华为交换机策略路由应用案例

策略路由和路由策略

策略路由是尽管存在当前最优的路由,但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。在数据包转发的时候发生作用、不改变路由表中任何内容。

路由策略是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果,最终改变的是路由表的内容。是在路由发现的时候产生作用。对路由表产生影响。

策略路由优先于路由策略,当前案例适用策略路由。

网络拓扑

需求

防火墙:防火墙A只为136.147.0.0/24、136.147.10.0/24地址范围的服务器提供互联网服务。防火墙B为其他所有用户提供可管理的互联网服务。

服务器接入交换机:只提供二层转发,通过端口vlan接入不同业务的服务器,服务器地址范围136.147.0.0/24、136.147.10.0/24。网关配置在核心交换机上。

运营商内网业务交换机:运营商专网交换机下挂客户端地址范围172.16.1.0/24、10.0.16.0/24。启用三层自身作为客户端网关,通过10.100.208.100/30上联核心交换机。

其他网段汇聚交换机:下挂集团公司各分支部门PC和POS客户端,地址分布在136.147.88.0-136.148.88.0等范围,规律是都分布在136.0.0.0/8地址范围内。启用三层功能作为客户端网关,通过136.160.1.8/30上联核心交换机。

配置要点

1,网络初步配置结束保证在核心交换机配置地址和静态路由可以ping通所有客户端和防火墙接口。

2,在核心交换机添加默认路由到防火墙B。通过流分类只是将136.147.0.0/24、136.147.10.0/24转发给防火墙A。

1
2
#设置默认路由
ip route-static 0.0.0.0 0.0.0.0 136.160.1.6
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
#该ACL极为重要,否则内网不通
#主要用于匹配内网网段之间互访的数据流,这部分数据流不需要做重定向,
#如果不配置这一步会导致内网之间互访的流量也被重定向,从而导致内网互访不通。
acl name fuwuqi-to-nei 3000
rule 5 permit ip source 136.0.0.0 0.255.255.255 destination 136.0.0.0 0.255.255.255
rule 10 permit ip source 136.0.0.0 0.255.255.255 destination 192.168.0.0 0.0.255.255
rule 15 permit ip source 136.0.0.0 0.255.255.255 destination 172.0.0.0 0.255.255.255
rule 20 permit ip source 136.0.0.0 0.255.255.255 destination 10.0.0.0 0.255.255.255
#匹配服务器地址范围
acl name fuwuqi-to-any 3001
rule 5 permit ip source 136.147.0.0 0.0.0.255
rule 10 permit ip source 136.147.10.0 0.0.0.255
#配置流分类
traffic classifier fuwuqi-to-any operator or
if-match acl fuwuqi-to-any
traffic classifier fuwuqi-to-nei operator or
if-match acl fuwuqi-to-nei
#配置流行为下一条重定向到防火墙A
traffic behavior fuwuqi-to-any
redirect ip-nexthop 136.160.1.2
traffic behavior fuwuqi-to-nei
permit
#配置流策略
traffic policy fuwuqi
classifier fuwuqi-to-nei behavior fuwuqi-to-nei
classifier fuwuqi-to-any behavior fuwuqi-to-any
#应用到下联服务器接口入方向
interface Eth-Trunk2
description TO-1#8-S5720-28X
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy fuwuqi inbound