ensp实验策略路由配置案例

 拓扑图

需求：

• 内网存在两个网段，网段1：10.1.1.0/24，网段2：10.1.2.0/24，在RTA的GE0/0/0接口部署PBR，实现网段1访问Internet通过ISP1、网段2访问Internet通过ISP2。
• RTA上旁挂了一台服务器，要求在RTA上部署的策略路由不影响内网用户访问该服务器。 

网络配置

步骤一 配置互联接口IP地址及路由

配置 RTA 的 GE0/0/0、GE0/0/1、GE0/0/2、Serial0/0/1接口的IP地址和路由

[RTA]interface GigabitEthernet0/0/0
[RTA-GigabitEthernet0/0/0]ip address 10.1.4.1 24
[RTA-GigabitEthernet0/0/0]quit
[RTA]interface GigabitEthernet0/0/1
[RTA-GigabitEthernet0/0/1]ip address 10.1.3.1 24
[RTA-GigabitEthernet0/0/1]quit
[RTA]interface GigabitEthernet0/0/2
[RTA-GigabitEthernet0/0/2]ip address 202.1.2.4 24
[RTA-GigabitEthernet0/0/2]quit
[RTA]interface Serial0/0/1
[RTA-Serial0/0/1]ip address 154.1.2.4 24
[RTA-Serial0/0/1]quit
[RTA]ip route-static 10.1.1.0 24 10.1.4.2
[RTA]ip route-static 10.1.2.0 24 10.1.4.2

配置 ISP1 GE0/0/0、LoopBack0 接口的IP地址和路由配置

[ISP1]interface GigabitEthernet0/0/0
[ISP1-GigabitEthernet0/0/0]ip address 202.1.2.3 24
[ISP1-GigabitEthernet0/0/0]quit
[ISP1]interface LoopBack0 
[ISP1-LoopBack0]ip address 1.1.1.1 32
[ISP1-LoopBack0]quit
[ISP1]ip route-static 0.0.0.0 0 202.1.2.4

配置 ISP2 Serial0/0/0、LoopBack0 接口的IP地址和路由配置

[ISP2]interface Serial0/0/0 
[ISP2-Serial0/0/0]ip address 154.1.2.3 24 
[ISP2-Serial0/0/0]quit
[ISP2]interface LoopBack0 
[ISP2-LoopBack0]ip address 2.2.2.2 32
[ISP2-LoopBack0]quit
[ISP2]ip route-static 0.0.0.0 0 154.1.2.4

 

配置 Server1  

 

本机地址：10.1.3.254 子网掩码：255.255.255.0 网关：10.1.3.1

 

 

配置 LSW1 GE0/0/0、GE0/0/1、GE0/0/2的接口类型和VLAN、VLANIF、默认路由。

[Huawei]vlan batch 10 20 40
[Huawei]interface Vlanif10
[Huawei-Vlanif10]ip address 10.1.1.1 255.255.255.0
[Huawei-Vlanif10]quit
[Huawei]interface Vlanif20
[Huawei-Vlanif20]ip address 10.1.2.1 255.255.255.0
[Huawei-Vlanif20]quit
[Huawei]interface Vlanif40
[Huawei-Vlanif40]ip address 10.1.4.2 255.255.255.0
[Huawei-Vlanif40]quit
[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 40
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface GigabitEthernet0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 20
[Huawei-GigabitEthernet0/0/3]quit
[Huawei]ip route-static 0.0.0.0 0 10.1.4.1

 

配置PC1、PC2

IP地址：10.1.1.2 子网掩码：255.255.255.0 网关：10.1.1.1.
IP地址：10.1.2.2 子网掩码：255.255.255.0 网关：10.1.2.1.

 

步骤二 策略路由配置

1、配置ACL 3000，其中rule 1 deny网段1访问服务器的流量，rule 2匹配网段1访问Internet的流量。

[RTA] acl number 3000 
[RTA-acl-adv-3000] rule 1 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.3.254 0 
[RTA-acl-adv-3000] rule 2 permit ip source 10.1.1.0 0.0.0.255

2、配置ACL 3001，其中rule 1 deny网段2访问服务器的流量，rule 2匹配网段2访问Internet的流量。

[RTA] acl number 3001
[RTA-acl-adv-3001] rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 
10.1.3.254 0
[RTA-acl-adv-3001] rule 2 permit ip source 10.1.2.0 0.0.0.255

3、创建PBR hcip，创建节点10，调用ACL 3000，指定其转发下一跳为202.1.2.3 

[RTA] policy-based-route pbr-ping permit node 10
[RTA-policy-based-route-hcip-10] if-match acl 3000 
[RTA-policy-based-route-hcip-10] apply ip-address next-hop 202.1.2.3

4、创建PBR hcip节点20，调用ACL 3001，指向其转发下一跳为154.1.2.3 

[RTA] policy-based-route pbr-ping permit node 20
[RTA-policy-based-route-hcip-20] if-match acl 3001 
[RTA-policy-based-route-hcip-20] apply ip-address next-hop 154.1.2.3

5、在GE0/0/0接口调用PBR pbr-ping

[RTA]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0] ip policy-based-route pbr-ping

 步骤三 验证效果

PC1 上 PING ISP1  loopback0 1.1.1.1 有 ICMP reply 报文 而PING ISP2 loopback0 2.2.2.2 无 ICMP Reply 报文。

 PC2上 PING ISP2  loopback0 2.2.2.2 有 ICMP reply 报文 而PING ISP1 loopback0 1.1.1.1  无 ICMP Reply 报文。

 RAT 上 查看PBR统计 

<RTA>display ip policy-based-route statistics interface GigabitEthernet 0/0/0

 发现 Policy Based Routing 工具有统计数据，说明PBR工具生效。结合PC1 和 PC2 网络可达情况，验证策略路由配置正确。

 

实验的不足地方

这个实验我省去的内网和外网的IP地址转换，没有做NAT。仅仅验证策略路由配置正确。ISP1和ISP2上直接配置默认路由让内网段和外网网段互通了。

 

我在此此ENSP做实验时候，出过的错误。

1. 书写ACL匹配规则时候，匹配去往外网的流量的规则有误。

2. PBR应用在物理接口，路由器物理接口上应用子接口，做两个IP网段通信，策略路由没有过滤到IP流量

一、书写ACL匹配规则时候，匹配去往外网的流量的规则有误。

错误规则如下：

[RTA-acl-adv-3000] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination 0.0.0.0 0

误认为 destination 0.0.0.0 0 也是匹配所有网段，其实是ACL应用场景变了，意思稍微有变化，当ACL应用在策略路由时，过滤的都是业务数据报文，这个规则就匹配不到全部IP地址，因为策略路由是工作在转发平面，所要不对。在控制平面ACL过滤路由信息是， 0.0.0.0 0 匹配到就是默认路由，默认路由指导全部的IP去往。这个高级ACL不能应用在过滤路由信息，过滤路由信息使用基本ACL。ACL中 0.0.0.0  是IP，0是通配符，不是掩码或反掩码。我理论分析ACL 里0.0.0.0 0  可能是匹配所有IP地址，和 0.0.0.0 255.255.255.255 效果一样。目前我的结论是ACL里 0.0.0.0 0 匹配是精确匹配一个 0.0.0.0 IP的报文信息，可以理解匹配的是字符串。程序没有解释翻译匹配所有IP地址。因为我们知道，配置静态默认路由时，0.0.0.0  0 匹配所有ip地址和掩码。

ACL两个特殊的通配符：

• 当通配符全为0来匹配IP地址时，表示精确匹配某个IP地址 ；
• 当通配符全为1来匹配0.0.0.0地址时，表示匹配了所有IP地址。

 

正确书写有三种：

写法一 缺省 等效全部网段

[RTA-acl-adv-3000] rule 2 permit ip source 10.1.1.0 0.0.0.255 

写法二  特殊通配符，全1来匹配 0.0.0.0时，表示匹配所要IP地址。

[RTA-acl-adv-3000] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination 0.0.0.0 255.255.255.255

写法三  用 any 关键字等效匹配全部网段。

[RTA-acl-adv-3000] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination any

 

二、PBR应用在物理接口，路由器物理接口上应用两个子接口，做两个IP网段通信，策略路由没有过滤到IP流量

我不太确定PBR是否能过滤到子接口的IP的报文，我用的的360搜索，纳米AI给出参考答案可以的，我也做ensp上实验，发现PBR没有统计数据，ACL也没有命中统计。

最初我的PC1和PC2的网关不是配置在三层交换机上，而是用了路由的物理接口，应用两个子接口给PC1 10.1.1.0/24和PC2 10.1.2.0/24两个网段做网关。PBR在物理接口GE0/0/0上调用。