策略路由最终配置成功-【续】Msr3600-28-xs,配置策略路由后,内网不能互通的问题
- 0关注
- 0收藏,547浏览
问题描述:
作为一个网络设备配置的小白,在论坛提了4个帖子、历时1个多月最终配置成功:
我把配置贴上来,也算留档。
配置周期长,一是因为我菜,二是因为办公室用的人多、只能周末来配、而且中断时间也很有限。
这个帖子可能对普通网工来说很简单。
但我上AI询问h3c的策略路由,开了搜索,它竟然又引用我的求助帖、形成错误闭环。
所以我觉得有必要把正确配置发出来,有助于小白、非专业兼z网工的学习和纠正。
注意事项及原理:
- 策略路由优先级高于静态路由。
如果一个数据包匹配到策略路由规则中明确设定为deny的动作,该数据包会被丢弃,而不会继续进行静态路由匹配。
也就是说,一旦策略路由中的deny规则生效,该流量将不会走默认的静态路由。
- 内网的路由表,AI分析是典型的单臂路由,路由协议是Direct(vlan间通信)。
开始配置:
### 0、 先在web界面添加宽带2
转到cmd 执行display cu | include Dialer1
确认是Dialer1接口
### 1、匹配内网之间的流量,不做动作,转交静态路由处理
acl advanced 3100
# 之前就是这里走了很长一段弯路。按前面帖子建议的配置写的deny,实际应该用permit才能匹配并放行内网vlan互通的包。
#rule 5 deny ip source 192.168.0.0 0.0.15.255 destination 192.168.0.0 0.0.15.255
#rule 10 permit ip source any destination any
rule 5 permit ip source 192.168.0.0 0.0.15.255 destination 192.168.0.0 0.0.15.255
### vpn网段,也不走策略路由。后验证不需要!
### rule 10 permit ip source 10.8.0.0 0.0.0.255 destination 192.168.0.0 0.0.15.255
quit
### 2、指定外网走 Dialer1 口的网段
acl advanced 3200
description Allow traffic for policy-based routing and exclude internal traffic
rule 5 permit ip source 192.168.0.0 0.0.0.255
rule 10 permit ip source 192.168.5.0 0.0.0.255
rule 15 permit ip source 192.168.6.0 0.0.0.255
###rule 20 permit ip source 192.168.7.0 0.0.0.255
rule 25 permit ip source 192.168.8.0 0.0.0.255
quit
### 2.1、 匹配内网之间的访问,不写动作(退而走静态路由)
policy-based-route neiwang node 5
if-match acl 3100
quit
### 2.2、 再绑定内网几个网段、并指定Dialer1
policy-based-route neiwang node 10
if-match acl 3200
apply output-interface Dialer1
quit
### 2.3、 应用到vlan
interface Vlan-interface6
ip policy-based-route neiwang
quit
### vlan 1 ,5 ,6,8 也是这样配置
### 3、指定4.0 走 GigabitEthernet0/0 口的网段
acl advanced 3300
description Allow traffic for policy-based routing and exclude internal traffic
rule 10 permit ip source 192.168.4.0 0.0.0.255
rule 20 permit ip source 192.168.7.0 0.0.0.255
### vpn的网段,走GE0。后验证不需要!
### rule 15 permit ip source 10.8.0.0 0.0.0.255
quit
policy-based-route idc4 node 5
if-match acl 3100
quit
policy-based-route idc4 node 10
if-match acl 3300
###apply output-interface GigabitEthernet0/0 ### 用这条不生效,4.0网段还是走的Dialer1 ,所以换成了next-hop
apply next-hop 128.80.9.1
quit
interface Vlan-interface4
ip policy-based-route idc4
quit
组网及组网描述:
组网情况:
Msr3600-28-xs是一台出口路由器(路由交换一体机,有20多个口作交换机用)
另有2个wan口,之前GE0 接【线路1】这条宽带,固定ip上网
共有vlan4 机房用 192.168.4.0/24
vlan5 、6、7 固定pc机 网线接入 对应ip段都是 192.168.x.0/24
vlan8 无线ap接入 192.168.8.0/24
各vlan可以互相ping通。
路由器下连了一台POE交换机S5120V3。
需求:
新增了【线路2】,就是GE1口,拨号 Dialer1 的宽带。
需要修改路由策略,让(vlan4 机房用 192.168.4.0/24)走(【线路1】这条宽带,固定ip)出去。
其它vlan都走【线路2】
同时,各vlan在内网保持互通。
- 2025-03-25提问
- 举报
-
(0)
最佳答案
学到了,你这个是因为所有网段都在路由器上面,所以会出现这类问题,
如果是所有网关都在核心交换机,那么在出口路由器做的策略路由不会影响内网互通
华三模拟器 H3C网络设备模拟器官方免费下载
tftp已经很快了,传上去之后使用startup saved-configuration命令用来配置下次启动配置文件(系统下次启动时使用的配置文件)。
- 2025-03-25回答
- 评论(7)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
感谢。需要花点时间来研究。如果后面内存太高、还是断网的话,我就走这个方案