精华内容
下载资源
问答
  • 华为策略路由配置实例.doc
  • 华为策略路由配置

    2016-02-05 16:31:00
    华为策略路由配置步骤: (1)配置ACL [quidway]acl number 3999 [quidway-acl-adv-3999]rule 5 permit ip destination 200.0.0.0 0.255.255.255 (2)创建流分类 traffic classifier chenfei_p1 if-match acl ...

    华为策略路由配置步骤:

    (1)配置ACL

    [quidway]acl number 3999

    [quidway-acl-adv-3999]rule 5 permit ip destination 200.0.0.0 0.255.255.255

    (2)创建流分类

    traffic classifier  chenfei_p1

    if-match acl 3999

    (3) 创建流行为

     traffic behavior chenfei_b1

    redirect  ip next-hop 200.2.0.2

    (4)创建流策略

    traffic policy chenfei_p1

    classifier  chenfei_p1 behavior chenfei_b1

    (5)接口应用流策略

    interface xg2/0/4

    traffic-policy chenfei_p1 inbound

    转载于:https://www.cnblogs.com/felix1225/p/5183305.html

    展开全文
  • 华为策略路由原理与实验

    千次阅读 2021-01-20 18:32:37
    策略路由PBR是一种依据用户制定的策略进行路由选择的机制,分为本地策略路由、接口策略路由和智能策略路由SPR。本课程仅讨论本地策略路由。 IP单播策略路由具有如下优点: 可以根据用户实际需求制定策略进行路由...

    概述:

    在这里插入图片描述
    策略路由PBR是一种依据用户制定的策略进行路由选择的机制,分为本地策略路由、接口策略路由和智能策略路由SPR。本课程仅讨论本地策略路由。
    IP单播策略路由具有如下优点:

    1. 可以根据用户实际需求制定策略进行路由选择,增强路由选择的灵活性和可控性。
    2. 可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。
    3. 在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务的成本。

    其他特点:

    1. 策略路由优先性高于查路由表。
    2. 本地或者接口策略路由一般是使用ACL进行匹配,不能通过其他过滤器进行匹配。

    策略路由和路由策略的区别:

    在这里插入图片描述

    本地策略路由(PBR):

    在这里插入图片描述

    仅仅对本机发送的报文(如本地ping报文)报文的策略路由,对转发的报文不起作用。一条本地策略路由可以配置多个策略点,并且这些策略点具体点。本地策略路由支持基于ACL或报文长度的匹配规则。

    匹配顺序:
    如果找到了匹配的本地策略路由节点,则按照以下步骤发送报文:

    1. 查看用户是否设置了报文的优先级。
      • 如果用户设置了报文的优先级,首先根据用户设置的优先级设置报文的优先级,然后继续向下执行.
      • 如果用户未设置报文的优先级,则继续向下执行。
    2. 查看用户是否设置了本地策略路由的出接口。
      • 如果用户设置了出接口,则将报文从出接口发送出去,不再继续执行下面的步骤。
      • 如果用户未设置出接口,则继续向下执行。
      在这里插入图片描述
    3. 查看用户是否设置了本地策略路由的下一跳(注意:图上没有画出来)(用户可以设置两个下一跳以达到负载分担的目的)。
      • 如果用户设置了策略路由的下一跳,则将报文发往下一跳,不再继续执行下面的步骤。
      • 如果用户未设置下一跳,则按照正常流程根据报文的目的地址查找路由。如果没有查找到路由,则继续向下执行。
      在这里插入图片描述
    4. 查看用户是否设置了本地策略路由的缺省出接口。
      • 如果用户设置了缺省出接口,则将报文从缺省出接口发送出去,不再继续执行下面的步骤。
      • 如果用户未设置缺省出接口,则继续执行。
      在这里插入图片描述
    5. 查看用户是否设置了本地策略路由的缺省下一跳。
      • 如果用户设置了缺省下一跳,则将报文发往缺省下一跳,不再继续执行下面的步骤。
      • 如果用户未设置缺省下一跳,则继续执行。
      在这里插入图片描述
    6. 丢弃报文,产生ICMP_UNREACH 消息。

    如果没有找到匹配的本地策略路由节点,按照发送IP报文的一般流程,根据目的地址查找路由。

    实验:
    在这里插入图片描述
    一、目的:
    让R1到R4的报文从的流向全部走R2。

    二、本地策略路由的配置:

    1. 创建一个本地策略路由。
    2. 通过apply命令配置本地策略路由的动作。
    3. 在系统视图下全局应用前面创建本地策略路由。

    现在已经在R1,R2,R3,R4四个路由器上启用了OSPF,我们用R1pingR4的回环口,现在查看R1去往R4的路由条目:
    在这里插入图片描述
    去往R4的流量进行负载分担,但是模拟器相同流的流量只会走一边,我们用tracert命令进行测试,走的是R2到达R4的。
    在这里插入图片描述
    因为ping流量是自己发出的,我们使用的就是本地策略路由:(和路由策略相似)

    首先创建ACL匹配去往R4的流量:
    acl number 3000
    rule 5 permit ip destination 4.4.4.4 0
    配置本地策略路由:
    policy-based-route R4 permit node 1 //取名字为R4,节点为1,动作为允许
    if-match acl 3000 //匹配ACL
    apply output-interface GigabitEthernet0/0/0 //指定流量的出接口
    在系统视图下进行应用:
    ip local policy-based-route R4
    现在我们进行查看流量走向是否改变了:R1发送的流量从R3到R4改变成了R2到R4,修改成功。
    在这里插入图片描述
    查看命令:
    在这里插入图片描述
    三、总结:
    本地策略路由可以设置流量的出接口>下一跳>默认出接口>默认下一跳,当下一跳没有设置,就按照路由表进行转发了,如果没有路由表,再按照默认设置的出接口和下一跳进行转发,最后没有转发才丢弃。

    接口策略路由(traffic-policy):

    接口策略路由刚刚与本地策略路由相反,它仅对转发的报文起作用,对本地发送的报文起作用,且只对接口入方向的报文问生效。

    相应配置:

    一、定义流分类

    1. 执行命令traffic classifier classifier-name [ type { and | or } ],创建一个流分类并进入流分类视图,或进入已存在的流分类视图。
      and表示流分类中各规则之间关系为“逻辑与”,指定该逻辑关系后:
      • 当流分类中有ACL规则时,报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类;
      • 当流分类中没有ACL规则时,则报文必须匹配所有非ACL规则才属于该类。
      or表示流分类各规则之间是“逻辑或”,即报文只需匹配流分类中的一个或多个规则即属于该类。缺省情况下,流分类中各规则之间的关系为“逻辑或”。

    2. 匹配对应流。
      If-match xxx //对于过滤器,只能匹配ACL,但是可以匹配其他的信息
      在这里插入图片描述

    二、配置流重定向

    执行命令traffic behavior behavior-name,创建一个流行为并进入流行为视图,或进入已存在的流行为视图。

    请根据实际需要进行如下配置:
    执行命令redirect [ vpn-instance vpn-instance-name ] nexthop ip-address &<1-16> [ fail-action discard ]或redirect ipv6 [ vpn-instance vpn-instance-name ] nexthop ipv6-address &<1-16> [ fail-action discard ],配置单个重定向到下一跳的IP地址的动作。该动作仅在进行三层转发时生效。
    在这里插入图片描述
    当存在多个下一跳时,设备按照主备方式对报文进行重定向转发。设备根据下一跳的配置顺序确定主备链路,先配置的下一跳IP地址优先级较高。配置的第一个下一跳IP地址作为主用链路,其它链路作为备用链路。当主用链路Down之后,则自动选取优先级高的下一跳作为新的主链路。当高优先级的链路恢复后,流量会从低优先级链路切换到高优先级的链路上;当重定向的所有链路都不可用时,报文将根据目的地址找出接口进行转发。
    缺省情况下,如果配置的所有下一跳均不可达,则报文按照原来的目的地址转发。如果配置了fail-action discard参数,则如果配置的所有下一跳均不可达,则丢弃报文。

    三、配置流策略

    执行命令traffic policy policy-name,创建一个流策略并进入流策略视图,或进入已存在的流策略视图。
    执行命令classifier classifier-name behavior behavior-name [ precedence precedence-value ],在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。

    四、应用流策略

    执行命令interface interface-type interface-number,进入接口视图。
    执行命令traffic-policy policy-name inbound,在接口上应用流策略。

    实验:

    在这里插入图片描述

    一、目的
    我们依然保证了全网互通,现在需要完成R5到R1回环口的通信,R5的流量会通过R4,需要在R4上进行流量分流的选择:已经按流的形式进行了负载分担,现在要让所有流量都走R4->R3->R1。
    在这里插入图片描述
    目前流量的走向:R4->R2->R1。
    在这里插入图片描述

    二、具体步骤:

    因为我们在R4上进行流量的选路,改变的是R5的流量,所以使用的是接口策略路由:使得R5到R1的流量走R4,R3到R1。

    首先配置ACL匹配去往R1的流量:
    acl number 3000
    rule 5 permit ip destination 1.1.1.1 0

    配置接口策略路由:
    traffic classifier R1 operator or //配置流量的类型,匹配默认是or,也就是匹配到其中一个acl即可,可以配置多个acl
    if-match acl 3000

    traffic behavior R1 //配置流量对应的行为
    redirect ip-nexthop 10.1.4.3 //下一跳为R3的接口

    traffic policy R1 //定义一个策略
    classifier R1 behavior R1 //将流量和行为关联起来
    [R4-GigabitEthernet0/0/2]traffic-policy R1 inbound //进入流量的入接口将策略进行应用

    最后在R5上进行测试:走的是R4,R3, R1,表示已经运行成功了
    在这里插入图片描述
    查看命令:
    • 执行命令display traffic classifier [ classifier-name ],查看已配置的流分类信息。
    • 执行命令display traffic behavior [ behavior-name ],查看已配置的流行为信息。
    • 执行命令display traffic policy [ policy-name [ classifier classifier-name ] ],查看已配置的流策略信息。
    • 执行命令display traffic-policy applied-record [ policy-name ] [ global [ slot slot-id ] | interface interface-type interface-number | vlan vlan-id | vsi vsi-name | vpn-instance vpn-instance-name | qos group group-id | bridge-domain bd-id ] [ inbound | outbound ],查看指定流策略的应用记录。

    基于ACL简化的策略路由:

    简便但是阉割版本的基于接口的策略路由,只能重定向到指定的下一跳,优先于路由转发,并只能在三层交换机作三层转发时有效果。

    目的:通过配置基于ACL简化的策略路由,将匹配ACL规则的三层报文重定向到指定的下一跳地址。

    背景信息:当用户希望对进入网络的流量进行控制时,可以配置ACL规则根据报文的源IP地址、分片标记、目的IP地址、源端口号、源MAC地址等信息对报文进行匹配,进而配置基于ACL简化的策略路由实现对匹配ACL规则的报文过滤。与配置策略路由相比,配置基于ACL简化的策略路由不需要单独创建流分类、流行为或流策略,配置更为简洁;但是由于仅基于ACL规则对报文进行匹配,因此匹配规则没有流策略丰富。

    如果同时配置了系统视图、VLAN视图以及接口视图下的简化策略路由,基于ACL简化的策略路由生效优先级为:接口 > VLAN > 全局应用。

    注意:eNSP模拟器只有全局模式下能配置。

    配置命令:
    在这里插入图片描述

    查看命令:
    执行命令display traffic-policy applied-record traffic-redirect [ global [ slot slot-id ] | interface interface-type interface-number | vlan vlan-id | qos group group-id ] [ inbound ],查看指定流策略的应用记录。

    智能策略路由(SPR):

    基于链路质量信息为业务数据流选择最佳链路(略),详细参考如下笔记:
    https://blog.csdn.net/tushanpeipei/article/details/109367748

    参考资料:华为hedex文档

    展开全文
  • 华为策略路由详解

    千次阅读 2021-02-25 15:23:40
    通过配置策略路由,可以用于提高网络的安全性能和负载分担。 策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制。 策略路由与路由策略(Routing Policy)存在以下不同: 策略...
     
     

    通过配置策略路由,可以用于提高网络的安全性能和负载分担。

        策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制。

     

        策略路由与路由策略(Routing Policy)存在以下不同:

        策略路由的操作对象是数据包。

        在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。

        路由策略的操作对象是路由信息。

        路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。

     

        传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。

     

        策略路由具有如下优点:

        可以根据用户实际需求制定策略进行路由选择,增强路由选择的灵活性和可控性。

        可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。

        在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务的成本。

     

     

     

    一、配置策略路由

        配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

        通过配置重定向,设备将符合流分类规则的报文重定向到指定的下一跳地址。

        包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。

     

        华为AR系列支持三种策略路由:

     

    1、本地策略路由

        本地策略路由是指仅对本地发送的报文有效的策略路由,对转发的报文不起作用。

        一条本地策略路由可以配置多个策略点,并且这些策略的具有不同的优先级,本机发送的报文优先匹配优先级高的策略点。

        本地策略路由支持acl或报文长度匹配规则。

        本地路由策略会根据本地策略路由节点的优先级依次匹配各个节点绑定的匹配规则发送报文,如果没有找到本地策略路由节点,则按照IP报文的一般流程根据目的地址查找路由。

        本地策略路由节点优先级顺序为(高到低):报文优先级-出接口-下一跳-缺省出接口。

     

     

    2、接口策略路由

        仅对转发的报文生效,对本地发送的报文不起作用,且只对接口入方向的报文生效。

        接口策略路由是通过在流行为中配置重定向实现的。

     

     

    3、智能策略路由(SPR)

        此功能需要购买华为license授权。

        智能策略路由是基于业务需求的策略路由,通过匹配链路质量和网络业务对链路质量的需求,实现智能选路。

    产生背景

        智能策略路由SPR(Smart Policy Routing)可以主动探测链路质量并匹配业务的需求,从而选择一条最优链路转发业务数据,可以有效的避免网络黑洞、网络震荡等问题。

     

    1、业务区分

        SPR支持通过以下属性对业务进行区分:

        根据协议类型区分:IP,TCP,UDP,GRE,IGMP,IPINIP,OSPF,ICMP。

        根据报文应用区分:DSCP,TOS,IP Precedence,Fragment,VPN,TCP-flag。

        根据报文信息区分:Source IP Address,Destination IP Address,Protocol,Source Port,Destination Port,Source IP Prefix,Destination IP Prefix。

        不同的业务对链路的时延D(Delay)、抖动时间J(Jitter)、丢包率L(Loss)以及综合度量指标CMI(Composite Measure Indicator)有不同的要求,如果业务对链路的某一项质量参数没有要求,就不需要配置该参数的阈值。

     

    2、探测链路和链路组

        探测链路是SPR实现智能选路的基础,每个探测链路都有一个与之相对应的探针,即NQA(Network Quality Analysis)测试例。如果测试失败,则表示对应的探测链路不可用。探测链路通过探针获取链路参数的质量,SPR根据探测链路的链路质量匹配业务需求,从而实现智能选路的需求。

        SPR不直接使用探测链路,而是通过链路组的形式使用探测链路。一个探测链路可以加入不同的链路组,同时一个链路组中可以有一条或多条探测链路。

        SPR的链路角色分为:主用链路组、备用链路组和逃生链路。SPR中业务无法从主用链路组和备用链路组中找到合适的链路传输数据时可以启用逃生链路。

        同一个链路组可以被不同的业务绑定,如链路组1可以作为业务1的主用链路组,同时也可以作为业务2的备用链路组。

     

     

    3、业务选路

        SPR根据NQA探测结果进行业务选路。

        在业务选路时,如果当前链路上已经部属了业务,则该链路的选择指数将降低,即选择的机率变小,这样宏观上可以达到负载均衡的效果。

     

     

    4、切换周期

        SPR中切换周期计时器主要用于链路质量不满足业务需求时控制链路切换。

        SPR根据NQA探测结果判断链路是否满足业务需求,SPR会定期获取NQA的探测结果,如果某次获取的NQA探测结果不满足业务需求,则切换周期计时器开始计时。

        在开始计时后切换周期到达之前,如果某次获取的探测结果满足了业务需求,则切换周期计时器清零,直到下次获取到不满足业务需求的探测结果时会再次开始计时。如果计时器开始计时后,在切换周期内获取到的探测结果都不能满足业务需求,则SPR切换链路。

     

    5、振荡抑制周期

        某些情况下,网络会出现时好时坏的情况,从而导致SPR频繁切换链路,严重影响业务体验。SPR的抑制振荡功能可以有效的避免此类情况产生。

        振荡抑制周期默认情况下不生效,周期值由用户自己配置。

        SPR切换链路后,振荡抑制周期计时器开始计时,如果业务驻留链路的时间没有达到振荡抑制周期的时间,则SPR不会执行链路切换。振荡抑制周期超时后,如果在一个切换周期内链路还是不满足业务需求,则SPR将切换链路;如果在一个切换周期内链路质量变好,满足业务需求,则SPR不会切换链路。

     

     

     

    二、策略路由具体配置

    1、本地策略路由具体配置

    1、创建策略路由和策略点

    [Huawei]policy-based-route 1 deny node 1

     

     

    2、设置本地策略匹配规则

    [Huawei-policy-based-route-1-1]if-match ?

      acl            Access control list #根据IP报文中的acl匹配

      packet-length  Match packet length #根据IP报文长度匹配

    -----------

    [Huawei-policy-based-route-1-1]if-match packet-length ?

      INTEGER<0-65535>  Minimum packet length #最短报文长度

    [Huawei-policy-based-route-1-1]if-match packet-length 100 ?

      INTEGER<1-65535>  Maximum packet length#最长报文长度

     

     

    3、设置本地路由策略动作

    3.1、设置报文的出接口

     [Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口

      Serial  Serial interface

    --------

    [Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口

      Serial  Serial interface

    #报文的出接口,匹配成功后将从指定接口发出去。接口不是能以太网等广播类型接口(改为P2P即可),因为多个下一跳可能导致报文转发不成功。

     

     

    3.2、设置报文的下一跳

    [Huawei-policy-based-route-1-1]apply ip-address ?

      default   Set default information #缺省下一跳,仅对在路由表中未查到的路由报文起作用

      next-hop  Next hop address# 直接设定下一跳

     

     

    3.3、设置VPN转发实例

    [Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?

      STRING<1-31>  VPN instance name

     

     

    3.4设置IP报文优先级

    [Huawei-policy-based-route-1-1]apply ip-precedence ?

      INTEGER<0-7>    IP precedence value

      critical        Set packet precedence to critical(5)(关键)

      flash           Set packet precedence to flash(3)(闪速)

      flash-override  Set packet precedence to flash override(4)(疾速)

      immediate       Set packet precedence to immediate(2)(快速)

      internet        Set packet precedence to Internet control(6)(网间)

      network         Set packet precedence to network control(7)(网内)

      priority        Set packet precedence to priority(1)(优先)

      routine         Set packet precedence to routine(0)(普通)

     

     

    3.5设置本地策略路由刷新LSP信息时间间隔

    [Huawei]ip policy-based-route refresh-time ?

      INTEGER<1000-65535>  Refresh time value (ms)

      <cr>   

     

     

    3.6应用本地策略路由

    [Huawei]ip local policy-based-route ?

      STRING<1-19>  Policy name

    #一台路由器只能使能一个本地策略路由(可以创建多条)

     

     

     

    2、接口策略路由具体配置

    1、设置流分类

    [Huawei]traffic classifier test1 operator ?#逻辑运算符

      and  Rule of matching all of the statements #与 关系

      or   Rule of matching one of the statements # 或关系

    2.1、设置分类匹配规则

    [Huawei-classifier-test1]if-match ?

      8021p              Specify vlan 802.1p to match

      acl                Specify ACL to match

      any                Specify any data packet to match

      app-protocol       Specify app-protocol to match

      cvlan-8021p        Specify inner vlan 802.1p of QinQ packets to match.

      cvlan-id           Specify inner vlan id of QinQ packets to match.  #基于内层VLAN ID分类匹配规则

      destination-mac    Specify destination MAC address to match

      dlci               Specify a DLCI to match

      dscp               Specify DSCP (DiffServ CodePoint) to match

      fr-de              Specify FR DE to match.

      inbound-interface  Specify an inbound interface to match

      ip-precedence      Specify IP precedence to match

      ipv6               Specify IPv6

      l2-protocol        Specify layer-2 protocol to match

      mpls-exp           Specify MPLS EXP value to match

      protocol           Specify ipv4 or ipv6 packets to match

      protocol-group     Specify protocol-group to match

      pvc                Specify a PVC to match

      rtp                Specify RTP port to match

      source-mac         Specify source MAC address to match

      tcp                Specify TCP parameters to match

      vlan-id            Specify a vlan id to match #基于外出VLAN ID

     

    3、设置流重定向

       将符合流分类规则的报文重定向到指定的下一跳或指定接口。只能在接口的入方向应用。

    3.1、设置流行为名

    [Huawei]traffic behavior test2

    [Huawei-behavior-test2]

    3.2、重定向符合流分类的报文

    [Huawei-behavior-test2]redirect ?

      interface     Status and configuration about the traffic on the interface # 重定向到指定接口(3G 或dialer)

      ip-nexthop    Redirect packets to nexthop # 重定向到下一跳

      ipv6-nexthop  Redirect packets to ipv6 nexthop

    -----------

    [Huawei-behavior-test2]redirect ip-nexthop 10.1.1.1 ?

      post-nat  Post nat

      track     Track nqa #支持与NQA联动

      <cr>      Please press ENTER to execute command

     

     

    4、应用流策略

    1、设置流策略名

    [Huawei]traffic policy test3

     

    2、关联流分类和流行为

    [Huawei-trafficpolicy-test3]classifier test1 behavior test2

     

    3、在接口应用(入方向)

    [Huawei-GigabitEthernet0/0/2]traffic-policy test3 inbound

    展开全文
  • 华为策略路由的配置及应用方式,一般用于重定向的场景下,例:防火墙旁挂于核心交换机,需将业务流量重定向到防火墙。环境描述:操作步骤:1、在S12708上配置策略路由,将业务段重定向至防火墙;2、在防火墙上配置...

    华为策略路由的配置及应用方式,一般用于重定向的场景下,例:防火墙旁挂于核心交换机,需将业务流量重定向到防火墙。
    环境描述:
    华为策略路由应用<场景:防火墙旁挂>
    操作步骤:
    1、在S12708上配置策略路由,将业务段重定向至防火墙;
    2、在防火墙上配置回程路由即可。

    策略路由配置方式:
    1、配置业务网段ACL
    acl 3000 ####此处必须先匹配内网段之间业务互访,不将流量重定向至防火墙,若重定向后,可能会由于策略因素导致无法互访。
    rule perimit ip source 172.16.1.64 0.0.0.15 destination 172.16.1.64 0.0.0.15
    rule perimit ip source 172.16.1.64 0.0.0.15 destination 172.16.9.0 0.0.0.63
    rule perimit ip source 172.16.1.64 0.0.0.15 destination 172.16.9.64 0.0.0.63
    rule perimit ip source 172.16.9.0 0.0.0.63 destination 172.16.1.64 0.0.0.15
    rule perimit ip source 172.16.9.0 0.0.0.63 destination 172.16.9.0 0.0.0.63
    rule perimit ip source 172.16.9.0 0.0.0.63 destination 172.16.9.64 0.0.0.63
    rule perimit ip source 172.16.9.64 0.0.0.63 destination 172.16.1.64 0.0.0.15
    rule perimit ip source 172.16.9.64 0.0.0.63 destination 172.16.9.0 0.0.0.63
    rule perimit ip source 172.16.9.64 0.0.0.63 destination 172.16.9.64 0.0.0.63
    acl 3001
    rule perimit ip source 172.16.1.64 0.0.0.15
    rule perimit ip source 172.16.9.0 0.0.0.63
    rule perimit ip source 172.16.9.64 0.0.0.63
    acl 3002
    rule perimit ip destination 172.16.1.64 0.0.0.15
    rule perimit ip destination 172.16.9.0 0.0.0.63
    rule perimit ip destination 172.16.9.64 0.0.0.63
    2、配置流分类
    traffic classifier c1
    if-match acl 3000
    traffic classifier c2
    if-match acl 3001
    traffic classifier c3
    if-match acl 3002
    3、配置流行为
    traffic behavior b1
    permit
    traffic behavior b2
    redirect ip-nexthop 10.1.1.2
    traffic behavior b3
    redirect ip-nexthop 10.1.1.6
    4、配置流策略
    traffic policy p1
    classifier c1 behavior b1
    classifier c2 behavior b2
    classifier c3 behavior b3
    5、在接口上应用流策略(在业务接口、对外互联接口应用)
    interface g1/1/0/1
    traffic-policy p1 inbound ####仅在inbound方向有效###

    遇到的疑问点:
    1、选择路由:本地路由最优,为何选择策略路由转发。官方文档中显示:
    华为策略路由应用<场景:防火墙旁挂>

    2、重定向的方式具体根据实际情况和场景来配置,可以参考官方文档,及此项目场景。

    转载于:https://blog.51cto.com/xiaojiejt/2353918

    展开全文
  • 华为交换机策略路由配置,适合旁挂路由器,安全网关等设备。
  • 华为策略路由,实现双线选路上网

    千次阅读 2020-06-22 14:22:26
    策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制。常用语多个公网出口环境,可以用于提高网络的安全性能和负载分担。 配置策略路由思路 配置ACL 创建流分类 创建流行为 创建流...
  • 思路:使用策略路由,对内网流量进行过滤,IP重定向,自定义公网出口,并且使用NAT技术进行IP地址转换,使得内网IP使用公网IP可以访问互联网; 需求2:总公司和分公司需要内网直接通信,内网互相访问,公司希望建立...
  • 如图所示,汇聚层Switch做三层转发设备,接入层设备LSW做用户网关,接入层LSW和汇聚层Switch之间路由可达。汇聚层Switch通过两条链路连接到两个核心路由器上,一条是高速链路,网关为10.1.20.1/24;另外一条是低速...
  • 华为路由器路由策略和策略路由.doc
  • 华为配置策略路由

    2013-11-03 22:36:40
    华为防火墙做策略路由,需要的同学可以前来下载哦
  • 路由策略简介,基本原理,配置路由策略-配置地址前缀列表、配置AS属性过滤器\配置团体属性过滤器
  • 华为路由策略

    2018-04-27 17:42:41
    华为网络技术路由策略,适用于网络初学者及网络爱好者
  • 华为6506路由策略配置

    2011-12-19 21:31:22
    华为6506路由策略配置,网管软件,详细。
  • 路由策略可以在路由协议发布、接收和引入路由时配置使用,也可用于过滤路由和改变路由属性。 路由策略各工具之间的调用关系: 条件工具:用于把需要的路由“抓取”出来。 策略工具:用于把“抓取”出来的路由执行...
  • 华为防火墙策略路由旁路部署

    千次阅读 2020-04-17 16:15:52
    配置策略路由(引流到旁挂防火墙)示例 为了保证企业内网的安全,通过配置策略路由将外网到内网的全部流量引流防火墙进行安全检测。 组网需求 如图1所示,某公司由于业务需要,用户有访问Internet的需求。用户...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,419
精华内容 2,967
关键字:

华为策略路由