华为模拟器采用PBR完美实现接口策略实验
相信有很多朋友在学习华为HCIP阶段时会遇到这么一个问题:无法通过华为模拟器的PBR命令来实现接口策略的实验。
那么今天我就来给看到本文的读者进行答疑解惑。
首先我们先要了解下策略路由的定义以及分类。
策略路由PBR:其是一种依据用户制定的策略进行路由选择的机制。通俗话理解就是在路由表前,设置了一个类似“防火墙”的东西,转发的路由先查看“防火墙”里面的规则;如果路由匹配上这个“防火墙”的内容,则就走“防火墙”规定的路线进行转发,如果没有匹配上这个“防火墙”的内容,那么就按照路由表的转发路径进行转发;而这个“防火墙”就是策略路由制定的规则。
而策略路由的分类:其分为本地策略路由、接口策略路由和智能策略路由,而今天我们重点讲解接口策略路由。
所谓接口策略路由就是:其只对转发的报文起作用,对本地下发的报文(比如本地的ping报文)不起作用。
具体实验验证看下图:
图1
拓扑图阐述:美国有四大情报机构,其中最出名的两个情报机构,一个是CIA,另一个是FBI,那么他们都可以单独向美国白宫汇报相应的情报。此时网络底层都部署ospf协议,并且将R1的接口G0/0/1的ospf开销值改为100,那么这就导致CIA和FBI访问美国白宫都走同一条链路R1-R2-R4,这样传输是及其不安全的,那么我们如果在不改变设备路由表内容的前提下,让CIA和FBI访问白宫走不同的线路呢?那么此时我们要用到PBR的接口策略
大家想做这个实验,那么前提必须让R1使用ensp中的Router型号的路由器,如下图所示
图2
首先第一步:将R1的接口G0/0/1的cost值改为100,让CIA和FBI都走一边即R1-R2-R4
[R1-GigabitEthernet0/0/1]ospf cost 100
此时测试CIA访问美国白宫的路径:R1-R2-R4
此时测试FBI访问美国白宫的路径:R1-R2-R4
第二步:通过acl匹配CIA访问白宫的数据流策略路由,同理通过acl匹配FBI访问白宫的数据流并做PBR策略路由
[R1]dis acl all
Total nonempty ACL number is 2
Advanced ACL 3000, 1 rule
ACL's step is 5
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 (0 ti
mes matched)
Advanced ACL 3001, 1 rule
ACL's step is 5
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 (0 ti
mes matched)
[R1]dis cur configuration policy-based-route
policy-based-route fanyun permit node 10
if-match acl 3000
apply ip-address next-hop 12.1.1.2
policy-based-route fanyun permit node 20
if-match acl 3001
apply ip-address next-hop 13.1.1.3
最后一步:在R1的接口上使能接口策略路由
[R1-Ethernet0/0/1]ip policy-based-route fanyun
[R1-Ethernet0/0/0]ip policy-based-route fanyun
最终测试:
CIA访问白宫的路线是R1-R2-R4
FBI访问白宫的路线是R1-R3-R4
如果大家想要获取配置文件的话,大家可以留言或者加入下面微信号!