策略路由-企业网多出口

最新推荐文章于 2024-06-17 15:26:26 发布
最新推荐文章于 2024-06-17 15:26:26 发布
阅读量191 收藏 2
点赞数 1
分类专栏: 企业网 文章标签: 华为 网络 网络协议 ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650628/article/details/133903449
版权

本次客户的实验需求:

《双互联网接入技术应用研究》

       为保障网络的稳定性、可靠性、流畅性,许多单位、企业会选择多运营商接入互联网,既能够实现互相的冗余,又能够根据不同的流量进行负载分担,尤其是对不同运营商数据中心的访问,可以实现智能选路,例如访问电信的数据中心流量从电信出口,访问联通数据中心的流量从联通的出口出。

客户去求做一个小场景实验,我设计的拓扑如下,我不建议大家用防火墙做策略路由,主要因为ensp的路由器bug,期初我的想法是用AR系列路由在公司出口通过负载缺省路由+nat的方式做PBR,这样效果更符合些,后来发现,AR系列的PBR策略不能在接口下调用,只能调用在全局,但全局不生效,我改用R系列,那么R系列的bug就是nat没有效果,所以,最后我为了实现PBR的效果改用R系列路由器,省去了nat。

如果有PBR且NAT需求的铁铁,这里出口设备改用usg6000v防火墙,防火墙二者都可以实现。

话不多说,上完整配置:

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw2
[sw2]vlan ba 10 20 
[sw2]inte e0/0/1
[sw2-Ethernet0/0/1]po link ac
[sw2-Ethernet0/0/1]po de vlan 10 
[sw2-Ethernet0/0/1]inte e0/0/2
[sw2-Ethernet0/0/2]po link ac
[sw2-Ethernet0/0/2]po de vlan 20
[sw2-Ethernet0/0/2]inte e0/0/3
[sw2-Ethernet0/0/3]po link tr
[sw2-Ethernet0/0/3]po tr al vlan 10 20  

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw3
[sw3]vlan ba 30 40 
[sw3]inte e0/0/1
[sw3-Ethernet0/0/1]po link ac
[sw3-Ethernet0/0/1]po de vlan 30 
[sw3-Ethernet0/0/1]inte e0/0/2
[sw3-Ethernet0/0/2]po link ac
[sw3-Ethernet0/0/2]po de vlan 40
[sw3-Ethernet0/0/2]inte e0/0/3
[sw3-Ethernet0/0/3]po link tr
[sw3-Ethernet0/0/3]po tr al vlan 30 40

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw1
[sw1]vlan ba 10 20 30 40 100
[sw1]stp ro pr  
[sw1]inte g0/0/1
[sw1-GigabitEthernet0/0/1]po link tr
[sw1-GigabitEthernet0/0/1]po tr al vlan 10 20
[sw1-GigabitEthernet0/0/1]inte g0/0/2
[sw1-GigabitEthernet0/0/2]po link tr
[sw1-GigabitEthernet0/0/2]po tr al vlan 30 40  
[sw1-GigabitEthernet0/0/2]inte g0/0/3
[sw1-GigabitEthernet0/0/3]po link ac
[sw1-GigabitEthernet0/0/3]po de vlan 100 
[sw1-GigabitEthernet0/0/3]inte vlan 10 
[sw1-Vlanif10]ip add 192.168.10.254 24
[sw1-Vlanif10]inte vlan 20 
[sw1-Vlanif20]ip add 192.168.20.254 24
[sw1-Vlanif20]inte vlan 30 
[sw1-Vlanif30]ip add 192.168.30.254 24
[sw1-Vlanif30]inte vlan 100
[sw1-Vlanif100]ip add 192.168.0.2 30
[sw1-Vlanif100]ip route-sta 0.0.0.0 0 192.168.0.1

[Huawei]sys R2
[R2]un in en 
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0] ip address 100.1.1.2 255.255.255.252 
[R2-GigabitEthernet0/0/0]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1] ip address 200.1.1.2 255.255.255.252 
[R2-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[R2-GigabitEthernet0/0/2] ip address 192.168.0.1 255.255.255.252 
[R2-GigabitEthernet0/0/2]q
[R2]ip route-static 192.168.0.0 255.255.0.0 192.168.0.2
[R2]ospf 
[R2-ospf-1]ar 0 
[R2-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0]net 200.1.1.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0]q
[R2-ospf-1]im static 
[R2-ospf-1]q

配置pbr的匹配流量
[R2]acl number 3000  
[R2-acl-adv-3000] rule 5 permit ip source 192.168.10.0 0.0.0.255  
[R2-acl-adv-3000] rule 10 permit ip source 192.168.30.0 0.0.0.255 
[R2-acl-adv-3000]acl number 3001  
[R2-acl-adv-3001] rule 5 permit ip source 192.168.20.0 0.0.0.255 
[R2-acl-adv-3001] rule 10 permit ip source 192.168.40.0 0.0.0.255 
[R2-acl-adv-3001]q

pbr策略,最后在流量的入接口调用即可
[R2]policy-based-route huawei permit node 10
[R2-policy-based-route-huawei-10] if-match acl 3000
[R2-policy-based-route-huawei-10] apply ip-address next-hop 100.1.1.1  
[R2-policy-based-route-huawei-10]policy-based-route huawei permit node 20
[R2-policy-based-route-huawei-20] if-match acl 3001
[R2-policy-based-route-huawei-20] apply ip-address next-hop 200.1.1.1  
[R2-policy-based-route-huawei-20]inte g0/0/2
[R2-GigabitEthernet0/0/2]ip policy-based-route huawei 

<Huawei>sys
[Huawei]un in en
[Huawei]sys AR2
[AR2]inte g0/0/0
[AR2-GigabitEthernet0/0/0]ip ad 100.1.1.1 30 
[AR2-GigabitEthernet0/0/0]inte g0/0/1
[AR2-GigabitEthernet0/0/1]ip ad 100.1.1.6 30
[AR2-GigabitEthernet0/0/1]ospf 
[AR2-ospf-1]
[AR2-ospf-1]ar 0 
[AR2-ospf-1-area-0.0.0.0]net 100.1.1.4 0.0.0.3
[AR2-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.3

<Huawei>sys
[Huawei]un in en
[Huawei]sys AR3
[AR3]inte g0/0/0
[AR3-GigabitEthernet0/0/0]ip ad 200.1.1.1 30 
[AR3-GigabitEthernet0/0/0]inte g0/0/1
[AR3-GigabitEthernet0/0/1]ip ad 200.1.1.6 30
[AR3-GigabitEthernet0/0/1]ospf 
[AR3-ospf-1]ar 0 
[AR3-ospf-1-area-0.0.0.0]net 200.1.1.0 0.0.0.3
[AR3-ospf-1-area-0.0.0.0]net 200.1.1.4 0.0.0.3

<Huawei>sys
[Huawei]un in en
[Huawei]sys R1
[R1]inte g0/0/0
[R1-GigabitEthernet0/0/0]ip ad 100.1.1.5 30 
[R1-GigabitEthernet0/0/0]inte g0/0/1
[R1-GigabitEthernet0/0/1]ip ad 200.1.1.5 30
[R1-GigabitEthernet0/0/1]inte loop0
[R1-LoopBack0]ip ad 100.100.100.100 32
[R1-LoopBack0]ospf 
[R1-ospf-1]ar 0 
[R1-ospf-1-area-0.0.0.0]net 100.1.1.4 0.0.0.3
[R1-ospf-1-area-0.0.0.0]net 200.1.1.4 0.0.0.3
[R1-ospf-1-area-0.0.0.0]net 100.100.100.100 0.0.0.0

实验现象

华为网络设计 Ensp
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
策略路由典型配置:通过流策略实现策略路由企业多条网络出口的典型配置)
迷逝
09-05 1129
策略路由典型配置:通过流策略实现策略路由(即重定向到不同的下一条)
策略路由技术在多出口校园网络的应用
12-09
当前不同网络运营商间的互联互通普遍存在瓶颈,访问速度慢,甚至完全不能访问。因此,很多单位均采用 ...结合实际,提出了基于策略路由技术的方案,提高了不同目标网络的访问速度,同时增强了网络的安 全性
基于策略路由部署的网络出口设计研究与实现
毕业作品网站
07-23 1515
摘 要:基于策略的路由是一种比基于目的网络的路由更灵活的数据包路由和转发机制。路由器处理需要转发的数据包,通过路由图决策,路由图确定数据包的下一个路由器转发路径。该设计以校园网为背景,采用多出口周边网络方案,可以缓解CERNET与公网互联不畅的问题,但会导致周边网络路由复杂。为此,您应该在实施此方案之前规划好您的周边网络路由,并通过掌握该流量在您的周边网络的转发过程来有效地预留流量。外网只能访问内网记录服务器,内网主机可以自动选择出口访问外网。实验基于典型计算机网络环境对网络功能的要求,使用ENSP模拟
企业路由双出口策略路由及冗余配置
A soul tortured by desire
06-23 7958
参照本人文章《华为策略路由,实现双线选路上网》https://blog.csdn.net/WannaHaha/article/details/106859778 背景 虽然策略路由可以实现根据不同源地址选择不同运营商网络,可是要是有一个运营商出现故障时,原来通过策略路由实现连接Internet的PC1就会断开!!! 要求: 很多情况下,公司不允许出现断网情况,但是运行商会有一些不可预估的问题出现 想解决此问题只能使用双出口,在一条链路断了,可以跳转到另一个链路,实现企业出口,..
华为策略路由route-policy
Ddfgxfgg的博客
11-24 4586
路由策略,route-policy,PBR(Policy-Based Routing),软考网工下午实验题
策略路由PBR
u012451051的博客
07-08 9800
策略路由
型公司网络-双出口
MZC999999的博客
06-27 1215
X-Jieru-1-Ethernet0/0/1] traffic-filter inbound acl 3000 --在入接口应用。vap-profile name X-XS-AP --在虚拟AP下关联SSID/安全认证/下发的vlan等。ap-id 0 ap-mac 00e0-fc43-2d40 --静态绑定CW-AP的MAC地址。ap-id 1 ap-mac 00e0-fc08-1930 --静态绑定XS-AP的MAC地址。
防火墙的策略路由
qq_32044265的博客
11-17 2559
策略路由是由匹配条件和动作组成的,FW收到流量后,对流量的属性进行识别,并将流量的属性与策略路由的匹配条件进行匹配。策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,从更多的维度(入接口、源安全区域、源/目的IP地址、用户、服务、应用)来决定报文如何转发,根据用户制定的策略进行路由选择的机制。策略路由从策略列表顶端开始逐条向下匹配,如果流量匹配了某个策略路由,将不再进行下一个策略的匹配。如果策略路由配置的所有匹配条件都匹配,则此流量成功匹配该策略路由规则,并执行策略路由的动作。
静态路由企业网配置实例
qq_65841032的博客
08-10 318
静态路由主要应用在小型网络,三层交换机或者路由器组网的设备台数有限,总的网络路由数量有限,维护的工作量可控,此时就可以考虑采用静态路由;或者是网络设备不支持一些动态路由协议比如RIP,OSPF时只能采用静态路由;另外针对出口设备,比如路由器,防火墙等,针对公网internet的默认路由可以采用静态路由来配置,另外一些网吧,或者高校环境,采用电信,联通,教育网等多家运行商出口链路的时候,针对教育网或者联通的资源采用地址库的方式(也就是静态路由的方式)进行精确匹配,让数据流访问联通的优先走联通出口,访问教育网
华为防火墙企业出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其一条出现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
华为设备实现双出口访问外网nat 策略路由配置
cx的博客
05-19 6943
实验:双出口访问外网nat 策略路由配置 1、内网使用nat访问外网 2、访问联通流量默认走联通线路,电信流量默走电信线路 3、当线路出现故障时,可切换到另一个链路 4、来回路径一致 5、通过NQA技术检测网络状态,连通性 配置一个外网的DNS服务器做为NQA测试的路由 ip route-s 188.202.98.1 32 11.1.1.1 ip route-s 202.98.224.68 32 12.1.1.1 配置NQA监测网络连通 ===nqa nqa test-instance cucc lian
华为基于基于源地址的策略路由.docx
09-30
1. 大型企业网络,基于源地址的策略路由可以用于控制报文转发和选择出口。 2. 在数据,基于源地址的策略路由可以用于控制报文转发和选择出口,提高网络安全性。 3. 在 Campus 网络,基于源地址的策略路由...
锐捷网络策略路由.pptx
10-09
策略路由可以在多出口情况下实现灵活的路由选择,例如在校园网、企业网等场景策略路由的配置: 策略路由的配置主要通过route-map语句实现。route-map语句可以对符合条件的数据包实施路由策略,例如permit和...
Linux环境下基于策略路由实现多线路负载均衡.pdf
09-06
在Linux操作系统,利用策略路由(Policy Routing)可以有效地解决多出口网络的问题,实现流量分割与负载均衡。本文将详细介绍Linux策略路由,并给出具体的应用实例。 策略路由是一种在网络层决定数据包转发...
H3C_综合配置之小型企业网络基础案例
04-20
整个配置过程涉及到网络分段、VLAN隔离、trunk链路建立、路由配置、ACL控制以及NAT转换等多个核心网络概念,对于理解和实践企业网络部署具有很高的参考价值。通过这样的配置,企业可以根据实际需求灵活地管理和...
华为免费实战课】基于ENSP实现企业园区网组网项目实战
最新发布
mengmeng_921的博客
06-17 466
带你一起走进网工的世界!2024年G-LAB【华为实战公开课】即将开始啦!华为实战千万别错过!公开课为期四天,6月18日-6月21日晚20:00开始。
华为数据驱动的企业数字化转型之路
超级英雄吉姆的博客
06-14 1088
数据驱动的数字化转型是企业未来发展的关键。通过构建完善的数据治理体系,包括差异化的数据管理、面向业务的信息架构、数据底座建设和自助数据服务,企业可以提升数据的利用效率和决策能力
华为Atlas 300I 推理卡显卡安装
yinjl123456的博客
06-12 1217
需用户在宿主机自行安装docker(使用NPU 20.0.X和NPU 20.1.X系列版本软件包安装时,版本要求大于等于18.03)。NPU 1.X.X 软件包版本 不支持docker容器内安装,卸载完,安装 NPU 20.2.X。如果用户不需要指定安装路径,安装包会安装到默认路径“/usr/local/HiAI”下。卸载NPU 1.X.X系列版本软件包时,固件包集成在驱动包内,卸载驱动会自动卸载固件。如果用户不需要指定安装路径,软件包默认安装路径:/usr/local/Ascend。
VRRP跟踪接口及认证(华为
h11016616的博客
06-13 1072
当 VRRP 的 Master 设备的上行接口出现问题, 而 Master 设备一直保持 Active 状态,那么就会导致网络出现断,所以必须要使得 VRRP 的运行状态和上行接口能够关联。在配置了 VRRP 元余的网络, 为了进一步提高网络可靠性,需要在 Master 设备上配置上行接口监视,监视连接了外网的出接口。即当此接口断掉时,自动减小优先级一定的数值〈该数值由人为配置),使减小后的优先级小于 Backup 设备的优先级,这样 Backup设备就会抢占 Master 角色接替工作。
ensp防火墙web界面
02-28
ensp防火墙是华为公司推出的一款网络安全设备,它提供了丰富的功能和配置选项,可以帮助用户保护网络安全。ensp防火墙的web界面是一种通过浏览器访问的图形化界面,用于配置和管理ensp防火墙的各项功能。 ensp防火墙的web界面主要包括以下几个方面的功能: 1. 登录界面:用户需要输入正确的用户名和密码才能登录到ensp防火墙的web界面。 2. 配置界面:在配置界面,用户可以进行各种网络安全策略的配置,包括访问控制规则、***帮助用户实时监控网络安全状况。 4. 日志界面:日志界面可以显示ensp防火墙的各种日志信息,包括安全事件、系统日志等,用户可以通过日志来分析和排查网络安全问题。 5. 系统管理界面:系统管理界面提供了一些系统级别的配置选项,如设备管理、用户管理、系统升级等。 通过ensp防火墙的web界面,用户方便地进行各种网络安全策略的配置和管理,提高网络安全性和管理效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值