基於報文協議類型的本地策略路由配置舉例
1. 組網需求
Switch A分別與Switch B和Switch C直連(保證Switch B和Switch C之間路由完全不可達)。通過策略路由控制Switch A產生的報文:
·指定所有TCP報文的下一跳為1.1.2.2;
·其它報文仍然按照查找路由表的方式進行轉發。
2.配置步驟
1)配置Switch A
# 創建VLAN 10和VLAN 20。
# 配置接口Vlan-interface10和Vlan-interface20的IP地址。
# 定義訪問控制列表ACL 3101,用來匹配TCP報文。 [SwitchA] acl advanced 3101 [SwitchA-acl-ipv4-adv-3101] rule permit tcp # 定義5號節點,指定所有TCP報文的下一跳為1.1.2.2。 [SwitchA] policy-based-route aaa permit node 5 [SwitchA-pbr-aaa-5] if-match acl 3101 [SwitchA-pbr-aaa-5] apply next-hop 1.1.2.2 # 在Switch A上應用本地策略路由。 [SwitchA] ip local policy-based-route aaa
2)配置Switch B 和C
# 分別創建VLAN 10和VLAN 20。
# 分別配置接口Vlan-interface10和Vlan-interface20的IP地址。
#分別開啟telnet
3.驗證配置
從Switch A上通過Telnet方式登錄Switch B(1.1.2.2/24),結果成功。
從Switch A上通過Telnet方式登錄Switch C(1.1.3.2/24),結果失敗。
從Switch A上ping Switch C(1.1.3.2/24),結果成功。
由於Telnet使用的是TCP協議,ping使用的是ICMP協議,所以由以上結果可證明:Switch A發出的TCP報文的下一跳為1.1.2.2,接口Vlan-interface20不發送TCP報文,但可以發送非TCP報文,策略路由設置成功。
基於報文協議類型的轉發策略路由配置舉例
1. 組網需求
Switch A分別與Switch B和Switch C直連(保證Switch B和Switch C之間路由完全不可達)。
通過策略路由控制從Switch A的接口Vlan-interface11接收的報文:
·指定所有TCP報文的下一跳為1.1.2.2;
·其它報文仍然按照查找路由表的方式進行轉發。
2.配置步驟
1)配置IP地址和單播路由協議,確保Switch B和Host A,Switch C和Host A之間路由可達,具體配置過程略。
2)配置Switch A
# 定義訪問控制列表ACL 3101,用來匹配TCP報文。 [SwitchA] acl advanced 3101 [SwitchA-acl-ipv4-adv-3101] rule permit tcp # 定義5號節點,指定所有TCP報文的下一跳為1.1.2.2。 [SwitchA] policy-based-route aaa permit node 5 [SwitchA-pbr-aaa-5] if-match acl 3101 [SwitchA-pbr-aaa-5] apply next-hop 1.1.2.2 # 在接口Vlan-interface11上應用轉發策略路由,處理此接口接收的報文。 [SwitchA] interface vlan-interface 11 [SwitchA-Vlan-interface11] ip policy-based-route aaa
基於報文協議類型的全局策略路由配置舉例
1. 組網需求
Switch D分別與Switch A、Switch B、Switch C、Switch E和Switch F直連(保證Switch E到Switch F之間路由不可達)。通過全局策略路由控制從Switch D的所有接口接收的報文:
· 指定所有TCP報文的下一跳為1.1.4.2;
· 其它報文仍然按照查找路由表的方式進行轉發。
2.配置步驟
1)配置各設備接口的IP地址
2)配置單播路由協議,確保Switch A和Switch E,Switch A和Switch F,Switch B和Switch E,Switch B和Switch F,Switch C和Switch E,Switch C和Switch F之間路由可達。
3)配置Switch D
# 定義訪問控制列表ACL 3101,用來匹配從1.1.1.0/24,1.1.2.0/24和1.1.3.0/24網段中的源設備發來的TCP報文。 [SwitchD] acl advanced 3101 [SwitchD-acl-ipv4-adv-3101] rule permit tcp source 1.1.1.0 0.0.0.0.255 [SwitchD-acl-ipv4-adv-3101] rule permit tcp source 1.1.2.0 0.0.0.0.255 [SwitchD-acl-ipv4-adv-3101] rule permit tcp source 1.1.3.0 0.0.0.0.255 # 配置策略路由aaa,定義5號節點,指定所有TCP報文的下一跳為1.1.4.2。 [SwitchD] policy-based-route aaa permit node 5 [SwitchD-pbr-aaa-5] if-match acl 3101 [SwitchD-pbr-aaa-5] apply next-hop 1.1.4.2 # 在Switch D上應用全局策略路由aaa,處理Router D上所有接口接收的報文。 [SwitchD] ip global policy-based-route aaa
3.驗證配置
從Switch A上通過Telnet方式登錄Switch E,結果成功,登錄Switch F,結果失敗。
從Switch B上通過Telnet方式登錄Switch E,結果成功,登錄Switch F,結果失敗。
從Switch C上通過Telnet方式登錄Switch E,結果成功,登錄Switch F,結果失敗。
從Switch A上ping Switch F,結果成功。
從Switch B上ping Switch F,結果成功。
從Switch C上ping Switch F,結果成功。
由於Telnet使用的是TCP協議,ping使用的是ICMP協議,所以由以上結果可證明:從Switch D的VLAN接口1、VLAN接口2和VLAN接口3接收的TCP報文的下一跳為1.1.4.2,全局策略路由設置成功。