H3C交换机策略路由技术及其应用

交换机上也做策略路由随着互联网的发展，数据传输量大，访问速度快的要求越来越高。

为了满足这样的要求，网络技术不断地更新和完善，其规模各式各样的网络也不断扩大和发展。

在这种情况下，策略路由的应用变得越来越重要。

在传统IP网络中，路由器使用的是静态路由。

静态路由需要管理员手动设置网络路由规则，并在其中加入至少一条适用于所有子网的默认路由，以确定包的流向。

但是静态路由在自适应性和灵活性方面存在很大的不足，网络的准确性和可扩展性也有所限制。

于是，动态路由的出现可以说是一个新的网络革命。

动态路由会在网络的不同节点之间建立一种“通讯协议”，路由器之间可以相互交换路由信息，形成一个网络拓扑图，实现路由的自动转换和更新。

随着网络不断发展和拓展，传统路由器已经无法满足网络需求，很多运营商开始采用具有更多功能的交换设备。

而一些厂商的交换机已经开始支持动态路由，实现了类似于路由器的高级路由功能，如策略路由。

策略路由概述策略路由是一个基于条件规则的路由选择机制。

通过设置路由策略，可以使路由器决定每个数据包的最佳路径。

策略路由可以对数据包的源地址、目的地址、协议、端口等不同的参数进行分类，然后将它们送到最合适的目的地。

策略路由可以带来很多好处，例如：•支持多路径类型（例如，不同的ISP和物理路径），可以优化和增强数据流的整体性能和可靠性。

•允许在路由器上进行更多的转发决策，从而灵活控制网络流量和带宽。

•策略路由可以控制每个流量的路径，从而实现特定链路的负载均衡和防止特定链路出现拥塞。

交换机上实现策略路由的优势随着网络不断变化，交换机也不再仅仅是桥接器，它们还被用作路由器，这些新功能可以极大地提高网络的性能和灵活性。

在许多情况下，交换机比路由器更便宜、更易于配置和部署，从而为网络管理员提供更多的选择。

与路由器相比，交换机具有以下优点：•交换机的转发速度更快，比路由器产生的网络延迟更低。

•交换机可以灵活部署，可以使用自动设备发现了解网络拓扑，然后在网络中设置路由规则。

H3C策略路由配置及实例2010-07-19 09:21基于策略路由负载分担应用指导介绍特性简介目前网吧对网络的可靠性和稳定性要求越来越高，一般网吧与运营商都有两条线路保证一条线路出现故障时能够有另一条链路作为备份。

当两条线路都正常时为了减少一条线路流量压力，将流量平均分配到另外一条线路，这样提高了网络速度。

当一条链路出现故障接口DOWN掉时，系统自动将流量全部转到另一条线路转发，这样提高了网络的稳定性、可靠性。

满足网吧对业务要求不能中断这种需求，确保承载的业务不受影响。

使用指南使用场合本特性可以用在双链路的组网环境内，两条链路分担流量。

保证了网络的可靠性、稳定性。

配置指南本指南以18-22-8产品为例，此产品有2个WAN接口。

ethernet2/0、ethernet3/0互为备份。

可以通过以下几个配置步骤实现本特性：1) 配置2个WAN接口是以太链路，本案例中以以太网直连连接方式为例；2) 配置静态路由，并设置相同的优先级；3) 配置策略路由将流量平均分配到2条链路上。

2 注意事项两条路由的优先级相同。

配置策略路由地址为偶数走wan1,地址为奇数走wan2。

策略路由的优先级高于路由表中的优先级。

只有策略路由所使用的接口出现down后，路由比表中配置的路由才起作用。

3 配置举例组网需求图1为2条链路负载分担的典型组网。

路由器以太网口ETH2/0连接到ISP1，网络地址为142.1.1.0/30，以太网口ETH3/0连接到ISP2，网络地址为162.1.1.0/30；以太网口ETH1/0连接到网吧局域网，私网IP网络地址为192.168.1.0/24。

配置步骤1. 配置路由器sysname Quidway#clock timezone gmt+08:004 add 08:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20 #radius scheme system#domain system#detect-group 1detect-list 1 ip address 140.1.1.2#detect-group 2detect-list 1 ip address 162.1.1.2#acl number 2000rule 0 permit#acl number 3001rule 0 permit ip source 192.168.1.00.0.0.254 内部pc机偶数地址 acl number 3002rule 0 permit ip source 192.168.1.10.0.0.254 内部pc机奇数地址#interface Aux0async mode flow#interface Ethernet1/0ip address 192.168.1.1 255.255.255.0ip policy route-policy routeloadshare 从局域网收到的数据通过策略路由转发数据interface Ethernet1/1#interface Ethernet1/2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet1/5#interface Ethernet1/6#interface Ethernet1/7#interface Ethernet1/8#interface Ethernet2/0ip address 140.1.1.1 255.255.255.252nat outbound 2000#interface Ethernet3/0ip address 162.1.1.1 255.255.255.252nat outbound 2000#interface NULL0#route-policy routeloadshare permit node 1if-match acl3001 局域网pc机地址是偶数的从ethernet2/0转发apply ip-address next-hop 140.1.1.2route-policy routeloadshare permit node 2if-match acl3002 局域网pc机地址是奇数的从ethernet3/0转发apply ip-address next-hop 162.1.1.2#ip route-static 0.0.0.0 0.0.0.0 140.1.1.2 preference 60 detect-group 1ip route-static 0.0.0.0 0.0.0.0 162.1.1.2 preference 60 detect-group 2#user-interface con 0user-interface aux 0user-interface vty 0 4。

H3C交换机与路由器的基本配置交换机的基本配置:传统的基于集线器的局域网中所有的站点都处于同一个“冲突域”中，这里的“冲突域”是.指CSMA/CD算法中每个站点所监听的网络范围。

处于同一个冲突域中的站点在任意时刻只能有一个站点占用信道，这意味着传统以太网的带宽被各个站点在统计意义上均分的，这决定了传统形式的以太网不具有可伸缩性。

局域网交换机可以让通信的双方拥有一条不受干扰的信道，当一个站点想发送一802.3帧是，他就向交换机发送一标准帧，交换机通过检查帧头的目的地址并将此帧通过高速背板总线从连接目的站点的端口发出。

高速背板总线的设计可以保证同时通信的若干站点互不影响。

对交换机的配置有多中方法:通过Console口，通过telnet等。

用Console口对交换机进行配置是最常用的方法，也是对没有经过任何配置的交换机进行配置单唯一途径，配置过程如下:1(用Console电缆把交换机和PC机进行连接，RJ—45的一端插在交换机的Console口，另一端与计算机的串口相连。

2(在PC机上打开超级终端应用程序建立与交换机的连接，在PC上点击开始，以此选择程序，附件，通讯，单击“超级终端”，弹出“连接描述”对话框，在名称框输入名称并在图标框选择一个图标(名称和图标可以自由设置，不会影响对交换机的配置)，然后点击确定，弹出COM1属性对话框，设置波特率为:9600 数据位为:8 奇偶效验为:无停止位为:1 流量控制为:无，点击“确定”，进入配置编辑窗口。

3(在编辑窗口对交换机进行配置在缺省模式下我们进入交换机是处在用户视图下4(恢复交换机的缺省配置在用户试图下首先使用以下命令<Quidway>reset saved—configuration 清空配置<Quidway>reboot 重启交换机5(VLAN配置:<Quidway>system-view 进入系统试图[Quidway]valn 2 交换机默认所有的端口都属于valn 1,vlan 1既不能创建也不能删除[Quidway-vlan2]port ethernet 0/10 to ethernet 0/12 把以太端口10到12加入到vlan2[Quidway-vlan2]display current-configuration 查看配置信息配置了vlan之后，处于不同vlan的主机不能直接通讯，vlan具有隔离网络的作用，从而实现网络安全。

昨天去一家客户那边调试h3c的设备,客户要做vlan间互访和策略路由.本以为挺简单的事情,可到了才发现不是自己想象的那样.vlan间互访没想到h3c搞的那么麻烦,cisco的数据流控制就是做一条访问列表,列表里定义了动作是拒绝还是允许,然后直接把这个列表应用到接口上就可以了,但h3c却没有这么简单,h3c我总结了一下总的思路是这样的1.首先定义访问控制列表,注意:假如要使把此列表应用到qos策略中的话此列表中的deny和permit是没有意义的,不管是permit还是deny都代表"匹配"该数据流.2.定义类,类里面很简单,就是简单的匹配某条列表.应该也可以像cisco一样匹配or或者and,我没验证.3.定义行为动作,行为动作可以分好多,常用的有filter deny,filter permit 拒绝/允许,还有改变下一条redirect next-hop.或者可以做标记,qos等.4.定义qos策略,把2,3里的类和行为建立关联,如什么类执行什么行为,可以做好多条,同一个行为如果找到第一项匹配则不再接着往下执行,所有有可能同一个数据流能满足多条不同行为操作的情况.5.把此qos策略应用到接口上.下面我把配置粘上来供大家参考#version 5.20, Release 5303#sysname master switch#domain default enable system#telnet server enable#vlan 1#vlan 20#vlan 23description 0023#vlan 24#vlan 30#vlan 40#vlan 50vlan 60#vlan 70#vlan 80#vlan 90#vlan 100#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#traffic classifier h3c operator andif-match acl 3060********* 定义类，30，50，90三个网段之间不能互访********traffic classifier wangtong operator andif-match acl 2010********* 定义类，20，60，90网段的用户分到wangtong这个类中*******traffic classifier dianxin operator andif-match acl 2020********* 定义类，30，50，70网段的用户分到电信这个类中*******traffic behavior h3cfilter deny********* 定义行为名字叫h3c的动作为丢弃!*********traffic behavior wangtongredirect next-hop 10.1.1.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.1.2*********traffic behavior dianxinredirect next-hop 10.1.2.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.2.2*********qos policy h3cclassifier h3c behavior h3cclassifier wangtong behavior wangtongclassifier dianxin behavior dianxin***********定义一个qos策略(注意,这里是总的qos策略,其中包括vlan间访问控制和策略路由控制都汇聚到此策略中了)1.满足h3c类别的数据流执行h3c这个行为,这里行为为丢弃2.满足wangtong类别的数据流执行网通这个行为,这里的行为为改变下一跳为10.1.1.23.满足dianxin类别的数据流执行dianxin这个行为,这里的行为为改变下一跳为10.1.2.2 ***************************************************************** ***#acl number 2010rule 0 permit source 192.168.20.0 0.0.0.255rule 1 permit source 192.168.60.0 0.0.0.255rule 2 permit source 192.168.90.0 0.0.0.255acl number 2020rule 0 permit source 192.168.30.0 0.0.0.255rule 1 permit source 192.168.50.0 0.0.0.255rule 2 permit source 192.168.70.0 0.0.0.255acl number 3060rule 10 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.50.00.0.0.255rule 20 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.90.00.0.0.255rule 50 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.30.00.0.0.255rule 60 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.90.00.0.0.255rule 70 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.30.00.0.0.255rule 80 permit ip source 192.168.90.0 0.0.0.255 destination192.168.50.0 0.0.0.255*************在30,50,90三个网段之间做隔离,使他们不能互相访问,但都能访问其他的地址,由于h3c的三层交换机(这里的型号是s5510)可以实现单向访问,以此每一条都得建立2条规则来匹配如30--90网段,90---30网段.因为是作用在trunk口上的,因此源地址无法确定****************************************interface NULL0#interface Vlan-interface1ip address 192.168.10.1 255.255.255.0#interface Vlan-interface20ip address 192.168.20.254 255.255.255.0#interface Vlan-interface23ip address 10.1.1.1 255.255.255.0interface Vlan-interface24ip address 10.1.2.1 255.255.255.0#interface Vlan-interface30ip address 192.168.30.254 255.255.255.0#interface Vlan-interface40ip address 192.168.40.254 255.255.255.0#interface Vlan-interface50ip address 192.168.50.254 255.255.255.0#interface Vlan-interface60ip address 192.168.60.254 255.255.255.0 #interface Vlan-interface70ip address 192.168.70.254 255.255.255.0 #interface Vlan-interface80ip address 192.168.80.254 255.255.255.0 #interface Vlan-interface90ip address 192.168.90.254 255.255.255.0 interface GigabitEthernet1/0/1port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/2port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/3port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/4port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/5port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/6port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/7port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/8port link-type trunkport trunk permit vlan allqos apply policy h3c inbound************在8个trunk口上绑定qos策略**************************888 #interface GigabitEthernet1/0/9port access vlan 20#interface GigabitEthernet1/0/10port access vlan 20interface GigabitEthernet1/0/11port access vlan 20#interface GigabitEthernet1/0/12port access vlan 20#interface GigabitEthernet1/0/13port access vlan 20#interface GigabitEthernet1/0/14port access vlan 20#interface GigabitEthernet1/0/15port access vlan 20#interface GigabitEthernet1/0/16port access vlan 20#interface GigabitEthernet1/0/17port access vlan 20#interface GigabitEthernet1/0/18port access vlan 20#interface GigabitEthernet1/0/19port access vlan 100speed 100#interface GigabitEthernet1/0/20port access vlan 100speed 100#interface GigabitEthernet1/0/21port access vlan 100speed 100#interface GigabitEthernet1/0/22port access vlan 100#interface GigabitEthernet1/0/23port access vlan 23speed 100duplex full#interface GigabitEthernet1/0/24port access vlan 24#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#ip route-static 0.0.0.0 0.0.0.0 10.1.1.2ip route-static 0.0.0.0 0.0.0.0 10.1.2.2**********定义2条缺省路由,一条指向电信网络,一条指向网通网络*************** #user-interface aux 0user-interface vty 0 4#return[master switch]。

S5510策略路由1 组网拓扑实验拓扑如上图所示，S5510分别使用int vlan 100和int vlan 101连接模拟电信和网通出口的两台路由器，交换机下有两个vlan，分别是192.168.10.0网段和192.168.20.0网段。

需求：客户想要实现192.168.10.0网段从电信上网，192.168.20.0从网通上网，vlan10能正常访问vlan20。

2 需求分析客户要实现不同的业务网段从不同的ISP访问Internet，则使用策略路由，重定向下一跳，针对vlan10和vlan20应用，但又不能影响vlan10访问vlan20，则在ACL匹配流量时应区分出vlan10到vlan20的流量。

3 相关配置S5510配置vlan 10 //创建业务vlanport g1/0/1quitvlan 20 //创建业务vlanport g1/0/2quitvlan 100 //用于连接上层出口的vlanport g1/0/23quitvlan 101 //用于连接上层出口的vlanport g1/0/24quitint vlan 10ip address 192.168.10.1 24quitint vlan 20ip address 192.168.20.1 24quitint vlan 100ip address 100.1.1.1 24 //用于上连的IP地址quitint vlan 101ip address 200.1.1.2 24 //用于上连的IP地址quitip route-static 0.0.0.0 0 100.1.1.2 preference 60 //默认所有流量从电信出去ip route-static 0.0.0.0 0 200.1.1.2 preference 80 //网通出口备份quitacl number 3000 //区分出vlan20到vlan10的数据流rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255quitacl number 3001 //匹配从网通出去的流量rule permit ip source 192.168.20.0 0.0.0.255quit#traffic classifier a operator and //定义类aif-match acl 3000 //匹配vlan20去往vlan10的流量traffic classifier b operator and //定义类bif-match acl 3001 //匹配vlan20上网的流量#traffic behavior a //定义行为afilter permit //执行动作为允许traffic behavior b //定义行为bredirect next-hop 200.1.1.1 //重定向下一跳为网通出口#qos policy h3c //创建策略h3cclassifier a behavior a //将类a和行为a绑定classifier b behavior bquitqos vlan-policy h3c vlan 20 inbound //针对vlan20应用该策略模拟Internet环境配置（3610）#interface Ethernet1/0/1port link-mode routeip address 100.1.1.1 255.255.255.0 //模拟电信网关#interface Ethernet1/0/2port link-mode routeip address 200.1.1.1 255.255.255.0 //模拟网通网关#interface Ethernet1/0/24port link-mode routeip address 2.2.2.1 255.255.255.0 //公网主机网关#ip route-static 192.168.10.0 255.255.255.0 100.1.1.2ip route-static 192.168.20.0 255.255.255.0 200.1.1.2#4 测试分析1、经过以上配置后，vlan10和vlan20访问Internet和互访时数据流走向如下：A．vlan10内PCA访问Internet中的某主机2.2.2.10时其封装格式为：192.168.10.10→2.2.2.10首先送到网关，因为没有策略针对vlan10，所以直接查路由表，匹配默认路由送至100.1.1.1然后再经路由至2.2.2.10B．v lan10内PCA访问vlan20内的PCB：192.168.10.10→192.168.20.10，同样因为没有策略直接经网关查路由送至192.168.20.10C．v lan20内的主机PCB访问Internet内的主机2.2.2.10时：192.168.20.10→2.2.2.10，首先封装目的MAC为网关，到达5510后匹配策略h3c，第一条classifier a behavior a中ACL的目标是192.168.10.0所以不匹配，然后匹配下一跳，符合，修改下一跳为200.1.1.1D．vlan20内的主机PCB访问vlan10中的主机PCA时：192.168.20.10→192.168.10.10首先封装MAC地址为vlan20的网关，然后匹配策略h3c中的第一条classifier a behavior a，执行行为为允许。

H3c策略路由配置整理这里只说明怎样配置,具体只参照H3C交换机配置文档第一步:区分数据流acl number 2001rule 0 permit source 10.0.0.0 0.255.255.255acl number 3001 name virusrule 0 deny tcp destination-port eq 445rule 5 deny udp destination-port eq 445acl number 3100 name laoshirule 0 permit ip source 192.168.12.0 0.0.0.255rule 1 permit ip source 192.168.13.0 0.0.0.255rule 2 permit ip source 192.168.14.0 0.0.0.255rule 3 permit ip source 192.168.15.0 0.0.0.255rule 4 permit ip source 192.168.16.0 0.0.0.255rule 5 permit ip source 192.168.17.0 0.0.0.255rule 6 permit ip source 192.168.18.0 0.0.0.255rule 7 permit ip source 192.168.19.0 0.0.0.255rule 8 permit ip source 192.168.20.0 0.0.0.255rule 9 permit ip source 10.0.0.0 0.0.255.255rule 10 permit ip source 192.168.11.0 0.0.0.255acl number 3101 name xueshengrule 0 permit ip source 192.168.21.0 0.0.0.255rule 1 permit ip source 192.168.22.0 0.0.0.255rule 2 permit ip source 192.168.23.0 0.0.0.255rule 3 permit ip source 192.168.24.0 0.0.0.255rule 4 permit ip source 192.168.25.0 0.0.0.255rule 5 permit ip source 192.168.26.0 0.0.0.255rule 6 permit ip source 192.168.27.0 0.0.0.255rule 7 permit ip source 192.168.28.0 0.0.0.255rule 8 permit ip source 192.168.29.0 0.0.0.255rule 9 permit ip source 192.168.30.0 0.0.0.255acl number 3103 name neiwangrule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255rule 1 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.0.0 0.0.255.255 rule 2 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.0.0 0.255.255.255 acl number 3104 name shiyanshirule 0 permit ip source 10.0.0.0 0.255.255.255#第二步:定义数据流traffic classifier laoshi operator andif-match acl name laoshitraffic classifier shiyanshi operator andif-match acl name shiyanshitraffic classifier xuesheng operator andif-match acl name xueshengtraffic classifier neiwang operator andif-match acl name neiwang第三步:定义数据流的动作traffic behavior laoshiredirect next-hop 192.168.0.254traffic behavior shiyanshiredirect next-hop 192.168.0.254traffic behavior xueshengredirect next-hop 192.168.0.250traffic behavior neiwangfilter permit第四步:定义策略：qos policy rpclassifier neiwang behavior neiwangclassifier laoshi behavior laoshiclassifier xuesheng behavior xueshengclassifier shiyanshi behavior shiyanshi第五步:应用完成的策略(应用到某个端或VLAN)interface E1/0/1qos apply policy rp inboundinterface vlan 1010qos vlan policy rp vlan 1010 inbound。