策略路由配置详解
38策略路由配置
38.1理解策略路由
38.1.1策略路由概述
策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵
活地进行路由选择。
现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。
IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何
策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中
定义的操作进行转发。
一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普
通路由进行转发。用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文
则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。
用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。用户可以同时配置多个下
一跳信息。
策略路由可以分为两种类型:
一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略
路由,而对于从该接口转发出去的报文不受策略路由的控制;
二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报
文,对于外部设备发送给本机的IP报文则不受该策略路由控制。
38.1.2策略路由基本概念/特性
38.1.2.1策略路由应用过程
应用策略路由,必须先创建路由图,然后在接口上应用该路由图。一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。
每条策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。match语句定义了IP/IPv6报文的匹配规则,set语句定义了对符合匹配规则的IP/IPv6报文处理动作。在策略路由
转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,
然后退出策略路由的执行。
IP策略路由使用IP标准或者扩展ACL作为IP报文的匹配规则,IPv6策略路由使用IPv6扩展ACL 作为IPv6报文的匹配规则。IPv6策略路由对于同一条策略最多只能配置一个match ipv6 address。
38.1.2.2路由图策略匹配模式
在配置路由图时,可以指定每一条策略的匹配模式为permit或者deny,其意义如下:
●permit:指定该策略的匹配模式为允许模式,即当报文满足该策略的match规则时,会对
该IP/IPv6报文应用相应的set规则;如报文不满足策略的所有match规则,报文将会使用
该路由图的下一条策略进行匹配。
●deny:指定该策略的匹配模式为拒绝模式,即当报文满足该节点的所有match语句时,不
对该IP/IPv6报文执行策略转发而是执行普通的路由转发。
IP/IPv6报文按照路由图中每一条策略的优先级由高到低依次进行匹配,只要匹配了前面的策略就执行相应的动作并退出策略转发流程;如果IP/IPv6报文不能匹配路由图中的任何策略,那么将会
对IP/IPv6报文执行普通的路由转发。
38.1.2.3下一跳规则概念
当前策略路由提供了set {ip | ipv6} next-hop、set {ip | ipv6} default next-hop两条转发规则。后面两条为设置缺省下一跳和出接口。这两条规则的意义如下:
●set {ip | ipv6} next-hop:配置策略路由下一跳IP/IPv6地址,优先级比普通路由高,从接口
上收到的匹配match规则的IP/IPv6报文将优先转发到set {ip | ipv6} next-hop所指定的下
一跳,而不管该IP/IPv6报文在路由表中的实际选路结果和策略路由指定的下一跳是否一致。
●set {ip | ipv6} default next-hop:该命令指定的策略路由的优先级比普通路由的低,但是比
默认路由高。从接口上收到的匹配match规则的IP/IPv6报文,如果该报文在路由表中选路
失败或者选到默认路由,那么IP/IPv6报文将转发到该命令指定的下一跳。
上述前两条规则指定的下一跳必须是直连的,否则不会生效;如果下一跳不是直连的,策略路由的效果相当于没有配置该命令。
上述两条命令的优先级顺序为:set {ip | ipv6} next-hop > 网络路由/主机路由> set {ip | ipv6} default next-hop >缺省路由。这两条命令能够支持同时配置,但只有高优先级的生效。
38.1.2.4策略路由下一跳负载均衡模式
一个路由图Sequence中能够配置多个下一跳,多个下一跳之间能够实现两种负载均衡模式:
●冗余备份模式,支持优先生效,失效接管的模式,多个下一跳之间同一时刻只有一个下一
跳生效。
? 前面的下一跳R1失效会自动切换到下一个下一跳R2,当R1重新恢复生效时,会再
自动再切换回R1;
? 当存在多个下一跳,如R1/R2/R3等,删除R1再添加R1时,会在后面添加,如R2/R3/R1,
次之的R2生效。
● 负载均衡模式,多个下一跳之间基于流进行负载分担。下一跳为出接口形式,对这个功能
不支持。
1、锐捷产品上一个接口最多只能配置一个路由图,在同一个接口上多次配置路由图
会相互覆盖,即后配置的生效。
2、策略路由子路由图(route-map sequence)中最多只能配置一个IPV6 ACL 。
3、如果配置的子路由图中只有next-hop 而没有配置ACL ,则等价于所有报文都匹
配;如果子路由图中只有ACL 而没有next-hop 则匹配的报文普通转发;如果子路由
图中即没有ACL 也没有next-hop ,则等价所有报文普通转发。
4、策略路由如果配置了ACL ,但是该ACL 不存在,等价所有报文都匹配;如果配
置了ACL ,但是其中没有任何ACE ,相当于匹配到了驱动添加的deny any 条目,
不会从下一个子路由图的ACL 开始匹配;
5、交换机上,ACE 的deny 选项行为,执行普通转发;并且为了满足策略路由的匹
配顺序,deny any any 行为是跳到下个IPV6 ACL 开始匹配。
6、交换机上,配置了PBR 功能,会对发往本机的报文同时生效,如果用户希望发
往本机的IP/IPv6报文不使用策略路由,则用户需要在PBR 规则中在IP/IPV6 ACL
前面手工添加“deny 设备IP/IPv6地址”的ACE 。
7、工作在冗余备份模式下时,匹配路由子图的策略规则的IP 报文转发到该路由子
图中第一个解析的下一跳;如果所有的下一跳都未解析,则匹配策略规则的IP 报文
被丢弃;如果第一个下一跳原先未解析后来解析了,则匹配策略规则IP 报文的转发
将切换到第一个下一跳。
PBR 与BFD 联动功能请参见锐捷《BFD 配置》,《配置BFD 命令》。 38.1.3 策略路由使用BFD 功能
策略路由与BFD 联动,可以避免在配置的策略路由不可达的情况下,路由选路不会选择该策略路由作为转发路径。如果存在备份路由转发路径,将可以快速地切换到该备份转发路径。
38.1.4 工作原理
策略路由,首先需要定义一个路由图,用于指定报文转发到哪儿去的策略;路由图是一组语句组成,可以定义为“Permit ”和“Deny ”行为;
其次,使用set 语句控制报文转发行为。报文转发控制是通过在PBR 路由图中定义一组set 语句实现;依序使用每一个set 语句进行报文转发;每一个语句都不会参考前面或者后面的语句。
最后,需要将待用PBR设置在报文的是入口。如果设置在出口,则PBR不生效,按普通路由转发。
38.2缺省配置
下表用来描述策略路由的缺省配置。
38.3配置策略路由
以下章节描述配置IP/IPV6 PBR的功能基本过程:
?< href="Cap1.htm#_配置项1" target="b">(必选)配置IP策略路由
?< href="Cap1.htm#_配置IPV6接口策略路由_1" target="b">(必选)配置IPV6策略路由
?< href="Cap1.htm#_设备本地应用策略路由" target="b">(可选)配置设备负载均衡模式
?< href="Cap1.htm#_配置项2" target="b">(可选)查看配置和状态显示
38.3.1配置IPv4策略路由
应用策略路由,必须要指定策略路由使用的路由图,并且要创建该路由图。一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。每条
策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。match语句定义了IP
报文的匹配规则,set语句定义了对符合匹配规则的IP报文处理动作。在策略路由转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,然后退出策略路由的执行。
策略路由提供了两种类型的match语句,分别是match len和match ip address,match length以IP报文的长度作为匹配的标准,match ip address以ACL作为IP报文匹配的标准。
对于同一条策略,只能配置一个match len,但是可以配置多个match ip address。如果在同
一条策略中既指定match length又指定match ip address,那么只有同时满足两个匹配规则的IP报文才会执行该策略中set规则指定的动作。
策略路由提供了两种类型的set语句:第一类用于修改IP报文的QoS字段包括set ip tos、set ip precedence、set ip dscp;第二类用于控制IP报文转发,包括set vrf、set ip nexthop、
set ip default nexthop、set interface、set default interface。在满足所有match规则的情况
下,第一类的set规则一定会被执行,第二类set规则则按照优先级顺序执行,优先级关系如下:
?set vrf:配置策略路由是IP报文选路使用的VRF实例,优先级比普通路由高,该命令不能
和set ip [default] nexthop、set [default ]interface同时配置。从接口上收到的匹配match
规则的IP报文将使用该命令指定的VRF实例的路由表进行选路,而不管该VRF是否和收
到该IP的接口所属的VRF一致。
?set ip nexthop:配置策略路由下一跳,优先级比普通路由和set interface高,如果该命
令和以下三个命令的任意一个命令同时配置,那么该命令优先生效。从接口上收到的匹配
match规则的IP报文将优先转发到set ip nexthop所指定的下一跳,而不管该IP报文在路
由表中的实际选路结果是否和策略路由指定的下一跳一致。
?set interface:配置策略路由的出接口,优先级比普通路由高,如果该命令和set default
interface、set ip default nexthop同时配置,那么该命令优先生效。从接口上收到的匹配
match规则的IP报文将优先从set interface指定出口转发出去,而不管该IP报文在路由表
中的实际选路结果是否和策略路由指定出口一致。
?set default interface:该命令的优先级比普通路由低,比默认路由的优先级高,但是比set
ip default nexthop的优先级高。从接口上收到的匹配match规则的IP报文,如果该报文
在路由表中选路失败或者选到默认路由,那么该IP报文将从该命令指定的接口转发出去。
?set ip default nexthop:该命令指定的策略路由比普通路由的,比默认路由高。从接口上
收到的匹配match规则的IP报文,如果该报文在路由表中选路失败或者选到默认路由,那
么IP报文将转发到该命令指定的下一跳。
在配置路由图时,可以指定每一条策略的匹配模式为permit或者deny,其意义如下:
?permit:指定该策略的匹配模式为允许模式,即当报文满足该策略的所有match规则时,
会对该IP报文应用相应的set规则;如报文不满足策略的所有match规则,报文将会使用
该路由图的下一条策略进行匹配。
?deny:指定该策略的匹配模式为拒绝模式,即当报文满足该节点的所有match语句时,不
对该IP报文执行策略转发而是执行普通的路由转发。
IP报文按照路由图中每一条策略的优先级由高到低依次进行匹配,只要匹配了前面的策略就执行相应的动作并退出策略转发流程;如果IP报文不能匹配路由图中的任何策略,那么将会对IP报文执行普通的路由转发。
配置策略路由时,set ip nexthop可以指定下一跳的跟踪对象,只有跟踪对象是活动的,set ip nextho p指定的下一跳才会被用于转发。策略路由使用track功能极大的增强策略路由对于网络环境变化的感知能力,使得策略路由能够适应动态变化的网络拓扑。
配置一个策略路由分为以下几个步骤:
1.定义ACL,用做IP报文的匹配规则。
Step 1
2.定义路由图,一个路由图可以由好多策略组成,策略按序号大小排列,只要符合了前面策略,
就退出路由图的执行;
要配置策略路由使用的路由图,在全局配置模式中执行以下命令:
Step 2
3.定义路由图每个策略的匹配规则或条件;
要定义策略的匹配规则,在路由图配置模式中执行以下命令:
Step 3
4.定义满足匹配规则后,设备的操作;
要定义匹配规则后的操作,在路由图配置模式中执行以下命令:
Step 4
1、 在同一条策略中,不能同时配置set vrf 和set ip [ default ] nexthop 、set [ default ]
interface ,但是set vrf 可以同时和其它的set 语句一起配置。在指定策略路由的
VRF 的时候该VRF 必须已经存在,否则会提示配置失败。
2、 在同一条策略中,不能同时配置set ip dscp 和 set ip tos 、set ip precedence ,
如果同时配置,那么IP 报文相应域的值可能跟预期会不一致。
3、 set vrf 、set ip nexthop set interface 的优先级高于普通路由,匹配了策略路由
的IP 报文按照策略路由转发,不匹配的IP 报文按普通路由转发。
4、 set default ip nexthop 、set default inteface 的优先级低于普通路由,只有普通
路由选路失败的情况下,IP 报文才会按策略路由进行选路转发。
route-map 配置相关命令详见《配置协议无关命令》。
1. 在指定接口中应用路由图。
要在接口上应用策略路由,在接口模式下执行以下命令:
Step 5
Step 6 例如:
在Fastethernet 0/0口上配置策略路由,使得所有进入的报文都转发到下一跳为192.168.5.5的设备 Ruijie(config)# access-list 1 permit any
Ruijie(config)# route-map name
Ruijie(config-route-map)# match ip address 1
Ruijie(config-route-map)# set ip next-hop 192.168.5.5
Ruijie(config-route-map)# int fastethernet 0/0
Ruijie(config-route-map)# exit
Ruijie (config)#interface interface-name
Ruijie(config-if)# ip policy route-map name
3. 配置策略路由的负载分担模式
如果策略路由使用冗余备份模式,那么在当前生效的下一跳失效以后策略路由会自动将流量切换到下一个生效的下一跳;如果策略路由使用负载均衡模式,则在当前的生效下一跳失效后将流量在其它生效下一跳进行负载分担。
在策略路由中配置负载均衡或者冗余备份模式,全局模式下使用命令:
Step 7
策略路由执行负载均衡时,WCMP(Weighted Cost Multiple Path)最多支持4个下一
跳,ECMP(Equal Cost Multiple Path)最多支持32个下一跳。
配置默认策略路由时,W CMP最多支持4个下一跳,ECMP最多支持32个下一跳。
工作在冗余备份模式下时,第一个解析的下一跳生效,如果所有的下一跳都没有解
析,则匹配策略路由的报文被丢弃;如果更高优先级的下一跳原由未解析变为解析,
则生效的下一跳切换到当前最高优先级的解析的下一跳。
38.3.2配置IPV6策略路由
Step 1
Step 2
Step 3
Step 4
Step 5
Step 6
Step 7
Step 8
route-map配置相关命令详见《协议无关模块命令配置指导》。
38.3.3配置设备负载均衡模式
查看配置和状态显示
38.3.4
38.4.1基于源地址的策略路由的配置举例
38.4.1.1组网需求
某局域网有两个出口连接到因特网。通常情况下,希望这两个出接口能够实现负载分担并互为备
份。具体要求是:子网1的所有访问因特网的数据流走出接口GigabitEthernet 0/1;子网2的所
有访问因特网的数据流走出接口GigabitEthernet 0/2。如果出接口GigabitEthernet 0/1链路断开,那么能够将该接口上的数据流切换到GigabitEthernet 0/2上,反之亦然。
38.4.1.2网络拓扑
图 1.网络整体拓扑
三层设备DEV1通过G0/3口连接子网1和子网2;通过G0/1和G0/2口连接因特网,其下一跳为200.24.18.1、200.24.19.1。子网1的网段为200.24.16/20,子网2的网段为200.25.19.1。
38.4.1.3配置步骤
# 配置两个不同的ACL,分别用来匹配子网1和子网2
Ruijie(config)#access-list 1 permit 200.24.16.0 0.0.0.255
Ruijie(config)#access-list 2 permit 200.24.17.0 0.0.0.255
# 配置用于控制子网1数据流的路由图,注意出接口G0/1的下一跳优先
Ruijie(config)#route-map RM_FOR_PBR 10
Ruijie(config-route-map)#match ip address 1
Ruijie(config-route-map)#set ip nexthop 200.24.18.1
Ruijie(config-route-map)#set ip nexthop 200.24.19.1
# 配置用于控制子网2数据流路由图,注意出接口G0/2的下一跳优先
Ruijie(config)#route-map RM_FOR_PBR 20
Ruijie(config-route-map)#match ip address 2
Ruijie(config-route-map)#set ip nexthop 200.24.19.1
Ruijie(config-route-map)#set ip nexthop 200.24.18.1
# 配置策略路由的负载分担模式为冗余备份
Ruijie(config)#ip policy redundance
# 在接口GigabitEthernet 0/3上应用策略路由
Ruijie(config)#interface GigabitEthernet 0/3
Ruijie(config-if)#ip policy route-map RM_FOR_PBR
38.4.2接口应用IPv6策略路由配置举例
38.4.2.1组网需求
某局域网有两个出口连接到因特网。通常情况下,希望这两个出接口能够实现负载分担并互为备份。
具体要求是:
●子网1的所有访问因特网的数据流走出接口GigabitEthernet 0/1;
●子网2的所有访问因特网的数据流走出接口GigabitEthernet 0/2。
●如果出接口GigabitEthernet 0/1链路断开,那么能够将该接口上的数据流切换到
GigabitEthernet 0/2上,反之亦然。
38.4.2.2组网拓扑
如图2所示,三层设备DEV1通过G0/3口(route port接口)连接子网1和子网2;通过G0/1和G0/2口连接因特网,其下一跳为2001::1/64、2002::1/64。子网1的网段为2003::/64,子网2的网段为2004::/64。
图 2.IPV6 PBR基本应用组网图38.4.2.3配置要点
38.4.2.4配置步骤
# 配置两个不同的ACL,分别用来匹配子网1和子网2
Ruijie(config)#ipv6 access-list net1
Ruijie(config-ipv6-acl)#permit i pv6 2003::/64 any
Ruijie(config)#ipv6 access-list net2
Ruijie(config-ipv6-acl)#permit ipv6 2004::/64 any
# 配置用于控制子网1数据流的路由图,注意出接口G0/1的下一跳优先
Ruijie(config)#route-map RM_FOR_PBR 10
Ruijie(config-route-map)#match ipv6 address net1
Ruijie(config-route-map)#set ipv6 next-hop2001::1
Ruijie(config-route-map)#set ipv6 next-hop2002::1
# 配置用于控制子网2数据流路由图,注意出接口G0/2的下一跳优先
Ruijie(config)#route-map RM_FOR_PBR 20
Ruijie(config-route-map)#match ipv6 address net2
Ruijie(config-route-map)#set ipv6 next-hop2002::1
Ruijie(config-route-map)#set ipv6 next-hop 2001::1
# 配置策略路由的负载分担模式为冗余备份
Ruijie(config)#ipv6 policy redundance
# 在接口GigabitEthernet 0/3上应用策略路由
Ruijie(config)#interface GigabitEthernet 0/3
Ruijie(config-if-GigabitEthernet 0/3)#ipv6 policy route-map RM_FOR_PBR 38.4.2.5显示验证
# 查看配置的路由图信息
Ruijie#show route-map
route-map RM_FOR_PBR, permit, sequence 10
Match clauses:
ipv6 address net1
Set clauses:
ipv6 next-hop 2001::1 2002::1
route-map RM_FOR_PBR, permit, sequence 20
Match clauses:
ipv6 address net2
Set clauses:
ipv6 next-hop 2002::1 2001::1
# 查看IPv6策略路由应用信息
Ruijie#show ipv6 policy
Interface Route map
GigabitEthernet 0/3 RM_FOR_PBR
# 查看配置的ACL信息
Ruijie#show access-lists
ipv6 access-list net1
10 permit ipv6 2003::/64 any
(0 packets matched)
ipv6 access-list net2
10 permit ipv6 2004::/64 any
(0 packets matched)
38.4.3IPv4/IPv6 PBR并存,策略路由优先级配置举例
38.4.3.1组网需求
某局域网有两个出口连接到因特网,其中一个是教育网出口。通常情况下,希望这两个出接口能够实现负载分担并互为备份。
具体要求是:
●网络中使用了IPv4和IPv6双栈,同一个接口上需要同时部署IPv4/IPv6 PBR。
●子网1的IPv4教育网用户所有访问因特网的数据流走教育网出接口。
●子网2的IPv4所有访问因特网的数据流走出Internet出接口。
●子网1的IPV6所有访问因特网的数据流走出接口GigabitEthernet 0/1;
●子网2的IPV6所有访问因特网的数据流走出接口GigabitEthernet 0/2。
●内部互访数据,如子网1访问子网2不需要通过策略路由,使用内部动态路由。
●缺省数据流通过缺省路由通过Internet出接口转发。
●如果出接口GigabitEthernet 0/1链路断开,那么能够将该接口上的数据流切换到
GigabitEthernet 0/2上,反之亦然。
38.4.3.2组网拓扑
如图3所示,三层设备DEV1通过G0/3口(route port接口)连接子网1和子网2;通过G0/1和G0/2口连接因特网,其下一跳为2001::1/64(210.82.12.1)、2002::1/64(59.78.184.1)。子网1的网段为2003::/64(202.112.144.0/25),子网2的网段为2004::/64(218.62.95.0/24)。
图 3.IPV4/IPV6 PBR综合应用组网图
38.4.3.3配置要点
38.4.3.4配置步骤
# 配置两个不同的IPV4 ACL,分别用来匹配子网1和子网2
Ruijie(config)#ip access-list extended 101
Ruijie(config-ip-acl)#permit ip202.112.144.0 0.0.0.255 any Ruijie(config)#ip access-list extended102
Ruijie(config-ip-acl)#permit ip 218.62.95.0 0.0.0.255 any
# 配置两个不同的IPV6 ACL,分别用来匹配子网1和子网2
Ruijie(config)#ipv6 access-list net1
Ruijie(config-ipv6-acl)#permit ipv62003::/64 any
Ruijie(config)#ipv6 access-list net2
Ruijie(config-ipv6-acl)#permit ipv6 2004::/64 any
# 配置用于控制子网1数据流的路由图,注意出接口G0/1的下一跳优先,ipv4下一跳属性有default 参数
Ruijie(config)#route-map RM_FOR_PBR 10
Ruijie(config-route-map)#match ip address101
Ruijie(config-route-map)#set ip default next-hop59.78.184.1
Ruijie(config-route-map)#set ip default next-hop210.82.12.1
Ruijie(config-route-map)#match ipv6 address net1
Ruijie(config-route-map)#set ipv6 next-hop 2001::1
Ruijie(config-route-map)#set ipv6 next-hop 2002::1
# 配置用于控制子网2数据流路由图,注意出接口G0/2的下一跳优先,ipv4下一跳属性有default 参数
Ruijie(config)#route-map RM_FOR_PBR 20
Ruijie(config-route-map)#match ip address 102
Ruijie(config-route-map)#set ip default next-hop210.82.12.1
Ruijie(config-route-map)#set ip default next-hop 59.78.184.1
Ruijie(config)#route-map RM_FOR_PBR 20
Ruijie(config-route-map)#match ipv6 address net2
Ruijie(config-route-map)#set ipv6 next-hop 2002::1
Ruijie(config-route-map)#set ipv6 next-hop2001::1
# 配置策略路由的负载分担模式为冗余备份
Ruijie(config)#ipv6 policy redundance
Step1:在接口GigabitEthernet 0/3上同时应用IPv4/IPv6策略路由
Ruijie(config)#interface GigabitEthernet 0/3
Ruijie(config-if-GigabitEthernet 0/3)#ip policy route-map RM_FOR_PBR
Ruijie(config-if-GigabitEthernet 0/3)#ipv6 policy route-map RM_FOR_PBR 38.4.3.5显示验证
# 查看配置的路由图信息
Ruijie#show route-map
route-map RM_FOR_PBR, permit, sequence 10
Match clauses:
ip address 101
ipv6 address net1
Set clauses:
ipv6 next-hop 2001::1 2002::1
ip default next-hop 59.78.184.1 210.82.12.1 route-map RM_FOR_PBR, permit, sequence 20
Match clauses:
ip address 102
ipv6 address net2
Set clauses:
ipv6 next-hop 2002::1 2001::1
ip default next-hop 210.82.12.1 59.78.184.1
# 查看IPv6策略路由应用信息
Ruijie#show ipv6 policy
Interface Route map
GigabitEthernet 0/3 RM_FOR_PBR
# 查看IPv4策略路由应用信息
Ruijie#show ip policy
Interface Route map
GigabitEthernet 0/3 RM_FOR_PBR
# 查看配置的ACL信息
Ruijie#show access-lists
Extended IP access list 101
10 permit ip 202.112.144.0 0.0.0.255 any
Extended IP access list 102
10 permit ip 218.62.95.0 0.0.0.255 any
IPv6 access list net1
permit ipv6 2003::/64 any sequence 10
IPv6 access list net2
permit ipv6 2004::/64 any sequence 10
华为路由器路由策略和策略路由
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
Fast_FR48路由器设置说明
Fast FR48路由器设置说明同时也是SOHO路由器IP QoS功能设置IP QoS功能,是基于IP地址、IP地址段的保障最小带宽和限制最大带宽功能; 可以很方便地限制BT、迅雷等P2P软件下载,限制其占用大量的带宽,抢占其它用户资源,造成其它用户无法正常上网;还可以按照实际需求对不同的用户科学地分配不同的带宽,尽最大限度利用宽带,不浪费带宽。通过设置IP QoS后,结束了一“资”独占的历史,保证内网随您所欲按需运行!下面我们就来简单介绍一下QoS功能的配置使用: 一、登录路由器管理界面后(网页地址栏192.168.1.1 用户名admin 密码 admin),可以在左边菜单栏看到IP带宽控制,点击打开该页面,在这里您可以对不同的IP地址设置不同的QoS模式和带宽大小; 二、首先是勾选上面的开启IP带宽控制,QoS功能才可以具体进行设置。 在选择宽带线路类型及填写带宽大小时,请根据实际情况进行选择和填写,如不清楚,请咨询您的带宽提供商(如电信、网通等)如:您申请的是PPPoE拨号方式2M带宽的话就选ADSL线路,带宽大小填入2000即可(带宽的换算关系为:1Mbps = 1000Kbps)。注意:您申请的带宽大小,如果填写的值与实际不符,QoS效果会受到很大影响。 三、IP QoS设置: 保障最小带宽:受该条规则限制的IP地址(或IP地址段)的带宽总和至少可以达到此值,最大不受限制。此模式可以充分利用您申请的带宽值,不浪费一点带宽;且路由器内置预留的带宽功能可以保障在您BT下载达到峰值的时候,其它电脑的上网操作不受影响,使网络资源得到合理分配,内网正常运行。您可以设置您内网电脑IP地址为保障最小带宽,出于公平原则,保障最小带宽=总带宽/内网机子总数,如:您拉的2M带宽,内网4台机子的话保障最小带宽应为2000/4=500Kbps。如下图所示:
华为路由器路由策略和策略路由配置与管理
路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
H3C的路由器配置命令详解
H3C的路由器配置命令详解 en 进入特权模式 conf 进入全局配置模式 in s0 进入serial 0 端口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配enca hdlc/ppp 捆绑链路协议hdlc 或者ppp ip unn e0 exit 回到全局配置模式 in e0 进入以太接口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配exit 回到全局配置模式 ip route 0.0.0.0 0.0.0.0 s 0 添加路由表 ena password 口令 write exit 以上根据中国电信ddn 专线多数情况应用 普通用户模式 enable 转入特权用户模式 exit 退出配置 help 系统帮助简述 language 语言模式切换 ping 检查网络主机连接及主机是否可达 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器 特权用户模式 #? clear 清除各项统计信息
clock 管理系统时钟 configure 进入全局配置模式 debug 开启调试开关 disable 返回普通用户模式 download 下载新版本软件和配置文件 erase 擦除FLASH中的配置 exec-timeout 打开EXEC超时退出开关 exit 退出配置 first-config 设置或清除初次配置标志 help 系统帮助简述 language 语言模式切换 monitor 打开用户屏幕调试信息输出开关 no 关闭调试开关 ping 检查网络主机连接及主机是否可达 reboot 路由器重启 setup 配置路由器参数 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM中 全局配置模式 aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表 arp 设置静态ARP人口 chat-script 生成一个用在modem上的执行脚本custom-list 创建定制队列列表 dialer-list 创建dialer-list dram-wait 设置DRAM等待状态
三层交换机与路由器的配置_实例(图解)
三层交换机与路由器的配置实例(图解) 目的:学会使用三层交换与路由器让处于不同网段的网络相互通信 实验步骤:一:二层交换机的配置: 在三个二层交换机上分别划出两VLAN,并将二层交换机上与三层交换或路由器上的接线设置为trunk接口 二:三层交换机的配置: 1:首先在三层交换上划出两个VLAN,并进入VLAN为其配置IP,此IP将作为与他相连PC的网关。 2:将与二层交换机相连的线同样设置为trunk接线,并将三层交换与路由器连接的线设置为路由接口(no switchsport) 3:将路由器和下面的交换机进行单臂路由的配置 实验最终结果:拓扑图下各个PC均能相互通信
交换机的配置命令: SW 0: Switch> Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 Switch(config-if)#no shut Switch(config-if)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)#exit Switch(config)# SW 1: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 % Access VLAN does not exist. Creating vlan 2 Switch(config-if)#no shut Switch(config-if)#exit Switch(config)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)# SW 2: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]?
华三华为交换机-路由器配置常用命令
H3C交换机配置命令大全 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、port link-type Access|Trunk|Hybrid 设置端口访问模式 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口
华为策略路由配置实例
华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。
[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2
C路由器配置实例
C路由器配置实例 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 24 [MSR20-20-dhcp-pool-1]dns-list [MSR20-20-dhcp-pool-1] gateway-list 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0.0 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。
华为路由器和交换机配置地址转换
华为路由器和交换机配置地址转换 一. 端口: 路由器——ethernet(以太口)、Serial(串口)、loopback(虚拟端口) 交换机——ethernet、vlan、loopback 注意:交换机默认其24个端口全在vlan 1里面,交换机在给vlan配了ip之后就具有路由器的功能了。另一个需要注意的是,所用的端口是否被shutdown了,如果被shutdown了, 需要进入相应的端口执行undo shutdown。 二. 配置ip 除了交换机的以太口不可以配置ip外,其他端口都可以,配置方法相同。 [Quidway] interface *(所要配置的端口,如vlan 1) [Quidway-*]ip add *.*.*.*(ip) *.*.*.*(掩码)/*(掩码位数,一般只在路由器上适 用) 三. NAT 上网(此命令是在VRP版本为3.4的路由器上测试的,在其他版本上是否适用,未 经考察)组网图: R1 E0/2 E0/3 E0/1 E1:192.192.169.*/24 E0:192.168.2.1/24 Ip:192.168.2.10/24 网关:192.168.2.1 Ip:192.168.2.11/24 网关:192.168.2.1 Ip:192.168.2.12/24 网关:192.168.2.1 Ip:192.168.2.13/24 网关:192.168.2.1 PCA PCB PCC E0/4 To internet PCD S1
E0/5 NAPT工作过程:P19 1.用地址池的方法上网: 首先配置路由器的接口的ip地址, 然后配置地址转换,把所有内网地址转换成所配置的地址池中的地址,参考命令如下:[R1]acl number 2000 //在vrp为3.4的路由器上,2000-2999表示basic acl [R1-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255(地址掩码的反码) [R1-acl-basic-2000]rule deny source any #这个访问控制列表定义了IP源地址为192.168.2.0/24的外出数据包[R1]nat address-group 1(地址池的组号)192.192.169.10 192.192.169.15 #这条命令定义了一个包含6个公网地址(10~15)的地址池,地址池代号为1 [R1] interface e 1 [R1-Ethernet1] nat outbound 2000(acl的编号) address-group 1 (地址池的代 号) [R1]ip route-static 0.0.0.0 0.0.0.0 192.192.169.1 (千万不要忘记这一步,!)#上面设置了路由器的E0和E1端口IP地址,并在路由表中添加缺省路由。 2.共用一个ip上网 首先配置路由器的接口的ip地址,参考命令如下: system [Router]sysname R1 [R1]interface e0 [R1-Ethernet0]ip add 192.168.2.1 24 [R1]interface e1 [R1-Ethernet1]ip add 192.192.169.10 24 //这里假设出口ip是192.192.169.10 然后配置地址转换,参考命令如下: [R1]acl number 2000 //在vrp为3.4的路由器上,2000-2999表示basic acl [R1-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255(地址掩码的反码) [R1-acl-basic-2000]rule deny source any #这个访问控制列表定义了IP源地址为192.168.2.0/24的外出数据包 [R1] interface e 1 [R1-Ethernet1]nat server protocol tcp global 192.192.169.10(E1的ip) inside 192.168.2.1(内网网关E0的ip) [R1-Ethernet1] nat outbound 2000(acl的编号) [R1]ip route-static 0.0.0.0 0.0.0.0 192.192.169.1 #上面设置了路由器的E0和E1端口IP地址,并在路由表中添加缺省路由。 注:有的组网图可能会复杂一些,比如交换机上划分了vlan,需要在路由器上添加到交换
华为路由器配置详细教程.doc
感谢你的阅读 感谢你的阅读华为路由器配置详细教程 华为路由器的品质是众所周知的,但其设备的配置方法可能就不是很多人知道了吧,欢迎大家来到学习啦,本文为大家讲解华为路由器配置详细教程,欢迎大家阅读学习,希望能帮到你。 华为路由器配置详细教程一 目前华为路由器的市场份额还是非常高的,同时其配置和其他的路由器也有一些差别,首先让大家了解下VRP软件升级操作,然后全面介绍在默认链路层封装上的区别(主要用于DDN 的配置)。华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面,使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。 另外它的软件升级,远程配置,备份中心,P Element not supported - Type:8 Name:#comment PPP回拨,华为路由器热备份等,对用户来说均是极有用的功能特性。在配置方面,华为路由器以前的软件版本(VRP1.0-相当于CISCO的IOS)与CISCO有细微的差别,但目前的版本(VRP1.1)已和CISCO兼容,下面首先介绍VRP软件的升级方法,然后给出配置上的说明。 一、VRP软件升级操作 升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本,因为这关系到是否可以升级以及升级的方法,否则升级失败会导致路由器不能运行。在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。 1.路由器配置电缆一端与PC机的串口一端与路由器的console口连接。 2.在win95/98下建立使用直连线的超级终端,参数:波特率9600,数据位8,停止位1,无效验,无流控,VT100终端类型
华为AR1200 路由器策略路由配置
华为AR1200 路由器策略路由配置 [Huawei]display current-configuration [V200R007C00SPC900] # drop illegal-mac alarm # l2tp enable # ipv6 # ip load-balance hash src-ip # dns resolve dns server 219.141.136.10 dns server 219.141.140.10 dns proxy enable # vlan batch 2 # dhcp enable #
pki realm default enrollment self-signed # ssl policy default_policy type server pki-realm default # aclnumber 2999 rule 5 permit source 172.16.10.0 0.0.1.255 # acl number 3000 1;创建用于策略路由的ACL rule 5 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 用于策略路由及默认路由两个网段之间互通的ACL rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255 # traffic classifier 2 operator or 2;创建traffic classifier 匹配acl两个网段互通 if-match acl 3001 traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由 if-match acl 3000 # traffic behavior 2 3创建流行为网段互通不做任何行为
无线路由器常见设置详解
无线路由器常见设置详解(必备整理) 外网无线设置 1.动态IP用户:选择此项目会自动地从您的网际网络服务提供者得到一个 IP 地址。提供 Cable modem 的 ISP 通常都使用动态 IP 地址。 2.PPPoE用户:如果您的网络服务提供商提供给您的是 PPPoE 服务(DSL业务的提供商都会提供此类连接服务,比如最为流行的ADSL宽带业务),请选择此项目。在"快捷通道"中只需要填写PPPoE帐号以及密码即可进行连接。 PPPoE 帐号:输入ISP商提供给您的 PPPoE 使用者名称。 PPPoE 密码:输入ISP商提供给您的 PPPoE 使用者密码。 3.静态IP用户:此选项提供给使用静态IP地址的客户,根据您的 ISP提供的固定 IP 地址资料来输入您的"WAN口IP 地址"、"子网掩码"、 "默认网关",和" DNS (domain name 服务器) 地址"。每一个 IP 地址必须输入在适当的 IP 字段中,分别由"." 区隔四个 IP octets 构成一个 IP (x.x.x.x),路由器只接受这个形式的 IP 格式。 主DNS:DNS地址用于对访问网站时所需要的域名进行解析,输入您最为常用的域名解析服务器地址,也可以由您的ISP推荐。 次DNS:输入主DNS外的另一个备用的DNS地址,也可以不填。 4.无线配置:此项目提供对路由器的无线功能是否使用的设置,选择启用,您的路由器将具备无线AP的功能,如果禁止,则只拥有普通有线宽带路由器的功能,默认为"启用",慎选。 网络名称(SSID):SSID 是无线网络中所有设备共享的网络名称。无线网络中所有设备的 SSID 必须相同。SSID 区分大小写,可能由任何键盘字符组成,但不得超过 32 个字母数字字符。确保无线网络中所有设备的这个设置均相同。为了提高安全性,建议您将默认的 SSID 更改为您选择的唯一名称。 无线基本设置 1.无线状态:可以被选择为"开启"或"关闭"。"关闭"则关闭无线功能。 2.SSID号:设置您的无线网络名称。 3.无线标准:共有4种无线标准可供选择,每种拥有不同的工作频段和传输速率。 4. 网络模式:无线路由器的工作模式,默认为AP模式。 AP模式:无线接入点,可以接受无线客户端(网卡)的连接并通过它访问网络。Client模式:客户端模式,可以作为网卡使用,该模式下有两种网络方式,结构化网络和对等网络。 结构化网络:路由器以终端方式连接到无线网络的其他AP。 对等网络:路由器与其他的无线终端以点对点的方式连接。 WDS模式:无线路由器工作在该模式下,可以把两个或者多个有线以太网络通过无线网络桥接在一起。但是不能再接受无线客户端(例如网卡)的连接。 AP+WDS模式:无线路由器工作在该模式下,不仅可以把两个或者多个有线以太网络通过无线网络桥接在一起。同时又可以再接受别的无线客户端(例如网卡)
cisco三层交换机vlan间路由配置实例
cisco三层交换机vlan间路由配置实例 下面以cisco3560实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:COM;分支交换机分别为:PAR1、PAR2、PAR3,分别通过Port 1的光线模块与核心交换机相连;并且假设VLAN名称分别为COUNTER、MARKET、MANAGING…… 需要做的工作: 1、设置VTP DOMAIN(核心、分支交换机上都设置) 2、配置中继(核心、分支交换机上都设置) 3、创建VLAN(在server上设置) 4、将交换机端口划入VLAN 5、配置三层交换 1、设置VTP DOMAIN。 VTP DOMAIN 称为管理域。 交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。 COM#vlan database 进入VLAN配置模式 COM(vlan)#vtp domain COM 设置VTP管理域名称 COM COM(vlan)#vtp server 设置交换机为服务器模式 PAR1#vlan database 进入VLAN配置模式 PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM PAR1(vlan)#vtp Client 设置交换机为客户端模式 PAR2#vlan database 进入VLAN配置模式 PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM PAR2(vlan)#vtp Client 设置交换机为客户端模式 PAR3#vlan database 进入VLAN配置模式 PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM PAR3(vlan)#vtp Client 设置交换机为客户端模式 注意:这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN 及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN 信息;Client模式是指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可同步由本 VTP域中其他交换机传递来的VLAN信息。 2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。ISL (Inter-Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置 ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。 在核心交换机端配置如下: COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk 在分支交换机端配置如下: PAR1(config)#interface gigabitEthernet 0/1
华为路由器路由策略和策略路由
! 路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 " 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 % 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 . deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 @ 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。
通用路由器配置说明
通用路由器配置说明 一、网络摄像机外网访问在公司路由器里的设置 点击转发规则 虚拟服务器 内部端口,外部端口填写网络摄像机里配置的端口,IP是网络摄像机里填写的IP地址填写完确定就行了。
因iCanSee系统完全基于网络运行,路由器在其中扮演了重要的角色。本文以TP-LINK无线路由器为例,简要说明路由器的配置 一、TP-Link TL-WRXX系列路由器配置指南 对路由器进行基本配置,使电脑通过路由器实现共享上网,过程相对来说比较容易实现;这篇文档下面的内容,主要讲述如下几部分: 收集并判断信息,为配置路由器做准备; 进入路由器管理界面,对路由器进行配置; 配置过程简单的故障定位排除!
1、配置路由器前的准备工作 常见的硬件连接方式有下面几种: 电话线→ADSL MODEM→电脑 双绞线(以太网线)→电脑 有线电视(同轴电缆)→Cable MODEM→电脑 光纤→光电转换器→代理服务器→PC ADSL / VDSL PPPoE:电脑上运行第三方拨号软件如Enternet300或WinXP 系统自带的拨号程序,填入ISP提供的账号和密码,每次上网前先要拨号; 或者您的ADSL MODEM已启用路由功能,填入了ISP提供的账号和密码,拨号的动作交给MODEM 去做; 静态IP:ISP提供给您固定的IP地址、子网掩码、默认网关、DNS; 动态IP:电脑的TCP/IP属性设置为“自动获取IP地址”,每次启动电脑即可上网; 802.1X+静态IP:ISP提供固定的IP地址,专用拨号软件,账号和密码; 802.1X+动态IP:ISP提供专用拨号软件,账号和密码; WEB认证:每次上网之前,打开IE浏览器,先去ISP指定的主页,填入ISP提供的用户名密码,通过认证以后才可以进行其他得上网操作; 2、怎样进入路由器管理界面? 先参照《用户手册》上面的图示,将ADSL MODEM、路由器、电脑连结起来。TL-W RXX系列路由器的管理地址出厂默认: IP地址:192.168.1.1, 子网掩码:255.255.255.0 (TL-R400和TL-R400+两款的管理地址默认为:192.168.123.254,子网掩码:255. 255.255.0) 用网线将路由器LAN口和电脑网卡连接好,因为路由器上的以太网口具有极性自动翻转功能,所以无论您的网线采用直连线或交叉线都可以,需要保证的是网线水晶头的制作牢靠稳固,水晶头铜片没有生锈等。 电脑桌面上右键点击“网上邻居”→“属性”,在弹出的窗口中双击打开“本地连接”,在弹出的窗口中点击“属性”,然后找寻“Internet协议(TCP/IP)”,双击弹出“Intern et协议(TCP/IP)属性”窗口; 在这个窗口中选择“使用下面的IP地址”,然后在对应的位置填入: IP地址:192.168.1.X(X范围2-254) 子网掩码:255.255.255.0 默认网关:192.168.1.1,填完以后““确定”两次即可;
相关文档
- 联想网御Power-V系列配置案例集11(静态、默认、策略、ISP路由配置案例)
- 路由策略典型配置举例与故障排除
- 华为路由器路由策略和策略路由配置与管理
- H3C_S7500E路由策略配置举例
- 路由器-IP单播策略路由典型配置
- 华为路由器路由策略和策略路由
- 路由器 策略路由设置
- 路由策略-WEB配置用户手册
- 第6章 IP路由策略配置命令
- ospf 路由策略配置
- 华为交换机策略路由配置
- Cisco思科策略路由的概念_原理_配置实例
- 策略路由配置示例
- 策略路由典型配置案例
- SR8800-X核心路由器策略路由配置指导
- 策略路由配置与BFD
- 策略路由配置几种方法
- 路由策略和策略路由 配置
- Cisco思科策略路由的概念原理配置实例
- Linux服务器策略路由配置方法