通过配置基于ACL简化的策略路由,将匹配ACL规则的三层报文重定向到指定的下一跳地址。
前置任务
在配置基于ACL简化的策略路由之前,需要完成以下任务:
-
配置相关接口的链路层属性,保证接口正常工作。
-
配置相应的ACL规则。
背景信息
当用户希望对进入网络的流量进行控制时,可以配置ACL规则根据报文的源IP地址、分片标记、目的IP地址、源端口号、源MAC地址等信息对报文进行匹配,进而配置基于ACL简化的策略路由实现对匹配ACL规则的报文过滤。与配置策略路由相比,配置基于ACL简化的策略路由不需要单独创建流分类、流行为或流策略,配置更为简洁;但是由于仅基于ACL规则对报文进行匹配,因此匹配规则没有流策略丰富。
如果同时配置了系统视图、VLAN视图以及接口视图下的简化策略路由,基于ACL简化的策略路由生效优先级为:接口 > VLAN > 全局应用。
操作步骤
- 在全局配置重定向
- 执行命令system-view,进入系统视图。
- 请根据实际需要进行如下配置:
- 执行命令traffic-redirect acl { { { basic-acl | acl-name } | { advanced-acl | acl-name } } | { l2-acl | acl-name } } * [ vpn-instance vpn-instance-name ] nexthop ip-address [ track nqaadmin-name test-name [ reaction probe-failtimes fail-times ] ] [ fail-action discard ] global [ slotslot-id ] inbound,配置重定向到单个下一跳的IP地址的动作。该动作仅在进行三层转发时生效。缺省情况下,如果配置的下一跳不可达,则报文按照原来的目的地址转发。如果配置了fail-action discard参数,则如果配置的下一跳不可达,则丢弃报文。
- 执行命令traffic-redirect acl { { { basic-acl | acl-name } | { advanced-acl | acl-name } } | { l2-acl | acl-name } } * remote [ vpn-instance vpn-instance-name ] ip-address [ track nqaadmin-name test-name [ reaction probe-failtimes fail-times ] ] [ exact ] global [ slot slot-id ] inbound,将报文重定向到远程下一跳的动作。该动作仅在进行三层转发时生效。
- 执行命令commit,提交配置。
- 在VLAN内配置重定向
- 执行命令system-view,进入系统视图。
- 执行命令vlan vlan-id,进入VLAN视图。
- 请根据实际需要进行如下配置:
- 执行命令traffic-redirect acl { { { basic-acl | acl-name } | { advanced-acl | acl-name } } | { l2-acl | acl-name } } * [ vpn-instance vpn-instance-name ] nexthop ip-address [ track nqaadmin-name test-name [ reaction probe-failtimes fail-times ] ] [ fail-action discard ] inbound,配置重定向到单个下一跳的IP地址的动作。该动作仅在进行三层转发时生效。缺省情况下,如果配置的下一跳不可达,则报文按照原来的目的地址转发。如果配置了fail-action discard参数,则如果配置的下一跳不可达,则丢弃报文。
- 执行命令traffic-redirect acl { { { basic-acl | acl-name } | { advanced-acl | acl-name } } | { l2-acl | acl-name } } * remote [ vpn-instance vpn-instance-name ] ip-address [ track nqaadmin-name test-name [ reaction probe-failtimes fail-times ] ] [ exact ] inbound,将报文重定向到远程下一跳的动作。该动作仅在进行三层转发时生效。
- 执行命令commit,提交配置。
- 在接口上配置重定向
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- 请根据实际需要进行如下配置:
- 执行命令traffic-redirect acl { { { basic-acl | acl-name } | { advanced-acl | acl-name } } | { l2-acl | acl-name } } * [ vpn-instance vpn-instance-name ] nexthop ip-address [ track nqaadmin-name test-name [ reaction probe-failtimes fail-times ] ] [ fail-action discard ] inbound,配置重定向到单个下一跳的IP地址的动作。该动作仅在进行三层转发时生效。缺省情况下,如果配置的下一跳不可达,则报文按照原来的目的地址转发。如果配置了fail-action discard参数,则如果配置的下一跳不可达,则丢弃报文。
- 执行命令traffic-redirect acl { { { basic-acl | acl-name } | { advanced-acl | acl-name } } | { l2-acl | acl-name } } * remote [ vpn-instance vpn-instance-name ] ip-address [ track nqaadmin-name test-name [ reaction probe-failtimes fail-times ] ] [ exact ] inbound,将报文重定向到远程下一跳的动作。该动作仅在进行三层转发时生效。
- 执行命令commit,提交配置。
- 在QoS组内配置报文过滤
- 执行命令system-view,进入系统视图。
- 执行命令qos group group-name,进入QoS组视图。
- 请根据需要选择配置:
- 请根据实际需要进行如下配置:
- 执行命令traffic-redirect acl { { { basic-acl | acl-name } | { advanced-acl | acl-name } } | { l2-acl | acl-name } } * [ vpn-instance vpn-instance-name ] nexthop ip-address [ track nqaadmin-name test-name [ reaction probe-failtimes fail-times ] ] [ fail-action discard ] inbound,配置重定向到单个下一跳的IP地址的动作。该动作仅在进行三层转发时生效。缺省情况下,如果配置的下一跳不可达,则报文按照原来的目的地址转发。如果配置了fail-action discard参数,则如果配置的下一跳不可达,则丢弃报文。
- 执行命令traffic-redirect acl { { { basic-acl | acl-name } | { advanced-acl | acl-name } } | { l2-acl | acl-name } } * remote [ vpn-instance vpn-instance-name ] ip-address [ track nqaadmin-name test-name [ reaction probe-failtimes fail-times ] ] [ exact ] inbound,将报文重定向到远程下一跳的动作。该动作仅在进行三层转发时生效。
- 执行命令commit,提交配置。
检查配置结果
执行命令display traffic-policy applied-record traffic-redirect [ [ global [ slot slot-id ] | interface interface-type interface-number | vlan vlan-id | qos group group-id ] [ inbound ] ],查看指定流策略的应用记录。
后续处理
如果低优先级的流策略先生效,后续再应用高优先级的流策略时,可能会导致ACL规则生效速度慢,影响到业务的实时性。通过在系统视图下配置traffic-policy fast-mode命令使能ACL快速刷新模式,可以提高ACL规则的生效速度,保证业务的实时性。
