策略路由-企业网多出口

本次客户的实验需求:

《双互联网接入技术应用研究》

       为保障网络的稳定性、可靠性、流畅性,许多单位、企业会选择多运营商接入互联网,既能够实现互相的冗余,又能够根据不同的流量进行负载分担,尤其是对不同运营商数据中心的访问,可以实现智能选路,例如访问电信的数据中心流量从电信出口,访问联通数据中心的流量从联通的出口出。

客户去求做一个小场景实验,我设计的拓扑如下,我不建议大家用防火墙做策略路由,主要因为ensp的路由器bug,期初我的想法是用AR系列路由在公司出口通过负载缺省路由+nat的方式做PBR,这样效果更符合些,后来发现,AR系列的PBR策略不能在接口下调用,只能调用在全局,但全局不生效,我改用R系列,那么R系列的bug就是nat没有效果,所以,最后我为了实现PBR的效果改用R系列路由器,省去了nat。

如果有PBR且NAT需求的铁铁,这里出口设备改用usg6000v防火墙,防火墙二者都可以实现。

话不多说,上完整配置:

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw2
[sw2]vlan ba 10 20 
[sw2]inte e0/0/1
[sw2-Ethernet0/0/1]po link ac
[sw2-Ethernet0/0/1]po de vlan 10 
[sw2-Ethernet0/0/1]inte e0/0/2
[sw2-Ethernet0/0/2]po link ac
[sw2-Ethernet0/0/2]po de vlan 20
[sw2-Ethernet0/0/2]inte e0/0/3
[sw2-Ethernet0/0/3]po link tr
[sw2-Ethernet0/0/3]po tr al vlan 10 20  

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw3
[sw3]vlan ba 30 40 
[sw3]inte e0/0/1
[sw3-Ethernet0/0/1]po link ac
[sw3-Ethernet0/0/1]po de vlan 30 
[sw3-Ethernet0/0/1]inte e0/0/2
[sw3-Ethernet0/0/2]po link ac
[sw3-Ethernet0/0/2]po de vlan 40
[sw3-Ethernet0/0/2]inte e0/0/3
[sw3-Ethernet0/0/3]po link tr
[sw3-Ethernet0/0/3]po tr al vlan 30 40

<Huawei>sys
[Huawei]un in en
[Huawei]sys sw1
[sw1]vlan ba 10 20 30 40 100
[sw1]stp ro pr  
[sw1]inte g0/0/1
[sw1-GigabitEthernet0/0/1]po link tr
[sw1-GigabitEthernet0/0/1]po tr al vlan 10 20
[sw1-GigabitEthernet0/0/1]inte g0/0/2
[sw1-GigabitEthernet0/0/2]po link tr
[sw1-GigabitEthernet0/0/2]po tr al vlan 30 40  
[sw1-GigabitEthernet0/0/2]inte g0/0/3
[sw1-GigabitEthernet0/0/3]po link ac
[sw1-GigabitEthernet0/0/3]po de vlan 100 
[sw1-GigabitEthernet0/0/3]inte vlan 10 
[sw1-Vlanif10]ip add 192.168.10.254 24
[sw1-Vlanif10]inte vlan 20 
[sw1-Vlanif20]ip add 192.168.20.254 24
[sw1-Vlanif20]inte vlan 30 
[sw1-Vlanif30]ip add 192.168.30.254 24
[sw1-Vlanif30]inte vlan 100
[sw1-Vlanif100]ip add 192.168.0.2 30
[sw1-Vlanif100]ip route-sta 0.0.0.0 0 192.168.0.1

[Huawei]sys R2
[R2]un in en 
[R2]interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0] ip address 100.1.1.2 255.255.255.252 
[R2-GigabitEthernet0/0/0]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1] ip address 200.1.1.2 255.255.255.252 
[R2-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[R2-GigabitEthernet0/0/2] ip address 192.168.0.1 255.255.255.252 
[R2-GigabitEthernet0/0/2]q
[R2]ip route-static 192.168.0.0 255.255.0.0 192.168.0.2
[R2]ospf 
[R2-ospf-1]ar 0 
[R2-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0]net 200.1.1.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0]q
[R2-ospf-1]im static 
[R2-ospf-1]q

配置pbr的匹配流量
[R2]acl number 3000  
[R2-acl-adv-3000] rule 5 permit ip source 192.168.10.0 0.0.0.255  
[R2-acl-adv-3000] rule 10 permit ip source 192.168.30.0 0.0.0.255 
[R2-acl-adv-3000]acl number 3001  
[R2-acl-adv-3001] rule 5 permit ip source 192.168.20.0 0.0.0.255 
[R2-acl-adv-3001] rule 10 permit ip source 192.168.40.0 0.0.0.255 
[R2-acl-adv-3001]q

pbr策略,最后在流量的入接口调用即可
[R2]policy-based-route huawei permit node 10
[R2-policy-based-route-huawei-10] if-match acl 3000
[R2-policy-based-route-huawei-10] apply ip-address next-hop 100.1.1.1  
[R2-policy-based-route-huawei-10]policy-based-route huawei permit node 20
[R2-policy-based-route-huawei-20] if-match acl 3001
[R2-policy-based-route-huawei-20] apply ip-address next-hop 200.1.1.1  
[R2-policy-based-route-huawei-20]inte g0/0/2
[R2-GigabitEthernet0/0/2]ip policy-based-route huawei 

<Huawei>sys
[Huawei]un in en
[Huawei]sys AR2
[AR2]inte g0/0/0
[AR2-GigabitEthernet0/0/0]ip ad 100.1.1.1 30 
[AR2-GigabitEthernet0/0/0]inte g0/0/1
[AR2-GigabitEthernet0/0/1]ip ad 100.1.1.6 30
[AR2-GigabitEthernet0/0/1]ospf 
[AR2-ospf-1]
[AR2-ospf-1]ar 0 
[AR2-ospf-1-area-0.0.0.0]net 100.1.1.4 0.0.0.3
[AR2-ospf-1-area-0.0.0.0]net 100.1.1.0 0.0.0.3

<Huawei>sys
[Huawei]un in en
[Huawei]sys AR3
[AR3]inte g0/0/0
[AR3-GigabitEthernet0/0/0]ip ad 200.1.1.1 30 
[AR3-GigabitEthernet0/0/0]inte g0/0/1
[AR3-GigabitEthernet0/0/1]ip ad 200.1.1.6 30
[AR3-GigabitEthernet0/0/1]ospf 
[AR3-ospf-1]ar 0 
[AR3-ospf-1-area-0.0.0.0]net 200.1.1.0 0.0.0.3
[AR3-ospf-1-area-0.0.0.0]net 200.1.1.4 0.0.0.3

<Huawei>sys
[Huawei]un in en
[Huawei]sys R1
[R1]inte g0/0/0
[R1-GigabitEthernet0/0/0]ip ad 100.1.1.5 30 
[R1-GigabitEthernet0/0/0]inte g0/0/1
[R1-GigabitEthernet0/0/1]ip ad 200.1.1.5 30
[R1-GigabitEthernet0/0/1]inte loop0
[R1-LoopBack0]ip ad 100.100.100.100 32
[R1-LoopBack0]ospf 
[R1-ospf-1]ar 0 
[R1-ospf-1-area-0.0.0.0]net 100.1.1.4 0.0.0.3
[R1-ospf-1-area-0.0.0.0]net 200.1.1.4 0.0.0.3
[R1-ospf-1-area-0.0.0.0]net 100.100.100.100 0.0.0.0

实验现象

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为USG6625E是一款企业级边界安全网关设备,支持多出口配置,下面是对其策略路由出口配置的回答。 首先,华为USG6625E支持VRF(Virtual Routing Forwarding)技术,可以创建多个VRF实例来划分不同的路由域。通过VRF,可以实现多出口的配置。 具体配置步骤如下: 1. 创建VRF实例:使用vrf instance命令可以创建VRF实例,并为实例指定一个唯一的名称。例如,创建两个VRF实例VRF1和VRF2: VRF1 VRF2 2. 配置路由:使用route-policy命令配置路由策略,将流量引导至不同的出口。 a. 创建路由策略: route-policy policy1 permit node 10 b. 配置策略条件: if-match ip-prefix prefix1 c. 配置策略行为: apply mpls-label 10000 d. 将策略应用到VRF和出口接口上: apply outbound-interface GigabitEthernet 0/0/0 apply vrf VRF1 3. 配置源地址策略路由映射:使用source ip routing-policy命令配置源地址和策略路由映射,将特定源地址的流量引导至指定的策略路由。 source ip routing-policy policy1 ip-address ip1 ip-mask mask1 4. 配置目的地址策略路由映射:使用destination ip routing-policy命令配置目的地址和策略路由映射,将特定目的地址的流量引导至指定的策略路由。 destination ip routing-policy policy1 ip-address ip2 ip-mask mask2 配置完成后,根据路由策略和地址映射,USG6625E可以根据源地址和目的地址将流量引导至不同的出口进行转发。通过这种方式,可以实现多出口配置,提高网络的容错性和带宽利用率。 需要注意的是,以上仅为简要说明,实际配置可能依赖于网络拓扑和具体需求,建议参考华为官方文档或咨询华为技术支持进行详细配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值