天亮了说晚安's Blog

本文转自：https://search.ruijie.com.cn:8447/rqs/preview.html?#ie=utf-8&wd=eHAiOjE1NDU4NzUxNDcsIm5iZiI6MTU0NTYxNTk0N302018092015040800251LqqZuvMhE7V7Ygl6r5RWsTHbWazT

请详细阅读操作文档，结合实际情况进行配置：

        若操作不当将可能导致网络卡顿甚至断网等异常情况。

        若网络中存在业务的情况下，请同步客户风险并征得客户同意后再操作。

        若您不清楚造成的影响或对操作不熟练，请不要操作，请联系专业的锐捷售后工程师进行评估后再决定是否操作。

一、组网需求    

如下网络拓扑，SW1到外网有2个出口 R3和R4，需要实现内网 172.16.1.0/24 访问外网走R3出口，内网 172.16.2.0/24 访问外网走R4出口。  

二、组网拓扑  

三、配置要点  

1、基本ip地址配置  

2、基本的ip路由配置，使全网可达  

3、在SW1上配置ACL，把内网的流量匹配出来  

4、配置策略路由  

5、应用策略路由  

四、配置步骤  

1、基本ip地址配置  

Ruijie(config)#hostname SW1  

SW1(config)#interface gigabitEthernet 0/1  

SW1(config-GigabitEthernet 0/1)#no switchport  

SW1(config-GigabitEthernet 0/1)#ip address 192.168.2.1 255.255.255.0  

SW1(config-GigabitEthernet 0/1)#exit  

SW1(config)#interface gigabitEthernet 0/2  

SW1(config-GigabitEthernet 0/2)#no switchport  

SW1(config-GigabitEthernet 0/2)#ip address 192.168.3.1 255.255.255.0  

SW1(config-GigabitEthernet 0/2)#exit  

SW1(config)#int vlan 10  

SW1(config-if)#ip add 172.16.1.254 255.255.255.0  

SW1(config-if)#int vlan 20  

SW1(config-if)#ip add 172.16.2.254 255.255.255.0    

Ruijie(config)#hostname R3  

R3(config)#interface fastEthernet 0/0  

R3(config-if-FastEthernet 0/0)#ip address 192.168.2.2 255.255.255.0  

R3(config-if-FastEthernet 0/0)#exit  

Ruijie(config)#hostname R4  

R4(config)#interface fastEthernet 0/0  

R4(config-if-FastEthernet 0/0)#ip address 192.168.3.2 255.255.255.0  

R4(config-if-FastEthernet 0/0)#exit  

2、基本的ip路由配置，使全网可达  

SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2  

SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.2     

R3(config)#ip route 172.16.0.0 255.255.0.0 192.168.2.1  

R4(config)#ip route 172.16.0.0 255.255.0.0 192.168.3.1    

3、在SW1上配置ACL，把内网的流量匹配出来  

SW1(config)#ip access-list extended 100          —–>配置ACL 100，匹配内网172.16.1.0/24  

SW1(config-ext-nacl)#10 deny ip 172.16.1.0 0.0.0.255 172.16.0.0 0.0.255.255   —–>不匹配内网访问的自己的流量，使得内网能够正常互访

SW1(config-ext-nacl)#20 permit ip 172.16.1.0 0.0.0.255 any

SW1(config-ext-nacl)#exit  

SW1(config)#ip access-list extended 101          —–>配置ACL 101，匹配内网172.16.2.0/24  

SW1(config-ext-nacl)#10 deny ip 172.16.2.0 0.0.0.255 172.16.0.0 0.0.255.255

SW1(config-ext-nacl)#20 permit ip 172.16.2.0 0.0.0.255 any  

SW1(config-ext-nacl)#exit  

4、配置策略路由  

SW1(config)#route-map ruijie permit 10           —–>配置route-map ruijie  

SW1(config-route-map)#match ip address 100         —–>匹配内网acl 10的流量  

SW1(config-route-map)#set ip next-hop 192.168.2.2       —–>强制设置ip报文的下一跳为 192.168.2.2，走R3出口  

SW1(config-route-map)#exit  

SW1(config)#route-map ruijie permit 20  

SW1(config-route-map)#match ip address 101  

SW1(config-route-map)#set ip next-hop 192.168.3.2  

SW1(config-route-map)#exit  

注意：  

1）route-map的匹配顺序为从上往下匹配，当流量匹配到策略后，就按匹配的策略转发数据，不会继续往下匹配。  

2）route-map 最后有一条deny所有的语句，对于没有匹配到策略路由的流量，不会把内网的流量丢弃，而是做正常的ip 路由转发。  

3）set ip next-hop 可以设置下一跳ip地址，也可以设置数据包的出接口，建议设置为下一跳的ip地址。  

5、应用策略路由  

SW1(config)#interface vlan 10  

SW1(config-if)#ip policy route-map ruijie         —–>应用策略路由  

SW1(config-if)#exit  

SW1(config)#interface vlan 20  

SW1(config-if)#ip policy route-map ruijie        —–>应用策略路由  

SW1(config-if)#exit  

注意：  

策略路由一定要应用到数据包的in方向接口，不能应用到数据包的out方向接口。因为策略路由实际上是在数据包进路由器的时候，强制设置数据包的下一跳，out方向接口，路由器已经对数据包做完ip路由，把数据包从接口转发出去了，故out方向策略路由不生效。  

五、配置验证  

在SW2上带源地址到外网100.1.1.0/24做路由跟踪（或者用下联终端去跟踪路由），若172.16.1.0/24访问外网走R3，172.16.2.0/24访问外网走R4，则策略路由配置正确。    

SW2#traceroute 100.1.1.1 source 172.16.1.1    

  < press Ctrl+C to break >    

Tracing the route to 100.1.1.1    

1    192.168.1.254 0 msec 0 msec 0 msec    

2    192.168.2.2 10 msec 0 msec 10 msec     —–>172.16.1.0/24 访问外网走R3出口    

  其它路径省略    

SW2#traceroute 100.1.1.1 source 172.16.2.1    

  < press Ctrl+C to break >    

Tracing the route to 100.1.1.1    

1    192.168.2.254 0 msec 0 msec 0 msec    

2    192.168.3.2 10 msec 0 msec 10 msec     —–>172.16.2.0/24 访问外网走R4出口    

  其它路径省略