在中间设备上开启ICMP超时报文发送功能,在目的端开启ICMP目的不可达报文发送功能):

·     源IP为10.1.1.1的非HTTP报文,根据路由表进行转发,下一跳为10.4.1.2。

<Router> tracert -a 10.1.1.1 192.168.1.1

traceroute to 192.168.1.1 (192.168.1.1) from 10.1.1.1, 30 hops at most, 40 bytes

 each packet, press CTRL_C to break

 1  10.1.2.1 (10.1.2.1)  2.178 ms  1.364 ms  1.058 ms

 2  10.4.1.2 (10.4.1.2)  1.548 ms  1.248 ms  1.112 ms

 3  192.168.1.1 (192.168.1.1)  1.594 ms  1.321 ms  1.093 ms

·     源IP为10.2.1.1的报文,重定向到10.5.1.2进行转发。

<Router> tracert -a 10.2.1.1 192.168.1.1

traceroute to 192.168.1.1 (192.168.1.1) from 10.2.1.1, 30 hops at most, 40 bytes

 each packet, press CTRL_C to break

 1  10.1.2.1 (10.1.2.1)  1.721 ms  1.226 ms  1.050 ms

 2  10.5.1.2 (10.5.1.2)  4.494 ms  1.385 ms  1.170 ms

 3  192.168.1.1 (192.168.1.1)  1.448 ms  1.304 ms  1.093 ms

4.5  配置文件

#

policy-based-route pbr1 permit node 0

 if-match acl 3005

 apply next-hop 10.5.1.2

#

policy-based-route pbr1 permit node 1

 if-match acl 3006

 apply next-hop 10.3.1.2

#

interface GigabitEthernet3/1/1

port link-mode route

 ip address 10.1.2.1 255.255.255.0

 ip policy-based-route pbr1

#

interface GigabitEthernet3/1/3

port link-mode route

 ip address 10.3.1.1 255.255.255.0

#

interface GigabitEthernet3/1/4

port link-mode route

 ip address 10.4.1.1 255.255.255.0

#

interface GigabitEthernet3/1/5

port link-mode route

 ip address 10.5.1.1 255.255.255.0

#

 ip route-static 192.168.1.0 24 10.4.1.2

#

acl advanced 3005

 rule 0 permit ip source 10.2.1.1 0

#

acl advanced 3006

 rule 0 permit tcp destination-port eq www

#

5  IPv6策略路由配置举例

5.1  组网需求

图2所示缺省情况下,Device的接口GigabitEthernet 3/1/1上收到的所有访问Server的报文根据路由表转发的下一跳均为2004::2。

现要求在Device上配置IPv4策略路由,对于访问Server的报文实现如下要求:

(1)     首先匹配接口GigabitEthernet 3/1/1上收到的源IPv6地址为2002::1的报文,将该报文的下一跳重定向到2005::2;

(2)     其次匹配接口GigabitEthernet 3/1/1上收到的HTTP报文,将该报文的下一跳重定向到2003::2。

图2 IPv6策略路由特性典型配置组网图

 

 

5.2  配置思路

·     为了确保能同时满足对于两种不同类型的报文重定向到不同的下一跳,需要配置两个访问控制列表,一个用于匹配接口GigabitEthernet 3/1/1上收到的源IPv6地址为2002::1的报文,另一个用于匹配接口GigabitEthernet 3/1/1上收到的HTTP报文,并在策略路由中创建两个节点,分别对匹配上的报文进行重定向;

·     同一条策略路由中,创建的节点编号越小,优先级越高。为了确保接口GigabitEthernet 3/1/1上收到源IPv6地址为2002::1的HTTP报文下一跳能优先被重定向到2005::2,需要在策略路由中配置该策略使用较小的节点编号(本例中使用0号节点,另一策略使用1号节点)。

5.3  配置步骤

#配置接口GigabitEthernet 3/1/1的IPv6地址。

<Device> system-view

[Device] interface gigabitethernet 3/1/1

[Device-GigabitEthernet3/1/1] ipv6 address 2007::1 64

[Device-GigabitEthernet3/1/1] quit

#请参考以上方法配置图2中其它接口的IPv6地址,配置步骤这里省略。

# 配置静态路由,指定发往3001::/64的报文,下一跳为2004::2/64。

[Device] ipv6 route-static 3001:: 64 2004::2

# 定义IPv6访问控制列表IPv6 ACL 3005,用于匹配源IPv6地址为2002::1的报文。

[Device] acl ipv6 advanced 3005

[Device-acl-ipv6-adv-3005] rule 0 permit ipv6 source 2002::1/128

[Device-acl-ipv6-adv-3005] quit

# 定义IPv6访问控制列表IPv6 ACL 3006,用于匹配GigabitEthernet 3/1/1端口上收到的HTTP报文。

[Device] acl ipv6 advanced 3006

[Device-acl-ipv6-adv-3006] rule 0 permit tcp destination-port eq www

[Device-acl-ipv6-adv-3006] quit

# 创建IPv6策略路由pbr1的0号结点,将匹配IPv6 ACL 3005的报文下一跳重定向到2005::2

[Device] ipv6 policy-based-route pbr1 permit node 0

[Device-pbr6-pbr1-0] if-match acl 3005

[Device-pbr6-pbr1-0] apply next-hop 2005::2

[Device-pbr6-pbr1-0] quit

# 创建IPv6策略路由pbr1的1号结点,将匹配IPv6 ACL 3006的报文下一跳重定向到2003::2

[Device] ipv6 policy-based-route pbr1 permit node 1

[Device-pbr6-pbr1-1] if-match acl 3006

[Device-pbr6-pbr1-1] apply next-hop 2003::2

[Device-pbr6-pbr1-1] quit

# 在Device的接口GigabitEthernet 3/1/1上应用策略。

[Device] interface gigabitethernet 3/1/1

[Device-GigabitEthernet3/1/1] ipv6 policy-based-route pbr1

[Device-GigabitEthernet3/1/1] quit

5.4  验证配置

通过display ipv6 policy-based-route命令可以查看到当前IPv6策略路由配置已经生效:

[Device] display ipv6 policy-based-route policy pbr1

Policy name: pbr1

  node 0 permit:

    if-match acl 3005

    apply next-hop 2005::2

  node 1 permit:

    if-match acl 3006

    apply next-hop 2003::2

当Device收到源IPv6地址为2002::1的报文时,有如下结果:

·     当2005::2可达时,报文被重定向到2005::2;

·     当2005::2不可达时,报文会根据普通的路由表转发到下一跳2004::2。

当Device收到HTTP报文时,有如下结果:

·     当2003::2可达时,报文被重定向到2003::2;

·     当2003::2不可达时,报文会根据普通的路由表转发到下一跳2004::2。

5.5  配置文件

#

ipv6 policy-based-route pbr1 permit node 0

 if-match acl 3005

 apply next-hop 2005::2

#

ipv6 policy-based-route pbr1 permit node 1

 if-match acl 3006

 apply next-hop 2003::2

#

interface GigabitEthernet3/1/1

port link-mode route

 ipv6 policy-based-route pbr1

 ipv6 address 2007::1/64

#

interface GigabitEthernet3/1/3

port link-mode route

 ipv6 address 2003::1 64

#

interface GigabitEthernet3/1/4

port link-mode route

 ipv6 address 2004::1 64

#

interface GigabitEthernet3/1/5

port link-mode route

 ipv6 address 2005::1 64

#

 ipv6 route-static 3001:: 64 2004::2

#

acl ipv6 advanced 3005

 rule 0 permit ipv6 source 2002::1/128

#

acl ipv6 advanced 3006

 rule 0 permit tcp destination-port eq www

#

6  相关资料

·     H3C CR16000-F路由器  三层技术-IP路由配置指导-Release 7951P01

·     H3C CR16000-F路由器  三层技术-IP路由命令参考-Release 7951P01

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!