华为 | Ensp采用PBR完美实现接口策略

  • 内容
  • 相关

相信有很多朋友在学习华为HCIP阶段时会遇到这么一个问题:无法通过华为模拟器的PBR命令来实现接口策略的实验。

那么今天我就来给看到本文的读者进行答疑解惑。

首先我们先要了解下策略路由的定义以及分类。

策略路由PBR:其是一种依据用户制定的策略进行路由选择的机制。通俗话理解就是在路由表前,设置了一个类似“防火墙”的东西,转发的路由先查看“防火墙”里面的规则;如果路由匹配上这个“防火墙”的内容,则就走“防火墙”规定的路线进行转发,如果没有匹配上这个“防火墙”的内容,那么就按照路由表的转发路径进行转发;而这个“防火墙”就是策略路由制定的规则。

而策略路由的分类:其分为本地策略路由接口策略路由智能策略路由,而今天我们重点讲解接口策略路由。

所谓接口策略路由就是:其只对转发的报文起作用,对本地下发的报文(比如本地的ping报文)不起作用。

具体实验验证看下图:

拓扑图阐述:美国有四大情报机构,其中最出名的两个情报机构,一个是CIA,另一个是FBI,那么他们都可以单独向美国白宫汇报相应的情报。此时网络底层都部署ospf协议,并且将R1的接口G0/0/1的ospf开销值改为100,那么这就导致CIA和FBI访问美国白宫都走同一条链路R1-R2-R4,这样传输是及其不安全的,那么我们如果在不改变设备路由表内容的前提下,让CIA和FBI访问白宫走不同的线路呢?那么此时我们要用到PBR的接口策略

大家想做这个实验,那么前提必须让R1使用ensp中的Router型号的路由器,如下图所示

首先第一步:将R1的接口G0/0/1的cost值改为100,让CIA和FBI都走一边即R1-R2-R4

[R1-GigabitEthernet0/0/1]ospf cost 100

此时测试CIA访问美国白宫的路径:R1-R2-R4

此时测试FBI访问美国白宫的路径:R1-R2-R4

第二步:通过acl匹配CIA访问白宫的数据流策略路由,同理通过acl匹配FBI访问白宫的数据流并做PBR策略路由

[R1]dis acl all

Total nonempty ACL number is 2

Advanced ACL 3000, 1 rule

ACL's step is 5

rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 (0 ti

mes matched)

Advanced ACL 3001, 1 rule

ACL's step is 5

rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 (0 ti

mes matched)

[R1]dis cur configuration policy-based-route 

policy-based-route fishyoung permit node 10

if-match acl 3000

apply ip-address next-hop 12.1.1.2

policy-based-route fishyoung permit node 20

if-match acl 3001

apply ip-address next-hop 13.1.1.3

最后一步:在R1的接口上使能接口策略路由

[R1-Ethernet0/0/1]ip policy-based-route fishyoung 

[R1-Ethernet0/0/0]ip policy-based-route fishyoung 

最终测试: 

CIA访问白宫的路线是R1-R2-R4

FBI访问白宫的路线是R1-R3-R4

 您阅读这篇文章共花了:

上一篇:Linux | chmod权限设置与linux-facl权限控制-移除-复制

下一篇:华为 | OSPF 带宽参考值和接口cost同时修改哪个生效?

本文标签:    

版权声明:本文依据CC-BY-NC-SA 3.0协议发布,若无特殊注明,本文皆为《fishyoung》原创,转载请保留文章出处。

本文链接:华为 | Ensp采用PBR完美实现接口策略 - http://www.fishyoung.com/post-272.html