场景描述:新机房有两台核心交换机,老机房也有两台核心交换机,由于目前新机房尚未购置安全设备,所以新建房的指定web服务器需要通过老机房做nat转换(新机房仅有一台路由器,可以实现简单的上网功能)。
解决方案:新机房核心交换机的默认路由指向新机房的路由器,同时在需要通过老机房的网段上做策略路由,配置如下(新机房为华为S12712交换机):
配置接口策略路由示例
实现策略路由,具体配置思路如下:
1. 配置各设备接口IP地址及路由协议,使企业用户能通过RouterA访问Internet。
2. 配置流分类,匹配规则为匹配报文的源IP地址,实现基于源地址对报文进行分类。
3. 配置流行为,将满足规则的报文重定向到 20.20.20.2
4. 配置流策略,绑定上述流分类和流行为,并应用到相应的接口,实现策略路由。
操作步骤
#配置静态路由。
[RouterD]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
#在RouterA上创建流分类vlan10匹配源地址为192.168.1.0/24
[RouterA]acl number 2000
[RouterA-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[RouterA-acl-basic-2000]quit
[RouterA]traffic classifier vlan10
[RouterA-classifier-vlan10]if-match acl 2000
[RouterA-classifier-vlan10]quit
配置流行为
[RouterA]traffic behavior vlan10
[RouterA-behavior-vlan10]redirect ip-nexthop 20.20.20.2
[RouterA-behavior-vlan10]quit
配置流策略并应用到接口上
#在RouterA上创建流策略vlan10将流分类和对应的流行为进行绑定。
[RouterA]traffic policy vlan10
[RouterA-trafficpolicy-vlan10]classifier vlan10 behavior vlan10
[RouterA-trafficpolicy-vlan10]quit
#将流策略vlan10应用到接口GE1/0/0入方向
[RouterA]interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0]traffic-policy vlan10 inbound
[RouterA-GigabitEthernet1/0/0]quit
此部分为策略路由的配置方法,按照我的实际的做法,流策略vlan10应用到了服务器与核心交换机的链路聚合端口上,如果这样做完,您可能会发现一个问题,服务器上的其他网段出现了访问问题,由于流策略的原因导致非指定网段无法与其他网段通信,此时,只需要重新创建一条acl,然后加一条rule 5 permit ip,然后重新创建一个新的流分类和流行为,并将其应用到policy vlan10上,此时vlan10上有两条流分类和流行为的绑定。