学习链接:https://support.huawei.com/enterprise/zh/doc/EDOC1000069432?section=j00f
策略路由与路由策略(Routing Policy)存在以下不同:
- 策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。
- 路由策略的操作对象是路由信息。路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
目的
传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。配置策略路由可以将到达接口的三层报文重定向到指定的下一跳地址。
前置任务
在配置策略路由前,需要完成以下任务:
-
配置相关接口的IP地址和路由协议,保证路由互通。
-
如果使用ACL作为策略路由的流分类规则,配置相应的ACL。
背景信息
早先已经对接了一个BGP网络,故交换机已经配置了一个默认网关;
现因业务需要,新增了一段电信IP。
BGP网络和电信网络分别是通过不同内网IP互联互通,简单的默认路由没办法同时配置两段公网。
所以想到用策略路由方式:源IP为电信IP段的数据包,重定向到电信网络的内网互联IP。
配置思路
采用重定向方式实现策略路由,进而提供差分服务,具体配置思路如下:
- 创建VLAN并配置各接口,实现公司和外部网络设备互连。
- 配置ACL规则,匹配源IP地址为电信IP段的报文。
- 配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。
- 配置流行为,使满足电信数据包规则的报文重定向到上联运营商172.16.5.137。
- 配置流策略,绑定上述流分类和流行为,并应用到接口vlan if 901的入方向上,实现策略路由。
操作步骤
#先创建vlan 用于电信网络
<Nxera-YC> system-view
[Nxera-YC] sysname Switch
[Nxera-YC] vlan 901
#创建VLANIF901,并配置各虚拟接口IP地址。
[Nxera-YC] int vlan 901 [Nxera-YC-vlan901] ip addr 1XX.1XX.2XX.1 24
[Nxera-YC-vlan901] quit
#在Switch上创建编码为3002的高级ACL,规则允许源IP地址为1XX.1XX.2XX.0/24的报文通过。
[Nxera-YC] acl 3002
[Nxera-YC-acl-adv-3002] rule permit ip source 1XX.1XX.2XX.0 0.0.0.255
[Nxera-YC-acl-adv-3002] quit
#在Switch上创建流分类c2,匹配规则ACL 3002。
[Nxera-YC] traffic classifier c2 operator or
[Nxera-YC-classifier-c2] if-match acl 3002
[Nxera-YC-classifier-c2] quit
#在Switch上创建流行为b2,指定重定向到172.16.5.137的动作。
[Nxera-YC] traffic behavior b2
[Nxera-YC-behavior-b2] redirect ip-nexthop 172.16.5.137
[Nxera-YC-behavior-b2] quit
# 在Switch上创建流策略p2,将流分类和对应的流行为进行绑定。
[Nxera-YC] traffic policy p2
[Nxera-YC-trafficpolicy-p1] classifier c2 behavior b2
[Nxera-YC-trafficpolicy-p1] quit
# 将流策略p2应用到接口vlan if 901的入方向上。
[Nxera-YC] int vlan 901
[Nxera-YC-vlan901] traffic-policy p2 inbound
[Nxera-YC-vlan901] return
验证配置结果(可以参考官文中的验证方法)
# 查看ACL规则的配置信息。
<Switch> display acl 3001
Advanced ACL 3001, 1 rule
Acl's step is 5
rule 5 permit ip source 192.168.100.0 0.0.0.255 (match-counter 0)
<Switch> display acl 3002
Advanced ACL 3002, 1 rule
Acl's step is 5
rule 5 permit ip source 192.168.101.0 0.0.0.255 (match-counter 0)
# 查看流分类的配置信息。
<Switch> display traffic classifier user-defined
User Defined Classifier Information:
Classifier: c2
Precedence: 10
Operator: OR
Rule(s) :if-match acl 3002
Classifier: c1
Precedence: 5
Operator: OR
Rule(s) : if-match acl 3001
Total classifier number is 2
# 查看流策略的配置信息。
<Switch> display traffic policy user-defined p1
User Defined Traffic Policy Information:
Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
Redirect: no forced
Redirect ip-nexthop
10.1.20.1
Classifier: c2
Operator: OR
Behavior: b2
Redirect: no forced
Redirect ip-nexthop
10.1.30.1