实验二十四 策略路由配置（详解）

为什么要有策略路由配置？

如果直接用ACL，它会对整个端口起作用，而策略路由配置可以根据不同情况来配置。

实验要求：

某企业通过路由器 R1 连接互联网，由于业务需要，与两家运营商 ISPA 和 ISPB 相连。 企业网内的数据流从业务类型上可以分为两类，一类来自于网络 172.16.0.0/16 ，另一类 来自于网络172.17.0.0/16 。对于来自 172.16.0.0/16 网络的数据流，通过 ISPA 访问 Internet ， 而对于来自 172.17.0.0/16 网络的数据流，通过 ISPB 访问 Internet 。

实验步骤：

1、分别配置各路由器的接口 IP 地址

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 100.120.111.9 30

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 200.123.128.129 30

[R1-GigabitEthernet0/0/1]quit

[R1]vlan bacth16 17

[R1-vlan17]int vlan 16

[R1-Vlanif16]ip add 172.16.1.1 16

[R1-Vlanif16]int vlan 17

[R1-Vlanif17]ip add 172.17.1.1 16

[R1-Vlanif17]int e2/0/0

[R1-Ethernet2/0/0]port link-type trunk

[R1-Ethernet2/0/0]port trunk allow-pass vlan all

其他设备按类似配置，此处省略。

2、创建 ACL，匹配两个网段

[R1]acl 2015

[R1-acl-basic-2015]rule 5 permit source 172.16.0.0 0.0.255.255

[R1-acl-basic-2015]quit

[R1]acl 2016

[R1-acl-basic-2016]rule 5 permit source 172.17.0.0 0.0.255.255

[R1-acl-basic-2016]quit

3、在 R1 创建流分类，匹配 ACL 命中的流量

[R1]traffic classifier c1

[R1-classifier-c1]if-match acl 2015

[R1-classifier-c1]quit

[R1]traffic classifier c2

[R1-classifier-c2]if-match acl 2016

[R1-classifier-c2]quit

（1）traffic classifier 名字：用来创建一个流分类并进入流分类视图，或进入已存在的流分类视图。

流分类是指根据一定的规则，把具有某些共同特征的报文划分为同一类。将流分类与某种流行为绑定后可以形成某种流策略，通过流策略的应用来实现针对不同类别的业务流进行差分服务。

（2）if-match acl命令用来在流分类中创建基于ACL进行分类的匹配规则。

当需要根据接收报文的接口、源IP地址信息、目的IP地址信息、IP承载的协议类型、TCP的源端口号和目的端口号、源MAC地址、目的MAC地址等内容对报文进行分类时，可以通过引用定义的ACL来满足。即先定义ACL并配置规则，然后在流分类下配置该命令对报文按照ACL进行流分类，实现对匹配同一流分类的报文进行相同的处理。

4 、创建流行为，配置重定向。

[R1]traffic behavior b1

[R1-behavior-b1]redirect ip-nexthop 100.120.111.10

[R1-behavior-b1]quit

[R1]traffic behavior b2

[R1-behavior-b2]redirect ip-nexthop 200.123.125.130

[R1-behavior-b2]quit

（1）traffic behavior命令用来创建一个流行为并进入流行为视图，或进入已存在的流行为视图。

（2）redirect ip-nexthop命令用来在流行为中创建将报文重定向到单个下一跳IP地址的动作。4

5 、创建流策略，在接口上应用流策略

[R1]traffic policy p1

[R1-trafficpolicy-p1]classifier c1 behavior b1

[R1-trafficpolicy-p1]classifier c2 behavior b2

[R1-trafficpolicy-p1]quit

[R1]int e2/0/0

[R1-Ethernet2/0/0]traffic-policy p1 inbound

[R1-Ethernet2/0/0]quit

（1）traffic-policy policy-name { inbound | outbound } ：用来在接口上应用流策略。

6 、检查配置

[R1] display traffic-policy applied-record

-------------------------------------------------

Policy Name: p1

Policy Index: 0

Classifier:c1 Behavior:b1

Classifier:c2 Behavior:b2

------------------------------------------------

*interface Ethernet2/0/0

traffic-policy p1 inbound

slot 2 : success

-------------------------------------------------

7 、在 PC1 和 PC2 上分别 ping 外网地址，如 1.1.1.1 ，测试联通性，并在 R1 上通过 display acl

2015 查看 ACL 是否被匹配。

[R1]display acl 2015

Basic ACL 2015, 1 rule

Acl's step is 5

rule 5 permit source 172.16.0.0 0.0.255.255 (5 matches)