当前位置:文档之家 › H3C 路由策略与策略路由的详细讲解

H3C 路由策略与策略路由的详细讲解

  • 格式:ppt
  • 大小:1.08 MB
  • 文档页数:77

下载文档原格式

  / 77

合集下载

H3C策略路由配置-目的地址路由

H3C策略路由配置-目的地址路由

H3C路由器配置策略路由『需求』在Router上做策略路由,从40.1.1.0/25来的报文送往S0口,从40.1.1.128/25来的报文送往S1。

【Router】一、[Router]acl 1 // 定义acl1[Router-acl-1]rule normal permit source 40.1.1.0 0.0.0.127 // 允许40.1.1.0/25 源地址网段[Router-acl-1]rule normal deny source any // 禁止其他任何网段[Router]acl 2 // 定义acl2[Router-acl-2]rule normal permit source 40.1.1.128 0.0.0.127 // 允许40.1.1.128/25源地址网段[Router-acl-2]rule normal deny source any // 禁止其他任何网段二、[Router]interface Ethernet0 // 进入以太口0口[Router-ethernet0]ip address 40.1.1.1 255.255.255.0[Router-ethernet0]ip policy route-policy aaa // 应用aaa策略[Router]interface Serial0 // 进入串口0口[Router-Serial0]link-protocol ppp // 封装ppp链路层协议[Router-Serial0]ip address 30.1.1.2 255.255.255.252[Router]interface Serial1 // 进入串口1口[Router-Serial1]link-protocol ppp // 封装ppp链路层协议[Router-Serial1]ip address 20.1.1.2 255.255.255.252三、[Router]route-policy aaa permit 10 // 定义route-policy节点10[Router-route-policy]if-match ip address 1 // 匹配ACL1的报文[Router-route-policy]apply interface Serial0 // 发往serial0[Router]route-policy aaa permit 20 // 定义route-policy节点20[Router-route-policy]if-match ip address 2 // 匹配ACL2的报文[Router-route-policy]apply interface Serial1 // 发往serial1。

H3C手册-路由策略

H3C手册-路由策略

RTA
路由策略(Routing Policy)是为了改变网络流 量所经过的途径而修改路由信息的技术 Route-policy是实现路由策略的工具,其作用包 括:

路由过滤 改变路由信息属性


4
目录
Route-policy概述 Route-policy Route policy原理 Route-policy配置与查看 Route-policy的应用
配置if-match子句
[Router-route-policy] if-match { 匹配规则 }

配置apply pp y子句 句
[Router-route-policy] apply { 动作 }

11
Route-policy配置示例
配置 结果
route-policy policy_a permit node 10 符合地址前缀列表perfix-a的路由能 够通过过滤,并设定其cost值为100; if-match ip-prefix prefix-a 其它路由不能通过过滤。 pp y cost 100 apply route-policy policy_a permit node 10 符合地址前缀列表perfix-a的路由能 够通过过滤,并设定其cost值为100; apply l cost t 100 符合访问控制列表2002的路由能够 route-policy policy_a permit node 20 通过过滤,并设定其tag值为20; if-match acl 2002 其它路由不能通过过滤。 if-match ip-prefix prefix-a apply tag 20 route-policy policy_a deny node 10 if-match acl 2002 apply tag 20 所有路由不能通过过滤 所有路由不能通过过滤。

H3C策略路由配置及实例

H3C策略路由配置及实例

H3C策略路由配置及实例2010-07-19 09:21基于策略路由负载分担应用指导介绍特性简介目前网吧对网络的可靠性和稳定性要求越来越高,一般网吧与运营商都有两条线路保证一条线路出现故障时能够有另一条链路作为备份。

当两条线路都正常时为了减少一条线路流量压力,将流量平均分配到另外一条线路,这样提高了网络速度。

当一条链路出现故障接口DOWN掉时,系统自动将流量全部转到另一条线路转发,这样提高了网络的稳定性、可靠性。

满足网吧对业务要求不能中断这种需求,确保承载的业务不受影响。

使用指南使用场合本特性可以用在双链路的组网环境内,两条链路分担流量。

保证了网络的可靠性、稳定性。

配置指南本指南以18-22-8产品为例,此产品有2个WAN接口。

ethernet2/0、ethernet3/0互为备份。

可以通过以下几个配置步骤实现本特性:1) 配置2个WAN接口是以太链路,本案例中以以太网直连连接方式为例;2) 配置静态路由,并设置相同的优先级;3) 配置策略路由将流量平均分配到2条链路上。

2 注意事项两条路由的优先级相同。

配置策略路由地址为偶数走wan1,地址为奇数走wan2。

策略路由的优先级高于路由表中的优先级。

只有策略路由所使用的接口出现down后,路由比表中配置的路由才起作用。

3 配置举例组网需求图1为2条链路负载分担的典型组网。

路由器以太网口ETH2/0连接到ISP1,网络地址为142.1.1.0/30,以太网口ETH3/0连接到ISP2,网络地址为162.1.1.0/30;以太网口ETH1/0连接到网吧局域网,私网IP网络地址为192.168.1.0/24。

配置步骤1. 配置路由器sysname Quidway#clock timezone gmt+08:004 add 08:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20 #radius scheme system#domain system#detect-group 1detect-list 1 ip address 140.1.1.2#detect-group 2detect-list 1 ip address 162.1.1.2#acl number 2000rule 0 permit#acl number 3001rule 0 permit ip source 192.168.1.00.0.0.254 内部pc机偶数地址 acl number 3002rule 0 permit ip source 192.168.1.10.0.0.254 内部pc机奇数地址#interface Aux0async mode flow#interface Ethernet1/0ip address 192.168.1.1 255.255.255.0ip policy route-policy routeloadshare 从局域网收到的数据通过策略路由转发数据interface Ethernet1/1#interface Ethernet1/2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet1/5#interface Ethernet1/6#interface Ethernet1/7#interface Ethernet1/8#interface Ethernet2/0ip address 140.1.1.1 255.255.255.252nat outbound 2000#interface Ethernet3/0ip address 162.1.1.1 255.255.255.252nat outbound 2000#interface NULL0#route-policy routeloadshare permit node 1if-match acl3001 局域网pc机地址是偶数的从ethernet2/0转发apply ip-address next-hop 140.1.1.2route-policy routeloadshare permit node 2if-match acl3002 局域网pc机地址是奇数的从ethernet3/0转发apply ip-address next-hop 162.1.1.2#ip route-static 0.0.0.0 0.0.0.0 140.1.1.2 preference 60 detect-group 1ip route-static 0.0.0.0 0.0.0.0 162.1.1.2 preference 60 detect-group 2#user-interface con 0user-interface aux 0user-interface vty 0 4。

H3C三层交换机 策略路由 配置

H3C三层交换机 策略路由 配置

H3c策略路由配置整理这里只说明怎样配置,具体只参照H3C交换机配置文档第一步:区分数据流acl number 2001rule 0 permit source 10.0.0.0 0.255.255.255acl number 3001 name virusrule 0 deny tcp destination-port eq 445rule 5 deny udp destination-port eq 445acl number 3100 name laoshirule 0 permit ip source 192.168.12.0 0.0.0.255rule 1 permit ip source 192.168.13.0 0.0.0.255rule 2 permit ip source 192.168.14.0 0.0.0.255rule 3 permit ip source 192.168.15.0 0.0.0.255rule 4 permit ip source 192.168.16.0 0.0.0.255rule 5 permit ip source 192.168.17.0 0.0.0.255rule 6 permit ip source 192.168.18.0 0.0.0.255rule 7 permit ip source 192.168.19.0 0.0.0.255rule 8 permit ip source 192.168.20.0 0.0.0.255rule 9 permit ip source 10.0.0.0 0.0.255.255rule 10 permit ip source 192.168.11.0 0.0.0.255acl number 3101 name xueshengrule 0 permit ip source 192.168.21.0 0.0.0.255rule 1 permit ip source 192.168.22.0 0.0.0.255rule 2 permit ip source 192.168.23.0 0.0.0.255rule 3 permit ip source 192.168.24.0 0.0.0.255rule 4 permit ip source 192.168.25.0 0.0.0.255rule 5 permit ip source 192.168.26.0 0.0.0.255rule 6 permit ip source 192.168.27.0 0.0.0.255rule 7 permit ip source 192.168.28.0 0.0.0.255rule 8 permit ip source 192.168.29.0 0.0.0.255rule 9 permit ip source 192.168.30.0 0.0.0.255acl number 3103 name neiwangrule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255rule 1 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.0.0 0.0.255.255 rule 2 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.0.0 0.255.255.255 acl number 3104 name shiyanshirule 0 permit ip source 10.0.0.0 0.255.255.255#第二步:定义数据流traffic classifier laoshi operator andif-match acl name laoshitraffic classifier shiyanshi operator andif-match acl name shiyanshitraffic classifier xuesheng operator andif-match acl name xueshengtraffic classifier neiwang operator andif-match acl name neiwang第三步:定义数据流的动作traffic behavior laoshiredirect next-hop 192.168.0.254traffic behavior shiyanshiredirect next-hop 192.168.0.254traffic behavior xueshengredirect next-hop 192.168.0.250traffic behavior neiwangfilter permit第四步:定义策略:qos policy rpclassifier neiwang behavior neiwangclassifier laoshi behavior laoshiclassifier xuesheng behavior xueshengclassifier shiyanshi behavior shiyanshi第五步:应用完成的策略(应用到某个端或VLAN)interface E1/0/1qos apply policy rp inboundinterface vlan 1010qos vlan policy rp vlan 1010 inbound。

h3c交换机的vlan控制策略路由设置

h3c交换机的vlan控制策略路由设置

昨天去一家客户那边调试h3c的设备,客户要做vlan间互访和策略路由.本以为挺简单的事情,可到了才发现不是自己想象的那样.vlan间互访没想到h3c搞的那么麻烦,cisco的数据流控制就是做一条访问列表,列表里定义了动作是拒绝还是允许,然后直接把这个列表应用到接口上就可以了,但h3c却没有这么简单,h3c我总结了一下总的思路是这样的1.首先定义访问控制列表,注意:假如要使把此列表应用到qos策略中的话此列表中的deny和permit是没有意义的,不管是permit还是deny都代表"匹配"该数据流.2.定义类,类里面很简单,就是简单的匹配某条列表.应该也可以像cisco一样匹配or或者and,我没验证.3.定义行为动作,行为动作可以分好多,常用的有filter deny,filter permit 拒绝/允许,还有改变下一条redirect next-hop.或者可以做标记,qos等.4.定义qos策略,把2,3里的类和行为建立关联,如什么类执行什么行为,可以做好多条,同一个行为如果找到第一项匹配则不再接着往下执行,所有有可能同一个数据流能满足多条不同行为操作的情况.5.把此qos策略应用到接口上.下面我把配置粘上来供大家参考#version 5.20, Release 5303#sysname master switch#domain default enable system#telnet server enable#vlan 1#vlan 20#vlan 23description 0023#vlan 24#vlan 30#vlan 40#vlan 50vlan 60#vlan 70#vlan 80#vlan 90#vlan 100#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#traffic classifier h3c operator andif-match acl 3060********* 定义类,30,50,90三个网段之间不能互访********traffic classifier wangtong operator andif-match acl 2010********* 定义类,20,60,90网段的用户分到wangtong这个类中*******traffic classifier dianxin operator andif-match acl 2020********* 定义类,30,50,70网段的用户分到电信这个类中*******traffic behavior h3cfilter deny********* 定义行为名字叫h3c的动作为丢弃!*********traffic behavior wangtongredirect next-hop 10.1.1.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.1.2*********traffic behavior dianxinredirect next-hop 10.1.2.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.2.2*********qos policy h3cclassifier h3c behavior h3cclassifier wangtong behavior wangtongclassifier dianxin behavior dianxin***********定义一个qos策略(注意,这里是总的qos策略,其中包括vlan间访问控制和策略路由控制都汇聚到此策略中了)1.满足h3c类别的数据流执行h3c这个行为,这里行为为丢弃2.满足wangtong类别的数据流执行网通这个行为,这里的行为为改变下一跳为10.1.1.23.满足dianxin类别的数据流执行dianxin这个行为,这里的行为为改变下一跳为10.1.2.2 ***************************************************************** ***#acl number 2010rule 0 permit source 192.168.20.0 0.0.0.255rule 1 permit source 192.168.60.0 0.0.0.255rule 2 permit source 192.168.90.0 0.0.0.255acl number 2020rule 0 permit source 192.168.30.0 0.0.0.255rule 1 permit source 192.168.50.0 0.0.0.255rule 2 permit source 192.168.70.0 0.0.0.255acl number 3060rule 10 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.50.00.0.0.255rule 20 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.90.00.0.0.255rule 50 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.30.00.0.0.255rule 60 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.90.00.0.0.255rule 70 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.30.00.0.0.255rule 80 permit ip source 192.168.90.0 0.0.0.255 destination192.168.50.0 0.0.0.255*************在30,50,90三个网段之间做隔离,使他们不能互相访问,但都能访问其他的地址,由于h3c的三层交换机(这里的型号是s5510)可以实现单向访问,以此每一条都得建立2条规则来匹配如30--90网段,90---30网段.因为是作用在trunk口上的,因此源地址无法确定****************************************interface NULL0#interface Vlan-interface1ip address 192.168.10.1 255.255.255.0#interface Vlan-interface20ip address 192.168.20.254 255.255.255.0#interface Vlan-interface23ip address 10.1.1.1 255.255.255.0interface Vlan-interface24ip address 10.1.2.1 255.255.255.0#interface Vlan-interface30ip address 192.168.30.254 255.255.255.0#interface Vlan-interface40ip address 192.168.40.254 255.255.255.0#interface Vlan-interface50ip address 192.168.50.254 255.255.255.0#interface Vlan-interface60ip address 192.168.60.254 255.255.255.0 #interface Vlan-interface70ip address 192.168.70.254 255.255.255.0 #interface Vlan-interface80ip address 192.168.80.254 255.255.255.0 #interface Vlan-interface90ip address 192.168.90.254 255.255.255.0 interface GigabitEthernet1/0/1port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/2port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/3port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/4port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/5port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/6port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/7port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/8port link-type trunkport trunk permit vlan allqos apply policy h3c inbound************在8个trunk口上绑定qos策略**************************888 #interface GigabitEthernet1/0/9port access vlan 20#interface GigabitEthernet1/0/10port access vlan 20interface GigabitEthernet1/0/11port access vlan 20#interface GigabitEthernet1/0/12port access vlan 20#interface GigabitEthernet1/0/13port access vlan 20#interface GigabitEthernet1/0/14port access vlan 20#interface GigabitEthernet1/0/15port access vlan 20#interface GigabitEthernet1/0/16port access vlan 20#interface GigabitEthernet1/0/17port access vlan 20#interface GigabitEthernet1/0/18port access vlan 20#interface GigabitEthernet1/0/19port access vlan 100speed 100#interface GigabitEthernet1/0/20port access vlan 100speed 100#interface GigabitEthernet1/0/21port access vlan 100speed 100#interface GigabitEthernet1/0/22port access vlan 100#interface GigabitEthernet1/0/23port access vlan 23speed 100duplex full#interface GigabitEthernet1/0/24port access vlan 24#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#ip route-static 0.0.0.0 0.0.0.0 10.1.1.2ip route-static 0.0.0.0 0.0.0.0 10.1.2.2**********定义2条缺省路由,一条指向电信网络,一条指向网通网络*************** #user-interface aux 0user-interface vty 0 4#return[master switch]。

H3C策略路由

H3C策略路由

S5510策略路由1 组网拓扑实验拓扑如上图所示,S5510分别使用int vlan 100和int vlan 101连接模拟电信和网通出口的两台路由器,交换机下有两个vlan,分别是192.168.10.0网段和192.168.20.0网段。

需求:客户想要实现192.168.10.0网段从电信上网,192.168.20.0从网通上网,vlan10能正常访问vlan20。

2 需求分析客户要实现不同的业务网段从不同的ISP访问Internet,则使用策略路由,重定向下一跳,针对vlan10和vlan20应用,但又不能影响vlan10访问vlan20,则在ACL匹配流量时应区分出vlan10到vlan20的流量。

3 相关配置S5510配置vlan 10 //创建业务vlanport g1/0/1quitvlan 20 //创建业务vlanport g1/0/2quitvlan 100 //用于连接上层出口的vlanport g1/0/23quitvlan 101 //用于连接上层出口的vlanport g1/0/24quitint vlan 10ip address 192.168.10.1 24quitint vlan 20ip address 192.168.20.1 24quitint vlan 100ip address 100.1.1.1 24 //用于上连的IP地址quitint vlan 101ip address 200.1.1.2 24 //用于上连的IP地址quitip route-static 0.0.0.0 0 100.1.1.2 preference 60 //默认所有流量从电信出去ip route-static 0.0.0.0 0 200.1.1.2 preference 80 //网通出口备份quitacl number 3000 //区分出vlan20到vlan10的数据流rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255quitacl number 3001 //匹配从网通出去的流量rule permit ip source 192.168.20.0 0.0.0.255quit#traffic classifier a operator and //定义类aif-match acl 3000 //匹配vlan20去往vlan10的流量traffic classifier b operator and //定义类bif-match acl 3001 //匹配vlan20上网的流量#traffic behavior a //定义行为afilter permit //执行动作为允许traffic behavior b //定义行为bredirect next-hop 200.1.1.1 //重定向下一跳为网通出口#qos policy h3c //创建策略h3cclassifier a behavior a //将类a和行为a绑定classifier b behavior bquitqos vlan-policy h3c vlan 20 inbound //针对vlan20应用该策略模拟Internet环境配置(3610)#interface Ethernet1/0/1port link-mode routeip address 100.1.1.1 255.255.255.0 //模拟电信网关#interface Ethernet1/0/2port link-mode routeip address 200.1.1.1 255.255.255.0 //模拟网通网关#interface Ethernet1/0/24port link-mode routeip address 2.2.2.1 255.255.255.0 //公网主机网关#ip route-static 192.168.10.0 255.255.255.0 100.1.1.2ip route-static 192.168.20.0 255.255.255.0 200.1.1.2#4 测试分析1、经过以上配置后,vlan10和vlan20访问Internet和互访时数据流走向如下:A.vlan10内PCA访问Internet中的某主机2.2.2.10时其封装格式为:192.168.10.10→2.2.2.10首先送到网关,因为没有策略针对vlan10,所以直接查路由表,匹配默认路由送至100.1.1.1然后再经路由至2.2.2.10B.v lan10内PCA访问vlan20内的PCB:192.168.10.10→192.168.20.10,同样因为没有策略直接经网关查路由送至192.168.20.10C.v lan20内的主机PCB访问Internet内的主机2.2.2.10时:192.168.20.10→2.2.2.10,首先封装目的MAC为网关,到达5510后匹配策略h3c,第一条classifier a behavior a中ACL的目标是192.168.10.0所以不匹配,然后匹配下一跳,符合,修改下一跳为200.1.1.1D.vlan20内的主机PCB访问vlan10中的主机PCA时:192.168.20.10→192.168.10.10首先封装MAC地址为vlan20的网关,然后匹配策略h3c中的第一条classifier a behavior a,执行行为为允许。

H3C路由器怎么设置基于源地址的策略路由

H3C路由器怎么设置基于源地址的策略路由

H3C路由器怎么设置基于源地址的策略路由基于源地址的策略路由是一种根据数据包源地址的不同来选择不同转发路径的技术。

通过设定优先级和条件,将不同的源地址组合到不同的策略路由中,从而实现流量的灵活控制与管理。

这种技术可以用来实现各种场景的网络流量控制,例如将特定的源地址流量指定到指定的出口链路。

二、创建策略路由使用H3C路由器配置基于源地址的策略路由的第一步是创建策略路由。

创建策略路由需要指定要匹配的流量条件和对应的转发路径。

下面是创建策略路由的步骤:1. 登录到H3C路由器的命令行界面或Web管理界面,进入系统配置模式。

2.创建策略路由的路由策略,并进入策略路由配置模式:```[Router] route-policy policy1[Router-route-policy-policy1]```3.配置策略路由的流量匹配条件,可以根据源地址进行匹配:```[Router-route-policy-policy1] match ip source-address 1```这里的1表示要匹配的源地址的编号,可以根据实际需要进行调整。

4.配置策略路由的转发路径。

这里需要指定转发的接口和下一跳地址:```[Router-route-policy-policy1] apply interfaceGigabitEthernet0/0/1 ip-address 10.0.0.1```这里的GigabitEthernet0/0/1是需要转发的接口,10.0.0.1是对应的下一跳地址。

5.退出策略路由配置模式。

```[Router-route-policy-policy1] quit```6.保存配置并退出系统配置模式。

```[Router] save[Router] quit```三、应用策略路由策略路由配置完成后,需要将其应用到实际的转发过程中。

应用策略路由需要指定要应用的接口和方向。

下面是应用策略路由的步骤:1. 登录到H3C路由器的命令行界面或Web管理界面,进入系统配置模式。

H3C-Router-policy

H3C-Router-policy

过滤器Acl、ip-perfix、as-path、community-list配置过滤列表:前缀列表------ip ip-prefix ip-prefix-name[ index index-number] {permit |deny } ip-address mask-length [ greater-equal min-mask-length ] [ less-equal max-mask-lengthAS path列表---------ip as-path as-pkath-number { deny | permit } regular-expression团体属性列表-----------基本团体属性列表i p community-list basic-comm-list-num{ deny| permit} [community-number-list ] [internet | no-advertise | no-export | no-export-subconfed ]高级团体属性列表ip community-list adv-comm-list-num { deny | permit } regular-expression重分发过滤Ospffilter { acl-number | ip-prefix ip-prefix-name } { import | export }filter命令用来配置对进出本区域的Type-3 LSA进行过滤。

undo filter命令用来取消对LSA的过滤。

缺省情况下,没有对Type-3 LSA进行过滤。

此命令只在ABR路由器上有效,对区域内部路由器无效。

filter-policy { acl-number | ip-prefix ip-prefix-name } export [ protocol [ process-id ] ] filter-policy export命令用来配置对引入的路由信息进行过滤。

h3c路由器配置方案

h3c路由器配置方案

h3c路由器配置方案H3C路由器配置方案1.简介本文档旨在详细介绍H3C路由器的配置方案。

H3C路由器是一款高性能、可靠性强的网络设备,具备灵活的配置能力和多种安全功能,可广泛应用于各种规模的企业网络环境。

2.路由器基本配置2.1 初始设置2.1.1 连接路由器2.1.2 进入路由器命令行界面2.1.3 配置路由器主机名2.1.4 设置管理口IP地质2.1.5 配置登录密码和特权级密码2.2 网络接口配置2.2.1 配置以太网接口参数2.2.2 配置VLAN接口参数2.2.3 配置子接口参数2.3 静态路由配置2.3.1 配置默认路由2.3.2 配置静态路由表2.4 动态路由配置2.4.1 配置OSPF动态路由2.4.2 配置BGP动态路由2.5 策略路由配置2.5.1 配置基于源IP的策略路由2.5.2 配置基于目的IP的策略路由3.安全配置3.1 访问控制列表(ACL)配置3.1.1 配置标准ACL3.1.2 配置扩展ACL3.1.3 配置ACL应用3.2 防火墙配置3.2.1 配置基于ACL的防火墙策略 3.2.2 配置应用层防火墙策略3.3 VPN配置3.3.1 配置IPSec VPN3.3.2 配置SSL VPN4.高可用性配置4.1 VRRP配置4.1.1 配置VRRP组4.1.2 配置虚拟IP地质 4.1.3 配置优先级4.2 HSRP配置4.2.1 配置HSRP组4.2.2 配置虚拟IP地质 4.2.3 配置优先级4.3 GLBP配置4.3.1 配置GLBP组4.3.2 配置虚拟IP地质4.3.3 配置优先级5.附件本文档附带以下附件,供参考:- 示例配置文件- H3C路由器官方文档6.法律名词及注释- ACL:访问控制列表(Access Control List),一种用于对网络流量进行过滤和控制的技术。

- VRRP:虚拟路由器冗余协议(Virtual Router Redundancy Protocol),用于实现路由器的冗余备份。

H3C 路由器 使用手册(适用型号:ER5000系列)

H3C 路由器 使用手册(适用型号:ER5000系列)

H3C 路由器使用手册(适用型号:ER5000系列)主要特性1 高处理性能er5000 系列采用64 位双核网络处理器,主频高达500mhz,处理能力相当于1ghz 的专业网络处理器,同时配合ddrii 高速ram 进行高速转发(er5100 可以达到100m 的线速转发,er5200 可以达到双wan 口200m 的线速转发)。

在实际应用中,er5000 系列的典型的带机量为300 台。

2 双wan 口负载均衡(仅er5200 支持)负载均衡可以让企业网用户根据线路实际带宽分配网络流量,达到充分利用带宽的目的。

针对国内网络用户的使用习惯和特点,er5200 提供智能负载均衡和手动负载均衡两种均衡模式,满足了需要灵活应用带宽的双线路接入用户的需求。

3 源地址路由(仅er5200 支持)er5200 提供独创的源地址路由功能,即可以通过指定局域网内计算机的出口来达到负载分担的效果。

4 策略路由(手动负载均衡)(仅er5200 支持)er5200 支持策略路由,可以将访问网通和电信的流量分别从不同的wan 口转发,实现“电信走电信,网通走网通”,充分利用双线路的优势。

5 arp 攻击防护er5000 系列通过ip/mac 地址绑定功能,固定了er5000 系列的arp 表项,可以有效防止arp 攻击。

6 arp 欺骗防护er5000 系列通过定时发送免费arp 报文,有效避免局域网计算机中毒后引发的arp 欺骗。

7 网络流量限速bt、迅雷等p2p 软件对网络带宽的过度占用会影响到网内其他用户的正常业务,er5000 系列通过基于ip 或基于nat 表项的网络流量限速机制,可以有效地控制单台计算机的上/下行流量或建立的nat 表项的个数,限制p2p 软件对网络带宽的过度占用。

8 多种管理方式er5000 系列支持两种管理方式:基于web 页面和命令行(cli)。

除了本地管理,er5000 系列还支持远程管理,在因特网上的计算机也可以对er5000 系列进行远程管理前面板er5100 前面板如下图所示。

H3C培训课件

H3C培训课件


5
路由策略与过滤器的关系
在路由引入( 时使用route-policy 在路由引入(import-route )时使用
route-policy由一系列的 由一系列的if-match子句和 子句和apply子句组成 由一系列的 子句和 子句组成 匹配as-path时使用 时使用as-path-acl 匹配 时使用 匹配community时使用 时使用community-list 匹配 时使用 匹配IP address时使用 时使用ip-prefix和acl 匹配 时使用 和
匹配路由信息的路由权值 匹配OSPF路由信息的标记域

10
定义路由策略的apply子句 子句 定义路由策略的
操作 在BGP路由信息的as-path系列前 加入指定的AS号 在BGP路由信息中设置团体属性 设置路由信息的下一跳地址 设置引入路由到IS-IS的级别: level-1、level-2还是level-1-2 设置BGP路由信息的本地优先级 设置路由信息的路由权值 设置路由信息的路由权类型 设置BGP路由信息的路由源 设置OSPF路由信息的标记域 命令 apply as-path as-number-1 [ as-number-2 [ as-number-3 ... ] ] apply community { { aa:nn | no-exportsubconfed | no-advertise | no-export }… [ additive ] | additive | none } apply ip-address [ default ] { next-hop ipaddress [ ip-address ] | acl acl-number } apply isis [ level-1 | level-2 | level-1-2 ] apply local-preference localpref apply cost value apply cost-type [ internal | external ] apply origin { igp | egp as-number | incomplete } apply tag value

路由策略

路由策略

1、路由策略:路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤。

2、路由策略(rp)与策略路由(pbr)路由策略:先路由后策略策略路由:先策略后路由3、acl、地址前缀列表、bgp4、ACL 抓路由路由策略:1.抓前缀相同是几就是几,不同都为零2、抓反掩码相同为零,不同为13.根据反掩码中1的个数N来验证所抓路由的条数为2的N次方条路由。

反掩码有几个一路由就有几个 3 两个一 2的2次方就是4思科access-list 1 permit 2.2.0.0 0.0.19.0 1、是标准号(思科1—199)(华为2000---2999) 增加条目时修改1的位置route-map h3c permit 1 h3c是组名1、是结点号match ip address 1 1、也是标准号router OSPF 1red rip route-map ccie subnets 删除重发布后在重启从发布华为acl number 2000 2000、是标准号rule 0 permit source 2.2.0.1 0 增加条目时修改0的位置quitroute-policy h3c permit node 10 10。

是结点if-match acl 2000ospf 1import-route rip 1 route-policy h3c5、地址前缀列表抓路由Cisco:Ip prefix-list 1 permit2.2.0.0/24 ge 25 le 26Route-map ccie permit 1Match ip address prefix-list 1Router ospf 1red rip route-map ccie subnets华为Ip ip-prefix 1 permit source 2.2.0.0 24 gr 25 le 26 Route-map ccie permit1If-Match ip address ip-prefix 1Ospfimport-route rip 1 route-policy h3c。

H3C路由策略

H3C路由策略

首先看一下策略路由是怎么匹配的拓扑如下:要求:规范R4和R5去往R0的流量,(R4 ping R0上100.100.100.100时流量从R1走,R5 ping R0上1 00.100.100.100时流量从R2走)环境:保证整个网络路由可达,建议写静态路由;R4和R5去往R0时有两条路可选,链路冗余,随便down一条都可以通R0;为了方便测试,可以在R1和R2上接R0的接口开NAT下面主要配置R3,几条命令而已配置192网段的策略路由吧1:定义ACL匹配的目的地址是100.100.100.100acl number 3000rule 0 permit ip destination 100.100.100.100 0.0.0.02:配置策略路由,定义匹配的流量以及修改下一跳地址policy-based-route 192to100 permit node 1if-match acl 3000apply ip-address next-hop 1.1.1.1003:将策略路由应用到接口 (这一条策略路由是为192.168.1.100到100.100.100.100写的,所以应该应用到R3上192.168.1.1这个接口)ip policy-based-route 192to100配置172网段的策略路由1:定义ACL匹配的目的地址是100.100.100.100acl number 3001rule 0 permit ip destination 100.100.100.100 0.0.0.02:配置策略路由,定义匹配的流量以及修改下一跳地址policy-based-route 172to100 permit node 2if-match acl 3001apply ip-address next-hop 2.2.2.1003:将策略路由应用到接口 (这一条策略路由是为172.16.1.100到100.100.100.100写的,所以应该应用到R3上172.16.1.1这个接口)ip policy-based-route 172to100策略路由就配置完了,不会影响该拓扑的链路冗余,假如R1down掉后,192to100这条策略路由的下一跳地址将不可达,R3会根据路由表转发,此时R4去往R0的流量从R2走实验结果:R4 ping 100.100.100.100R5 ping 100.100.100.100可以看到流量已经规范了。

华为路由器路由策略和策略路由

华为路由器路由策略和策略路由

路由策略和策略路由一、路由策略简介路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。

路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如:1、控制路由的接收和发布只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。

2、控制路由的引入在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。

3、设置特定路由的属性修改通过路由策略过滤的路由的属性,满足自身需要。

路由策略具有以下价值:通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。

、基本原理路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。

在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。

若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。

图1路由策略原理图如图1,一个路由策略中包含N(N>=1)个节点(Node)。

路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。

匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。

当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。

匹配模式分permit和deny两种:permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。

deny:路由将被拒绝通过。

当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。

如果和所有节点都匹配失败,路由信息将被拒绝通过。

过滤器路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。

h3c策略路由

h3c策略路由

目录1 策略路由 .............................................................................................................................................. 1-11.1 策略路由简介.................................................................................................................................... 1-11.2 配置策略路由.................................................................................................................................... 1-11.2.1 配置QoS策略 ....................................................................................................................... 1-11.2.2 应用QoS策略 ....................................................................................................................... 1-21.3 策略路由显示和维护......................................................................................................................... 1-31.4 策略路由典型配置举例 ..................................................................................................................... 1-31.4.1 IPv4策略路由配置举例........................................................................................................... 1-31.4.2 IPv6策略路由配置举例........................................................................................................... 1-41 策略路由1.1 策略路由简介策略路由(policy-based-route)是一种依据用户制定的策略进行路由选择的机制。

华三 IP路由配置指导-策略路由配置

华三 IP路由配置指导-策略路由配置

目录1策略路由······················································································································ 1-11.1 策略路由简介············································································································· 1-11.1.1 报文的转发流程 ································································································· 1-11.1.2 策略路由类型 ···································································································· 1-11.1.3 策略简介·········································································································· 1-11.1.4 策略路由与Track联动 ························································································· 1-21.2 策略路由配置任务简介································································································· 1-21.3 配置策略··················································································································· 1-31.3.1 创建策略节点 ···································································································· 1-31.3.2 配置策略节点的匹配规则 ····················································································· 1-31.3.3 配置策略节点的动作 ··························································································· 1-41.4 应用策略··················································································································· 1-71.4.1 对本地报文应用策略 ··························································································· 1-71.4.2 对接口转发的报文应用策略 ·················································································· 1-71.5 策略路由显示和维护···································································································· 1-81.6 策略路由典型配置举例································································································· 1-81.6.1 基于报文协议类型的本地策略路由配置举例 ····························································· 1-81.6.2 基于报文协议类型的转发策略路由配置举例 ··························································· 1-101.6.3 基于报文长度的转发策略路由配置举例 ································································· 1-111.6.4 基于报文源地址的转发策略路由配置举例 ······························································ 1-141.6.5 基于报文应用类型的转发策略路由配置举例 ··························································· 1-161.6.6 基于报文服务类型的转发策略路由配置举例 ··························································· 1-171 策略路由1.1 策略路由简介与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。

H3C MSR 3620策略路由

H3C MSR 3620策略路由

PBR实验报告杭州华三通信技术有限公司Hangzhou H3C Technologies Co., Ltd.版权所有侵权必究All rights reserved一实验拓扑图二需求说明如图所示User1 的用户通过电信线路上网,这里在配置中用192.168.1.0/24的网段来模拟User1,其它的用户通过联通的线路上网,这里以192.168.2.0/24的网段来模拟用户,服务器用192.168.3.0/24模拟。

其中电信的线路是通过拨号上网的,而联通的线路是通过固定IP地址上网,服务器是通过静态映射的方式使得内网用户和外网用户都可以通过进行访问。

(电信侧的4.1.1.1 IP地址和联通侧的5.1.1.1 IP地址是方便测试策略路由是否设置成功)三设备配置[SW1]display current-configurationvlan 10interface LoopBack0ip address 192.168.1.1 255.255.255.0 //模拟用户1#interface LoopBack2ip address 192.168.2.1 255.255.255.0 //模拟用户2#interface LoopBack3ip address 192.168.3.1 255.255.255.0 //模拟服务#interface Vlan-interface10ip address 172.168.1.2 255.255.255.0interface GigabitEthernet1/0/2port link-mode bridgeport access vlan 10combo enable fiberip route-static 0.0.0.0 0 172.168.1.1[RTC]display current-configurationdialer-group 1 rule ip permitpolicy-based-route lht permit node 10 //策略路由if-match acl 3001 // 策略路由中的引流apply output-interface Dialer1 //允许数据通过Dialer1口出去#interface Dialer1dialer bundle enabledialer-group 1dialer timer idle 0ip address ppp-negotiateinterface GigabitEthernet0/0port link-mode routecombo enable coppernat outboundpppoe-client dial-bundle-number 1 //电信出接口通过拨号获取地址interface GigabitEthernet0/1port link-mode routecombo enable copperip address 2.2.2.1 255.255.255.0nat outboundnat static enable#interface GigabitEthernet0/2port link-mode routecombo enable copperip address 172.168.1.1 255.255.255.0nat outboundnat static enableip policy-based-route lht //内网接口中的路由策略的应用ip route-static 0.0.0.0 0 Dialer1 preference 100ip route-static 0.0.0.0 0 2.2.2.2ip route-static 192.168.1.0 24 172.168.1.2ip route-static 192.168.2.0 24 172.168.1.2ip route-static 192.168.3.0 24 172.168.1.2#acl advanced 3001rule 10 permit ip source 192.168.1.0 0.0.0.255nat static outbound 192.168.3.1 3.3.3.3四实验结果[SW1]ping -a 192.168.1.1 5.1.1.1Ping 5.1.1.1 (5.1.1.1) from 192.168.1.1: 56 data bytes, press CTRL_C to break Request time outRequest time outRequest time out[SW1]ping -a 192.168.1.1 4.1.1.1Ping 4.1.1.1 (4.1.1.1) from 192.168.1.1: 56 data bytes, press CTRL_C to break56 bytes from 4.1.1.1: icmp_seq=0 ttl=254 time=1.658 ms56 bytes from 4.1.1.1: icmp_seq=1 ttl=254 time=1.544 ms56 bytes from 4.1.1.1: icmp_seq=2 ttl=254 time=1.967 ms56 bytes from 4.1.1.1: icmp_seq=3 ttl=254 time=1.293 ms[SW1]ping -a 192.168.2.1 4.1.1.1Ping 4.1.1.1 (4.1.1.1) from 192.168.2.1: 56 data bytes, press CTRL_C to breakRequest time outRequest time outRequest time out[SW1]ping -a 192.168.2.1 5.1.1.1Ping 5.1.1.1 (5.1.1.1) from 192.168.2.1: 56 data bytes, press CTRL_C to break56 bytes from 5.1.1.1: icmp_seq=0 ttl=254 time=1.318 ms56 bytes from 5.1.1.1: icmp_seq=1 ttl=254 time=1.220 ms用户1ping联通侧的5.1.1.1的地址无法ping通,ping电信侧的4.1.1.1是通的,而其它的用户可以ping通5.1.1.1,ping不通4.1.1.1,即实验中其它的用户的数据是通过联通上网,用户1是通过电信上网。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

list)
团体属性列表(community-list)
Route-policy
10
路由策略

路由策略概述
访问控制列表(ACL) 前缀列表(ip-prefix) 自治系统路径信息访问列表(as-path list) 团体属性列表(community-list)





Route-policy
RIP只接收10.1.0.0/16网段的路由 RIP只发布10.2.0.0/16网段的路由
[Quidway]acl number 2000 [Quidway-acl-basic-2000]rule permit source 10.1.0.0 0.0.255.255 [Quidway-acl-basic-2000]rule deny source any [Quidway]acl number 2001 [Quidway-acl-basic-2001]rule permit source 10.2.0.0 0.0.255.255 [Quidway-acl-basic-2001]rule deny source any [Quidway]rip [Quidway-rip]filter-policy 2000 import [Quidway-rip]filter-policy 2001 export
[Quidway] ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18 [Quidway]bgp 65400 [Quidway-bgp]peer 1.1.1.1 ip-prefix p1 import
注意:对于单一的BGP邻居只能对接收的路由(import)进行过滤,对特定 的BGP邻居组则可以对发布(export)和接收的路由都进行过滤。

路由策略仅仅在路由发现的时候产生作用,它可以影响路由信 息的发布、接收或路由选择的参数,从而改变路由发现的结果, 最终改变的是路由表的内容。

策略路由是在报文转发的时候才发生作用,它可以通过设置的
规则影响数据报文的转发。

路由策略与策略路由的工作层面以及面向的对象均不同。我们 应该掌握二者的联系与区别。
2
课程内容
路由策略与策略路由引言
路由策略 策略路由 路由策略与策略路由实验
3
路由策略与策略路由引言
Router E B Link Router D
公司总部(中国)
Router C Router A
Router F
欧洲地区总部
A子公司
A Link:GRE+IP Sec
Router B
B子公司
4
路由策略与策略路由引言
18
前缀列表(ip-prefix)配置举例(三)
# 定义一条名称为p1的地址前缀列表,只允许10.0.192.0/8网段
的,掩码长度为大于18的路由通过。
[Quidway] ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 18

实际匹配的掩码长度范围18~32,实际匹配的网段为:


10.0.192.0/18或
10.0.192.0/19或 ……
10.0.192.0/31或
10.0.192.0/32
19
前缀列表(ip-prefix)配置举例(四)
# 定义一条名称为p1的地址前缀列表,只允许10.0.192.0/8网段
的路由通过。
[Quidway] ip ip-prefix p1 permit 10.0.192.0 8
21
利用前缀列表实现路由发布和接收策略(二)

在BGP/OSPF/RIP/IS-IS视图下,利用filter-policy根据前缀列表
(ip-prefix)规则对发布或接收的路由进行过滤

只接收来自由前缀列表(ip-prefix)规则所匹配的特定网关(路由 器)的路由
filter-policy gateway ip-prefix-name import
filter-policy ip-prefix ip-prefix-name gateway ip-prefix-name import
22
利用前缀列表实现路由发布和接收策略(三)
只接收来自BGP邻居10.1.1.1的路由
[Quidway] ip ip-prefix p1 permit 10.1.1.1 32 [Quidway]bgp 65400 [Quidway-bgp]filter-policy gateway p1 import
5
课程内容
路由策略与策略路由引言
路由策略 策略路由 路由策略与策略路由实验
6
路由策略

路由策略概述
访问控制列表(ACL) 前缀列表(ip-prefix) 自治系统路径信息访问列表(as-path list) 团体属性列表(community-list)





Route-policy
7
路由的发布、接收和引入

只发布或接收由前缀列表(ip-prefix)规则所匹配的路由
filter-policy ip-prefix ip-prefix-name import filter-policy ip-prefix ip-prefix-name export [ protocol ]

只接收来自由前缀列表(ip-prefix)规则所匹配的特定网关(路由 器),而且配置一定前缀列表(ip-prefix)规则的路由
范围,用于匹配路由信息的源地址。

使用高级访问列表,则可以使用协议类型、源/目的地址或端口号等多种 参数匹配路由信息。
12
利用ACL实现路由发布和接收策略(一)

在BGP视图下,对BGP邻居(组)发布或接收路由时根据ACL
规则进行路由过滤
peer { group-name | peer-address } filter-policy acl-number { import | export }
从邻居1.1.1.1只接收10.1.0.0/16网段的路由
[Quidway]acl number 2000 [Quidway-acl-basic-2000]rule permit source 10.1.0.0 0.0.255.255 [Quidway-acl-basic-2000]rule deny source any [Quidway]bgp 65400 [Quidway-bgp]peer 1.1.1.1 filter-policy 2000 import
部分满足条件的路由信息,并对所引入的路由信息的某些属性 进行设置或修改,以使其满足本协议的要求。

为实现路由策略,首先要定义将要实施路由策略的路由信息的
特征,即定义一组匹配规则,可以以路由信息中的不同属性作 为匹配依据进行设置,如目的地址、发布路由信息的路由器地
址等。
9
五种常见的路由过滤方法
访问控制列表(ACL) 前缀列表(ip-prefix) 自治系统路径信息访问列表(as-path
华为3Com网络学院第六学期
第2章 路由策略与策略 路由
ISSUE 1.0
华为3Com培训中心
华为3Com公司版权所有,未经授权不得使用与传播
学习目标
学习完本课程,您应该能够:

理解路由策略和策略路由的基本概念
掌握应用路由策略的五种过滤工具的使 用方法


掌握如何利用Route-policy实现IP单播 及IP组播策略路由
14
路由策略

路由策略概述
访问控制列表(ACL) 前缀列表(ip-prefix) 自治系统路径信息访问列表(as-path list) 团体属性列表(community-list)





Route-policy
15
前缀列表(ip-prefix)

前缀列表(ip-prefix)通过IP地址以及掩码长度范围来定义一定
16
前缀列表(ip-prefix)配置举例(一)
# 定义一条名称为p1的地址前缀列表,只允许10.0.192.0/8网段
的,掩码长度为17或18的路由通过。
[Quidway] ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18
对邻居发布路由
从邻居接收路由
不同路由协议间引入路由 OSPF BGP

如何有选择性的发布、接收和引入路由?
8
IP路由策略

路由器在发布与接收路由信息时,可能需要实施一些策略,以 便对路由信息进行过滤,比如只接收或发布一部分满足给定条 件的路由信息;

路由器在引入其它路由协议的路由信息时,可能需要只引入一
的IP前缀范围。
ip ip-prefix ip-prefix-name [ index index-number ] { permit | deny } network len [ greater-equal greater-equal | less-equal less-equal ]

注意:

地址前缀列表的各表项之间的过滤关系是“或”的关系,即通过 一条表项的过滤就意味着通过该地址前缀列表的过滤。若没有通 过任一表项的过滤,则通不过该地址前缀列表的过滤。
11
访问控制列表
Advanced:表示高级访问控制列表; Basic:表示基本访问控制列表;

Interface:表示基于接口的访问控制列表;

在对路由信息过滤时,一般使用基本访问列表和高级访问控制列表。