与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(ACL规则、VXLAN ID等)的报文,执行指定的操作(设置报文的下一跳、出接口、缺省下一跳和缺省出接口等)。
背景:在核心交换旁挂一台SACG防火墙,默认线路 PC ==> ACC_SW ==> Core_SW ==> RT 到云。现在需要在核心旁挂一台SACG,把业务网段引流到SACG进行认证后 PC ==> Core_SW ==> SACG ==> Core_SW ==> RT!如下图
//创建高级ACL,定义规则rule 10, 1.0网段访问2.0网段的策略条目
acl advanced 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
//创建策略路由 名为 sacg,允许 node 10策略节点编号,如果匹配到 acl 3000 则指定下一跳为192.168.10.2
policy-based-route sacg permit node 10
if-match acl 3000
apply next-hop 192.168.10.2
//应用策略路由,在vlan接口或者物理接口,本例为vlan虚接口。
interface Vlan-interface430
ip address 192.168.1.254 255.255.255.0
ip policy-based-route sacg//在模拟器华三默认开启了快速转发功能,需要关闭
//关闭快转负载分担功能
undo ip fast-forwarding load-sharing
undo ip fast-forwarding aging-time
//恢复快速转发表项的老化时间缺省情况原创文章,作者:張旭,如若转载,请注明出处:http://www.zxbke.cn/97.html/