华为模拟器采用PBR完美实现接口策略实验

WillianAlbert

   相信有很多朋友在学习华为HCIP阶段时会遇到这么一个问题：无法通过华为模拟器的PBR命令来实现接口策略的实验。

   那么今天我就来给看到本文的读者进行答疑解惑。

   首先我们先要了解下策略路由的定义以及分类。

   策略路由PBR：其是一种依据用户制定的策略进行路由选择的机制。通俗话理解就是在路由表前，设置了一个类似“防火墙”的东西，转发的路由先查看“防火墙”里面的规则；如果路由匹配上这个“防火墙”的内容，则就走“防火墙”规定的路线进行转发，如果没有匹配上这个“防火墙”的内容，那么就按照路由表的转发路径进行转发；而这个“防火墙”就是策略路由制定的规则。

   而策略路由的分类：其分为本地策略路由、接口策略路由和智能策略路由，而今天我们重点讲解接口策略路由。

   所谓接口策略路由就是：其只对转发的报文起作用，对本地下发的报文（比如本地的ping报文）不起作用。

   具体实验验证看下图：

图1

   拓扑图阐述：美国有四大情报机构，其中最出名的两个情报机构，一个是CIA，另一个是FBI，那么他们都可以单独向美国白宫汇报相应的情报。此时网络底层都部署ospf协议，并且将R1的接口G0/0/1的ospf开销值改为100，那么这就导致CIA和FBI访问美国白宫都走同一条链路R1-R2-R4，这样传输是及其不安全的，那么我们如果在不改变设备路由表内容的前提下，让CIA和FBI访问白宫走不同的线路呢？那么此时我们要用到PBR的接口策略

    大家想做这个实验，那么前提必须让R1使用ensp中的Router型号的路由器，如下图所示

图2

首先第一步：将R1的接口G0/0/1的cost值改为100，让CIA和FBI都走一边即R1-R2-R4

[R1-GigabitEthernet0/0/1]ospf cost 100

此时测试CIA访问美国白宫的路径：R1-R2-R4

此时测试FBI访问美国白宫的路径：R1-R2-R4

第二步：通过acl匹配CIA访问白宫的数据流策略路由，同理通过acl匹配FBI访问白宫的数据流并做PBR策略路由

[R1]dis acl all

Total nonempty ACL number is 2

Advanced ACL 3000, 1 rule

ACL's step is 5

rule 5 permit ip source 10.1.1.0 0.0.0.255destination 10.1.3.0 0.0.0.255 (0 ti

mes matched)

Advanced ACL 3001, 1 rule

ACL's step is 5

rule 5 permit ip source 10.1.2.0 0.0.0.255destination 10.1.3.0 0.0.0.255 (0 ti

mes matched)

[R1]dis cur configuration  policy-based-route  

#

policy-based-route fanyunpermit node 10

if-match acl 3000

apply ip-address next-hop 12.1.1.2

policy-based-route fanyunpermit node 20

if-match acl 3001

apply ip-address next-hop 13.1.1.3

最后一步：在R1的接口上使能接口策略路由

[R1-Ethernet0/0/1]ippolicy-based-route  fanyun

[R1-Ethernet0/0/0]ippolicy-based-route  fanyun

最终测试：  

CIA访问白宫的路线是R1-R2-R4

FBI访问白宫的路线是R1-R3-R4

如果大家想要获取配置文件的话，请大家留言或者加入下面的微信号