管理员要求能确保Vlan10和Vlan20能互通,并且Vlan20的用户访问外网时,使用10.1.30.1作为出口,二Vlan10的用户访问外网时,使用10.1.20.1作为出口,因此考虑使用策略路由。具体配置如下:
[Switch]acl3000
[Switch-acl-adv-3000]rulepermitipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255
[Switch-acl-adv-3000]rulepermitipsource192.168.2.00.0.0.255destination192.168.1.00.0.0.255
Switch-acl-adv-3000]quit
?
[Switch]acl3001?//匹配内网192.168.1.0/24网段的数据流
[Switch-acl-adv-3001]?(1)
[Switch-acl-adv-3001]quit
[Switch]acl3002?//匹配内网192.168.2.0/24网段的数据流
[Switch-acl-adv-3002]rulepermitipsource192.168.2.00.0.0.255
[Switch-acl-adv-3002]quit
?
[Switch]trafficclassifierc0operatoror
[Switch-classifier-c0]?(2)
[Switch-classifier-c0]quit
[Switch]?(3)
[Switch-classifier-c1]if-matchacl3001
[Switch-classifier-c1]quit
[Switch]trafficclassifierc2operatoror
[Switch-classifier-c2]if-matchacl3002
[Switch-classifier-c2]quit
[Switch]trafficbehaviorb0
[Switch-behavior-b0]?(4)
[Switch-behavior-b0]quit
[Switch]trafficbehaviorb1
[Switch-behavior-b1]?(5)
[Switch-behavior-b1]quit
[Switch]trafficbehaviorb2
[Switch-behavior-b2]redirectip-nexthop10.1.30.1
[Switch-behavior-b2]quit
?[Switch](6)
[Switch-trafficpolicy-p1]?(7)
[Switch-trafficpolicy-p1]classifierc1behaviorb1
[Switch-trafficpolicy-p1]classifierc2behaviorb2
[Switch-trafficpolicy-p1]quit
[Switch]interfacegigabitethernet1/0/3
[Switch-GigabitEthernet1/0/3]?(8)
问题1:简要叙述ACL3000在此配置中的作用是什么?
问题2:请完成(1)-(8)空的命令填空
(1)rule permit ip source 192.168.1.0 0.0.0.255或者 rule? [数字编号] permit ip source 192.168.1.0 0.0.0.255 (2)if-match acl 3000 (3)traffic classifier c1 operator or (4)permit (5)redirect ip-nexthop 10.1.20.1 (6)traffic policy p1 (7)classifier c0 behavior b0 (8)traffic-policy p1 inbound 【解析】 试题分析: 传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由PBR(Policy-Based Routing)就是一种依据用户制定的策略进行数据转发的机制。在某些需要指定特定的数据流走特定的下一跳的场景下可以使用策略路由实现,例如使不同的数据流通过不同的链路进行发送,提高链路的利用效率;将数据流引流到防火墙等安全设备,进行安全过滤;在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务的成本。策略路由主要配置在于如何利用ACL区分数据,然后再使用PBR设定对应的数据流使用redirect ip-nexthop命令或redirect ipv6-nexthop(对应IPv6数据)命令设置下一跳即可解决。具体配置过程如下:1. 创建VLAN并配置各接口,配置路由等,保证IP网络连通。2. 配置ACL规则,不同网段的数据流。3. 配置流分类,匹配规则为对应的ACL规则,使设备可以对报文进行区分。4. 配置流行为,使满足不同ACL规则的数据流走不同的链路,此时要特别注意的是:先把内网互访的数据流放行。5. 配置流策略,绑定上述流分类和流行为,并应用到对应设备接口的入方向,实现策略路由。本题不涉及基本IP网路连通的配置,因此只要从第2步开始即可。配置ACL规则# 在Switch上创建编码为3000、3001、3002的高级ACL。[Switch] acl 3000 //主要用于匹配内网两个网段之间互访的数据流,这部分数据流不需要做重定向,如果不配置这一步会导致内网之间互访的流量也被重定向,从而导致内网互访不通。[Switch-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255[Switch-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255Switch-acl-adv-3000] quit[Switch] acl 3001 //匹配内网192.168.1.0/24网段的数据流[Switch-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255[Switch-acl-adv-3001] quit[Switch] acl 3002 //匹配内网192.168.2.0/24网段的数据流[Switch-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255[Switch-acl-adv-3002] quit步骤3 配置流分类在Switch上创建流分类c0、c1、c2,匹配规则分别为ACL 3000、ACL 3001和ACL3002。[Switch] traffic classifier c0 operator or[Switch-classifier-c0] if-match acl 3000[Switch-classifier-c0] quit[Switch] traffic classifier c1 operator or[Switch-classifier-c1] if-match acl 3001[Switch-classifier-c1] quit[Switch] traffic classifier c2 operator or[Switch-classifier-c2] if-match acl 3002[Switch-classifier-c2] quit步骤4 配置流行为# 在Switch上创建流行为b0、b1、b2,对于b0只配置permit的动作,对于b1和b2分别指定重定向到10.1.20.1和10.1.30.1的动作。[Switch] traffic behavior b0[Switch-behavior-b0] permit[Switch-behavior-b0] quit[Switch] traffic behavior b1[Switch-behavior-b1] redirect ip-nexthop 10.1.20.1[Switch-behavior-b1] quit[Switch] traffic behavior b2[Switch-behavior-b2] redirect ip-nexthop 10.1.30.1[Switch-behavior-b2] quit步骤5 配置流策略并应用到接口上# 在Switch上创建流策略p1,将流分类和对应的流行为进行绑定。[Switch] traffic policy p1[Switch-trafficpolicy-p1] classifier c0 behavior b0[Switch-trafficpolicy-p1] classifier c1 behavior b1[Switch-trafficpolicy-p1] classifier c2 behavior b2[Switch-trafficpolicy-p1] quit# 将流策略p1应用到Switch的GE1/0/3的入方向上。[Switch] interface gigabitethernet 1/0/3[Switch-GigabitEthernet1/0/3] traffic-policy p1 inbound
