【HCNP】策略路由（小实验）

1.策略路由与路由策略的区别？

路由策略：影响路由表
策略路由：不看路由表

2.本地策略路由实验（只对本机有效，对转发无效）

（1）基础配置如图，查看A1路由表/通过wireshark抓包可得，去6.6.6.6走g0/0/1

（2)创建acl，匹配目的地址

（3）策略路由配置：创建策略路由，匹配特定acl并指定出接口，并让策略生效

（4）ping6.6.6.6 g0/0/1抓包可得出接口已改变

为何发送ARP?假如配置策略路由的时候使用的是出接口而不是下一跳，则路由器会认为这条路由是直连的，而两个地址处于不同广播域，无法交换MAC地址，自然不通
方法1：策略路由改成使用下一跳
方法2：开启ARP代理，代理口用自己的MAC地址来回复ARP请求

修改以后网络可达

3.转发策略实验

（1）实验环境

R1配置静态路由，其余路由器配置OSPF，网络通。
在AR19上配置策略路由，影响从R1到R5回环接口的流量选路。

通过追踪路由/抓包可知，此时R1ping环回走上路

(2)配置策略路由

定义acl
acl 3001
rule 5 permit ip source 192.168.1.1 0 destination 2.2.2.2 0

定义流分类
traffic classifier xuanlu
if-match acl 3001

定义流行为（traffic behavior），定义下一跳为192.168.3.4（下路）
traffic behavior g0/0/0
redirect ip-nexthop 192.168.3.4
定义流策略，关联流分类和流行为

进入流量入方向端口g0/0/0，调用流策略。
从下图可以看出，流策略关联的流行为和流策略，这使得策略路由的管理变得模块化。后期运维的时候，我们可以通过修改流分类（acl)去修改匹配的流量，修改流行为去修改流量的走向（比如下一跳）
（可以理解为”面向对象“）
此时在R1上tracetr 2.2.2.2可以看出，流量走下路，策略路由生效。

策略路由小应用（防火墙旁路部署)

在R2上部署策略路由，将外网访问流量引至FW，过滤后再到达内网。