S9303交换机是否可以做策略路由,将公私网路由打通

发布时间:  2015-12-12 浏览次数:  597 下载次数:  0
问题描述

组网图如下:

组网描述:

1、交换机S9300上行有电信、联通两个出口,为了区别两个出口,凡是通过电信出口的内网走普通路由表访问外网,凡是通过联通出口的内网走vpn实例访问外网。

具体配置如下:

#
vlan batch 10 20 100 200
#
ip vpn-instance vpn1
ipv4-family
  route-distinguisher 100:1
  vpn-target 100:1 export-extcommunity
  vpn-target 100:1 import-extcommunity
#
interface Vlanif10
description to-dianxin
ip address 100.1.1.2 255.255.255.252
#
interface Vlanif20
description to-liantong
ip binding vpn-instance vpn1
ip address 10.1.1.2 255.255.255.252
#
interface Vlanif100
description to-zoudianxian-neiwang
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif200
description to-zouliantong-neiwang
ip binding vpn-instance vpn1
ip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/2
description to-dianxin
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
description to-neiwang
port link-type trunk
port trunk allow-pass vlan 100 200
#
#
ip route-static 0.0.0.0 0.0.0.0 100.1.1.1
ip route-static 172.16.1.0 255.255.255.0 192.168.1.2
ip route-static vpn-instance vpn1 0.0.0.0 0.0.0.0 10.1.1.1
ip route-static vpn-instance vpn1 172.16.2.0 255.255.255.0 192.168.2.2
#

问题:原来走电信出口的内网网段172.16.1.0/24内的某台主机(172.16.1.10)需要走联通出口访问外网,如何配置。

解决方案

#
acl number 3000     //配置acl配置需要走联通出口的(原走电信出口的)内网主机
rule 5 permit ip source 172.16.1.10 0
#
traffic classifier test operator and   //关联acl
if-match acl 3000
#
traffic behavior test        //配置behavior将上述匹配的源地址下一跳指向vpn实例里的下一跳10.1.1.1(相当于普通路由表里数据强制下一跳到vpn实例里)
redirect vpn-instance vpn1 ip-nexthop 10.1.1.1
#
traffic policy test          //将上述匹配与动作相关联起来
classifier test behavior test
#
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 100 200
traffic-policy test inbound //将策略在接口下应用
#
ip route-static vpn-instance vpn1 172.16.1.10 255.255.255.255 192.168.1.2 public  //在vpn实例里生成172.16.1.10的路由,下一跳指向普通路由表。
#

扩展问题:

如果是网段192.168.1.10/24这台主机需要走联通出口访问外网,如何处理?

1、S9300上配置的策略路由同上。

2、唯一不同的就是最后一条静态路由配置更改如下:

ip route-static vpn-instance vpn1 192.168.1.10 255.255.255.255 192.168.1.10 public  //虽然目的地址与下一跳地址相同,但是表示的意义不同。目的192.168.1.10是表示vpn1实例里的路由,而下一跳192.168.1.10是普通路由表里的下一跳(只是下一跳与目的相同而已)。

END