策略路由-企业网多出口

本次客户的实验需求：

《双互联网接入技术应用研究》

       为保障网络的稳定性、可靠性、流畅性，许多单位、企业会选择多运营商接入互联网，既能够实现互相的冗余，又能够根据不同的流量进行负载分担，尤其是对不同运营商数据中心的访问，可以实现智能选路，例如访问电信的数据中心流量从电信出口，访问联通数据中心的流量从联通的出口出。

客户去求做一个小场景实验，我设计的拓扑如下，我不建议大家用防火墙做策略路由，主要因为ensp的路由器bug，期初我的想法是用AR系列路由在公司出口通过负载缺省路由+nat的方式做PBR，这样效果更符合些，后来发现，AR系列的PBR策略不能在接口下调用，只能调用在全局，但全局不生效，我改用R系列，那么R系列的bug就是nat没有效果，所以，最后我为了实现PBR的效果改用R系列路由器，省去了nat。

如果有PBR且NAT需求的铁铁，这里出口设备改用usg6000v防火墙，防火墙二者都可以实现。

话不多说，上完整配置：

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw2
[sw2]vlan ba 10 20 
[sw2]inte e0/0/1
[sw2-Ethernet0/0/1]po link ac
[sw2-Ethernet0/0/1]po de vlan 10 
[sw2-Ethernet0/0/1]inte e0/0/2
[sw2-Ethernet0/0/2]po link ac
[sw2-Ethernet0/0/2]po de vlan 20
[sw2-Ethernet0/0/2]inte e0/0/3
[sw2-Ethernet0/0/3]po link tr
[sw2-Ethernet0/0/3]po tr al vlan 10 20  

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw3
[sw3]vlan ba 30 40 
[sw3]inte e0/0/1
[sw3-Ethernet0/0/1]po link ac
[sw3-Ethernet0/0/1]po de vlan 30 
[sw3-Ethernet0/0/1]inte e0/0/2
[sw3-Ethernet0/0/2]po link ac
[sw3-Ethernet0/0/2]po de vlan 40
[sw3-Ethernet0/0/2]inte e0/0/3
[sw3-Ethernet0/0/3]po link tr
[sw3-Ethernet0/0/3]po tr al vlan 30 40

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw1
[sw1]vlan ba 10 20 30 40 100
[sw1]stp ro pr  
[sw1]inte g0/0/1
[sw1-GigabitEthernet0/0/1]po link tr
[sw1-GigabitEthernet0/0/1]po tr al vlan 10 20
[sw1-GigabitEthernet0/0/1]inte g0/0/2
[sw1-GigabitEthernet0/0/2]po link tr
[sw1-GigabitEthernet0/0/2]po tr al vlan 30 40  
[sw1-GigabitEthernet0/0/2]inte g0/0/3
[sw1-GigabitEthernet0/0/3]po link ac
[sw1-GigabitEthernet0/0/3]po de vlan 100 
[sw1-GigabitEthernet0/0/3]inte vlan 10 
[sw1-Vlanif10]ip add 192.168.10.254 24
[sw1-Vlanif10]inte vlan 20 
[sw1-Vlanif20]ip add 192.168.20.254 24
[sw1-Vlanif20]inte vlan 30 
[sw1-Vlanif30]ip add 192.168.30.254 24
[sw1-Vlanif30]inte vlan 100
[sw1-Vlanif100]ip add 192.168.0.2 30
[sw1-Vlanif100]ip route-sta 0.0.0.0 0 192.168.0.1

扫描二维码关注公众号，回复： 17187426 查看本文章

[Huawei]sys R2
[R2]un in en 
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0] ip address 100.1.1.2 255.255.255.252 
[R2-GigabitEthernet0/0/0]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1] ip address 200.1.1.2 255.255.255.252 
[R2-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[R2-GigabitEthernet0/0/2] ip address 192.168.0.1 255.255.255.252 
[R2-GigabitEthernet0/0/2]q
[R2]ip route-static 192.168.0.0 255.255.0.0 192.168.0.2
[R2]ospf 
[R2-ospf-1]ar 0 
[R2-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0]net 200.1.1.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0]q
[R2-ospf-1]im static 
[R2-ospf-1]q

配置pbr的匹配流量
[R2]acl number 3000  
[R2-acl-adv-3000] rule 5 permit ip source 192.168.10.0 0.0.0.255  
[R2-acl-adv-3000] rule 10 permit ip source 192.168.30.0 0.0.0.255 
[R2-acl-adv-3000]acl number 3001  
[R2-acl-adv-3001] rule 5 permit ip source 192.168.20.0 0.0.0.255 
[R2-acl-adv-3001] rule 10 permit ip source 192.168.40.0 0.0.0.255 
[R2-acl-adv-3001]q

pbr策略，最后在流量的入接口调用即可
[R2]policy-based-route huawei permit node 10
[R2-policy-based-route-huawei-10] if-match acl 3000
[R2-policy-based-route-huawei-10] apply ip-address next-hop 100.1.1.1  
[R2-policy-based-route-huawei-10]policy-based-route huawei permit node 20
[R2-policy-based-route-huawei-20] if-match acl 3001
[R2-policy-based-route-huawei-20] apply ip-address next-hop 200.1.1.1  
[R2-policy-based-route-huawei-20]inte g0/0/2
[R2-GigabitEthernet0/0/2]ip policy-based-route huawei 

<Huawei>sys
[Huawei]un in en
[Huawei]sys AR2
[AR2]inte g0/0/0
[AR2-GigabitEthernet0/0/0]ip ad 100.1.1.1 30 
[AR2-GigabitEthernet0/0/0]inte g0/0/1
[AR2-GigabitEthernet0/0/1]ip ad 100.1.1.6 30
[AR2-GigabitEthernet0/0/1]ospf 
[AR2-ospf-1]
[AR2-ospf-1]ar 0 
[AR2-ospf-1-area-0.0.0.0]net 100.1.1.4 0.0.0.3
[AR2-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.3

<Huawei>sys
[Huawei]un in en
[Huawei]sys AR3
[AR3]inte g0/0/0
[AR3-GigabitEthernet0/0/0]ip ad 200.1.1.1 30 
[AR3-GigabitEthernet0/0/0]inte g0/0/1
[AR3-GigabitEthernet0/0/1]ip ad 200.1.1.6 30
[AR3-GigabitEthernet0/0/1]ospf 
[AR3-ospf-1]ar 0 
[AR3-ospf-1-area-0.0.0.0]net 200.1.1.0 0.0.0.3
[AR3-ospf-1-area-0.0.0.0]net 200.1.1.4 0.0.0.3

<Huawei>sys
[Huawei]un in en
[Huawei]sys R1
[R1]inte g0/0/0
[R1-GigabitEthernet0/0/0]ip ad 100.1.1.5 30 
[R1-GigabitEthernet0/0/0]inte g0/0/1
[R1-GigabitEthernet0/0/1]ip ad 200.1.1.5 30
[R1-GigabitEthernet0/0/1]inte loop0
[R1-LoopBack0]ip ad 100.100.100.100 32
[R1-LoopBack0]ospf 
[R1-ospf-1]ar 0 
[R1-ospf-1-area-0.0.0.0]net 100.1.1.4 0.0.0.3
[R1-ospf-1-area-0.0.0.0]net 200.1.1.4 0.0.0.3
[R1-ospf-1-area-0.0.0.0]net 100.100.100.100 0.0.0.0

实验现象