问题描述
/2.1.3_L3,_Packet_Forwarding_(Routing)/Policy-Based_Routing/Huawei,_PBR_with_MQC/PBR,_Two_ISP,_One_Server/pasted_image.png)
当前网络以同,但由于配置 AR1 等价路由,所以在 PC1 / PC2 中 ping 8.8.8.8 或许到达 AR4 设备或 AR5 设备
我们希望实现:
1)VLAN 10 通过 10.0.14.0/24 去往 AR4 8.8.8.8 地址
2)VLAN 20 通过 10.0.14.0/24 去往 AR3 8.8.8.8 地址
解决方案
// Traffic Classifier Configuration [RTA] acl number 3010 [RTA-acl-adv-3010] rule 2 permit ip source 192.168.10.0 0.0.0.255 destination 0.0.0.0 0 [RTA] acl number 3020 [RTA-acl-adv-3020] rule 2 permit ip source 192.168.20.0 0.0.0.255 destination 0.0.0.0 0 [RTA] traffic classifier from-lan10 [RTA-classifier-from-lan10] if-match acl 3010 [RTA] traffic classifier from-lan20 [RTA-classifier-from-lan20] if-match acl 3020 // Traffic Behavior Configuration [RTA] traffic behavior to-isp13 [RTA-behavior-to-isp13] redirect ip-nexthop 10.0.13.3 [RTA] traffic behavior to-isp14 [RTA-behavior-to-isp14] redirect ip-nexthop 10.0.14.4 // Traffic Policy Configuration [RTA] traffic policy isp-selection [RTA-trafficpolicy-isp-selection] classifier from-lan10 behavior to-isp14 [RTA-trafficpolicy-isp-selection] classifier from-lan20 behavior to-isp13 [RTA] interface GigabitEthernet 0/0/0 [RTA-GigabitEthernet0/0/0] traffic-policy isp-selection inbound
如果存在内网服务器
配置方法与上面类似,但是要单独处理内网间的流量,即内网间的流量不进行任何策略(针对该场景);
匹配策略
根据 AR1220 手册,为匹配 ACL 规则的报文指定报文过滤动作时:
1)如果此 ACL 中的 rule 规则配置为 permit,则设备对此报文采取的动作由流行为中配置的 deny 或 permit 决定;
2)如果此 ACL 中的 rule 规则配置为 deny,则无论流行为中配置了 deny 或 permit,此报文都被丢弃;
也就是说我们如果想在 ACL 中使用 deny 来反向匹配流量,并不是那么容易事项。鉴于 ACL 使用 deny 会拒绝流量,而我们的场景不需要拒绝任何流量,所以在 ACL 就不能使用 deny 动作,只能是 permit 动作;
我们目前的实现方法是(要注意匹配顺序):
1)Traffic Classifier 匹配内网流量,然后 Traffic Behavior 直接 permit 所有内网流量,即不处理;
2)Traffic Classifier 匹配特定流量,然后 Traffic Behavior 直接 redirect 修改下一跳,到特定 ISP 线路;
3)最后,剩余流量直接走常规路线,即不经过 MQC 处理,执行常规的流量转发;
这里,我们实践方法是:
1)特殊流量,特殊处理;其余流量,默认处理;
2)而非“针对特殊流量,定义特殊策略;针对普通流量,定义普通策略”;
配置问题记录
1)ACL 配置错误,导致无法正确抓取流量;
2)第二条线路是新增的,虽然 MQC 配置正确,但是我们忘记配置 NAT 而导致无法正常访问网络;
3)我们的出口路由器存在 Vlanif,因此我们在 Vlanif 上实施 Traffic Policy Inbound 进行策略路由;
线路隔离问题
问题描述:
现存 PPPoE 与 Static 两条线路,主动从 Static 进入的流量,如果回包从 PPPoE 发出,则无法被送达远端设备。
原因分析:
我们猜测同个运营商的线路之间可能存在隔离,或远端有两台设备分别进行出入控制,进出不一致导致设备状态未同步,进而导致流量无法正常回送到源设备。
而我们的配置中,默认路由是 PPPoE 网关地址,所以导致 Static 进入的流量被从 PPPoE 线路发出去。
解决方案:
1)在实际使用中,流量仅会从 Static 进入,所以我们配置 Router 的默认路由为 Static 线路的网关地址;
1)而 PPPoE 线路仅用于上网,所以 MQC 控制主动外出的流量,为内网的不同流量选择不同的线路;