1、H3C SR8800-X 核心路由器策略路由配置指導i目 錄 HYPERLINK l _bookmark0 簡介 HYPERLINK l _bookmark1 1 HYPERLINK l _bookmark0 配置前提 HYPERLINK l _bookmark2 1 HYPERLINK l _bookmark0 使用限制 HYPERLINK l _bookmark3 1 HYPERLINK l _bookmark0 IPv4 策略路由配置舉例 HYPERLINK l _bookmark4 1 HYPERLINK l _bookmark0 組網需求 HYPERLINK l _bookmark5

2、 1 HYPERLINK l _bookmark7 配置思路 HYPERLINK l _bookmark8 2 HYPERLINK l _bookmark7 使用版本 HYPERLINK l _bookmark9 2 HYPERLINK l _bookmark7 配置步驟 HYPERLINK l _bookmark10 2 HYPERLINK l _bookmark11 驗證配置 HYPERLINK l _bookmark12 3 HYPERLINK l _bookmark11 配置文件 HYPERLINK l _bookmark13 3 HYPERLINK l _bookmark14 組網需

3、求 HYPERLINK l _bookmark15 4 HYPERLINK l _bookmark16 配置思路 HYPERLINK l _bookmark18 5 HYPERLINK l _bookmark16 使用版本 HYPERLINK l _bookmark19 5 HYPERLINK l _bookmark16 配置步驟 HYPERLINK l _bookmark20 5 HYPERLINK l _bookmark21 驗證配置 HYPERLINK l _bookmark22 6 HYPERLINK l _bookmark21 配置文件 HYPERLINK l _bookmark23

4、 6 HYPERLINK l _bookmark24 相關資料 HYPERLINK l _bookmark25 7 PAGE 7簡介本文檔介紹了策略路由的配置舉例。普通報文是根據目的 IP 地址來查找路由表轉發的，策略路由是一種依據用戶制定的策略進行路由選擇的機制。策略路由可以基于到達報文的源地址、目的地址、IP 優先級、協議類型等字段靈活地進行路由選擇。配置前提本文檔中的配置均是在實驗室環境下進行的配置和驗證，配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置，為了保證配置效果，請確認現有配置和以下舉例中的配置不沖突。本文假設您已了解策略路由特性。使用限制本設備只支持轉發

5、策略路由。轉發策略路由只對接口接收的報文起作用，指導其轉發，對本地產生的報文不起作用；配置重定向到下一跳時，不能將 IPv4 規則重定向到 IPv6 地址，反之亦然。IPv4 策略路由配置舉例組網需求如 HYPERLINK l _bookmark6 圖 1 所示，缺省情況下，Device的接口GigabitEthernet 3/0/1 上收到的所有訪問Server的報文根據路由表轉發的下一跳均為 。現要求在 Device 上配置 IPv4 策略路由，對于訪問 Server 的報文實現如下要求：首先匹配接口 GigabitEthernet 3/0/1 上收到的源 IP 地址為 的報文，將該報文的

6、下一跳重定向到 ；其次匹配接口 GigabitEthernet 3/0/1 上收到的 HTTP 報文，將該報文的下一跳重定向到。圖1 IPv4 策略路由特性典型配置組網圖配置思路為了確保能同時滿足對于兩種不同類型的報文重定向到不同的下一跳，需要配置兩個訪問控制列表，一個用于匹配接口 GigabitEthernet 3/0/1 上收到的源 IP 地址為 的報文，另一個用于匹配接口 GigabitEthernet 3/0/1 上收到的 HTTP 報文，并在策略路由中創建兩個節點， 分別對匹配上的報文進行重定向；同一條策略路由中，創建的節點編號越小，優先級越高。為了確保接口 GigabitEther

7、net 3/0/1 上收到源 IP 地址為 的 HTTP 報文下一跳能優先被重定向到 ，需要在策略路由中配置該策略使用較小的節點編號（本例中使用 0 號節點，另一策略使用 1 號節點）。使用版本本舉例是在 SR8800-CMW710-R7143 版本上進行配置和驗證的。配置步驟# 配置接口 GigabitEthernet 3/0/1 的 IP 地址。 system-viewDevice interface gigabitethernet 3/0/1Device-GigabitEthernet3/0/1 ip address Device-GigabitEthernet3/0/1 quit# 請

8、參考以上方法配置 HYPERLINK l _bookmark6 圖 1 中其它接口的IP地址，配置步驟這里省略。# 配置靜態路由，保證三條路徑都可達，并且缺省下一跳為 。Deviceiproute-static24Deviceiproute-static24 preference 40Deviceiproute-static24# 定義訪問控制列表 ACL 3005，用于匹配源 IP 地址為 的報文。Device acl number 3005Device-acl-adv-3005 rule 0 permit ip source 0 Device-acl-adv-3005 quit# 定義訪問

9、控制列表 ACL 3006，用于匹配 HTTP 報文。Device acl number 3006Device-acl-adv-3006 rule 0 permit tcp destination-port eq www Device-acl-adv-3006 quit# 創建策略路由 pbr1 的 0 號節點，將匹配 ACL 3005 的報文下一跳重定向到 。Device policy-based-route pbr1 permit node 0 Device-pbr-pbr1-0 if-match acl 3005Device-pbr-pbr1-0 apply next-hop Devic

10、e-pbr-pbr1-0 quit# 創建策略路由 pbr1 的 1 號節點，將匹配 ACL 3006 的報文下一跳重定向到 。Device policy-based-route pbr1 permit node 1 Device-pbr-pbr1-1 if-match acl 3006Device-pbr-pbr1-1 apply next-hop Device-pbr-pbr1-1 quit# 在 Device 的接口 GigabitEthernet 3/0/1 上應用策略。Device interface gigabitethernet 3/0/1Device-GigabitEthern

11、et3/0/1 ip policy-based-route pbr1 Device-GigabitEthernet3/0/1 quit驗證配置通過 display ip policy-based-route 命令可以查看到當前策略路由配置已經配置成功：Device display ip policy-based-route policy pbr1 Policy name: pbr1node 0 permit:if-match acl 3005apply next-hop node 1 permit:if-match acl 3006apply next-hop # 通過 tracert 命令查

12、看以下報文的轉發路徑（使用 Tracert 功能需要在中間設備上開啟 ICMP 超時報文發送功能，在目的端開啟 ICMP 目的不可達報文發送功能）：源 IP 為 的非 HTTP 報文，根據路由表進行轉發，下一跳為 。 tracert -a traceroute to () from , 30 hops at most, 40 bytes each packet, press CTRL_C to break1 ()2.178 ms1.364 ms1.058 ms 2 ()1.548 ms1.248 ms1.112 ms3 ()1.594 ms1.321 ms1.093 ms源 IP 為 的報文，

13、重定向到 進行轉發。 tracert -a traceroute to () from , 30 hops at most, 40 bytes each packet, press CTRL_C to break1 ()1.721 ms1.226 ms1.050 ms 2 ()4.494 ms1.385 ms1.170 ms3 ()1.448 ms1.304 ms1.093 ms配置文件#policy-based-route pbr1 permit node 0 if-match acl 3005apply next-hop #policy-based-route pbr1 permit no

14、de 1 if-match acl 3006apply next-hop #interface GigabitEthernet3/0/1 port link-mode routeip address ip policy-based-route pbr1#interface GigabitEthernet3/0/3 port link-mode routeip address #interface GigabitEthernet3/0/4 port link-mode routeip address #interface GigabitEthernet3/0/5 port link-mode r

15、outeip address #iproute-static24iproute-static24preference 40ip#aclroute-staticnumber 300524rule 0 permit ip source 0#acl number 3006rule 0 permit tcp destination-port eq www#組網需求如 HYPERLINK l _bookmark17 圖 2 所示缺省情況下，Device的接口GigabitEthernet 3/0/1 上收到的所有訪問Server的報文根據路由表轉發的下一跳均為 2004:2。現要求在 Device 上配

16、置 IPv4 策略路由，對于訪問 Server 的報文實現如下要求：首先匹配接口 GigabitEthernet 3/0/1 上收到的源 IPv6 地址為 2002:1 的報文，將該報文的下一跳重定向到 2005:2；其次匹配接口 GigabitEthernet 3/0/1 上收到的 HTTP 報文，將該報文的下一跳重定向到2003:2。圖2 IPv6 策略路由特性典型配置組網圖配置思路為了確保能同時滿足對于兩種不同類型的報文重定向到不同的下一跳，需要配置兩個訪問控制列表，一個用于匹配接口 GigabitEthernet 3/0/1 上收到的源 IPv6 地址為 2002:1 的報文，另一個用

17、于匹配接口 GigabitEthernet 3/0/1 上收到的 HTTP 報文，并在策略路由中創建兩個節點，分別對匹配上的報文進行重定向；同一條策略路由中，創建的節點編號越小，優先級越高。為了確保接口 GigabitEthernet 3/0/1 上收到源 IPv6 地址為 2002:1 的 HTTP 報文下一跳能優先被重定向到 2005:2，需要在策略路由中配置該策略使用較小的節點編號（本例中使用 0 號節點，另一策略使用 1 號節點）。使用版本本舉例是在 SR8800-CMW710-R7143 版本上進行配置和驗證的。配置步驟#配置接口 GigabitEthernet 3/0/1 的IPv

18、6 地址。 system-viewDevice interface gigabitethernet 3/0/1Device-GigabitEthernet3/0/1 ipv6 address 2007:1 64 Device-GigabitEthernet3/0/1 quit#請參考以上方法配置 HYPERLINK l _bookmark17 圖 2 中其它接口的IPv6 地址，配置步驟這里省略。# 配置靜態路由，保證三條路徑都可達，并且缺省下一跳為 2004:2/64。Device ipv6 route-static 3001:1 64 2003:2Device ipv6 route-sta

19、tic 3001:1 64 2004:2 preference 40Device ipv6 route-static 3001:1 64 2005:2# 定義 IPv6 訪問控制列表 IPv6 ACL 3005，用于匹配源 IPv6 地址為 2002:1 的報文。Device acl ipv6 number 3005Device-acl6-adv-3005 rule 0 permit ipv6 source 2002:1/128 Device-acl6-adv-3005 quit# 定義 IPv6 訪問控制列表 IPv6 ACL 3006，用于匹配 GigabitEthernet 3/0/1

20、端口上收到的 HTTP 報文。Device acl ipv6 number 3006Device-acl6-adv-3006 rule 0 permit tcp destination-port eq www Device-acl6-adv-3006 quit# 創建 IPv6 策略路由 pbr1 的 0 號結點，將匹配 IPv6 ACL 3005 的報文下一跳重定向到 2005:2。Device ipv6 policy-based-route pbr1 permit node 0 Device-pbr6-pbr1-0 if-match acl 3005Device-pbr6-pbr1-0 a

21、pply next-hop 2005:2 Device-pbr6-pbr1-0 quit# 創建 IPv6 策略路由 pbr1 的 1 號結點，將匹配 IPv6 ACL 3006 的報文下一跳重定向到 2003:2。Device ipv6 policy-based-route pbr1 permit node 1 Device-pbr6-pbr1-1 if-match acl 3006Device-pbr6-pbr1-1 apply next-hop 2003:2 Device-pbr6-pbr1-1 quit# 在 Device 的接口 GigabitEthernet 3/0/1 上應用策略

22、。Device interface gigabitethernet 3/0/1Device-GigabitEthernet3/0/1 ipv6 policy-based-route pbr1 Device-GigabitEthernet3/0/1 quit驗證配置通過 display ipv6 policy-based-route 命令可以查看到當前 IPv6 策略路由配置已經生效：Device display ipv6 policy-based-route policy pbr1 Policy name: pbr1node 0 permit:if-match acl 3005apply ne

23、xt-hop 2005:2node 1 permit:if-match acl 3006apply next-hop 2003:2當 Device 收到源 IPv6 地址為 2002:1 的報文時，有如下結果：當 2005:2 可達時，報文被重定向到 2005:2；當 2005:2 不可達時，報文會根據普通的路由表轉發到下一跳 2004:2。當 Device 收到 HTTP 報文時，有如下結果：當 2003:2 可達時，報文被重定向到 2003:2；當 2003:2 不可達時，報文會根據普通的路由表轉發到下一跳 2004:2。配置文件#ipv6 policy-based-route pbr1 permit node 0 if-m