技术解决方案
销售与订单
售后及服务
营销资料平台
【交换机】策略路由的几点注意说明
1）锐捷产品上一个接口最多只能配置一个路由图，在同一个接口上多次配置路由图会相互覆盖，即后配置的生效。
2）策略路由子路由图(route-map sequence)中最多只能配置一个IPV6 ACL。
3）如果子路由图中只有next-hop 而没有配置ACL，则等价于所有报文都匹配；
&& 如果子路由图中只有ACL 而没有next-hop 则匹配的报文普通转发；
&& 如果子路由图中既没有ACL 也没有next-hop，则等价所有报文普通转发。
4）策略路由如果配置了ACL，但是该ACL 不存在，等价所有报文都匹配；
&& 如果配置了ACL，但是其中没有任何ACE，则跳过该子路由图，从下一个子路由图的ACL 开始匹配；
&& 建议不做空ACL 的配置和应用。
5）交换机上，ACE 的deny 选项行为，执行普通转发；并且为了满足策略路由的匹配顺序，deny any any 行为是跳到下个IPV6 ACL 开始匹配。
6）交换机上，配置了PBR 功能，会对发往本机的报文同时生效，如果用户希望发往本机的IP/IPv6 报文不使用策略路由，则用户需要在PBR 规则中在IP/IPV6ACL 前面手工添加&deny 设备IP/IPv6 地址&的ACE。
7）工作在冗余备份模式下时，匹配路由子图的策略规则的IP 报文转发到该路由子图中第一个解析的下一跳；如果所有的下一跳都未解析，则匹配策略规则的IP报文被丢弃；如果第一个下一跳原先未解析后来解析了，则匹配策略规则IP 报文的转发将切换到第一个下一跳。
8）在Match语句中匹配的Acl可以配置多个，但仅仅只有第一个生效。一个接口最多只能配置一个路由图，在同一个接口上多次配置路由图会相互覆盖。
营销资料平台
售前咨询热线
售后咨询热线
睿易产品咨询热线某局点H3C S7500E交换机配置策略路由后策略路由转发异常问题
一、组网：
二、问题描述：
现场75E 设备上下发了大量的ACL规则后又想使用S7500E交换机进行策略路由的配置：使部分访问201.1.1.2这台服务器的数据流按照普通路由转发，其他所有经过交换机转发的三层数据流全部按照策略路由转发。于是现场工程师小G充分的了解了用户需求后，决定使用QOS策略方式完成策略路由功能，他在S7500E交换机上进行了如下配置：
acl number 3001
rule 0 deny ip destination 200.1.1.0 0.0.0.255
rule 5 deny ip destination 172.19.0.0 0.0.255.255
rule 10 deny ip destination 172.23.0.0 0.0.255.255
rule 15 deny ip destination 172.24.0.0 0.0.255.255
rule 20 deny ip destination 172.25.0.0 0.0.255.255
rule 25 deny ip destination 10.254.0.0 0.0.255.255
rule 30 deny ip destination 10.232.0.0 0.0.255.255
rule 35 deny ip destination 10.0.0.0 0.255.255.255
rule 45 deny ip destination 110.75.120.0 0.0.0.255
rule 50 deny ip destination 121.0.31.45 0
rule 55 deny ip destination 121.0.31.149 0
rule 60 deny ip destination 119.42.224.0 0.0.15.255
rule 65 deny ip destination 110.76.0.0 0.0.31.255
rule 70 deny ip destination 172.29.0.0 0.0.255.255
acl number 4000 name PBR
rule 0 permit dest-mac -e8c8 ffff-ffff-ffff(目的MAC为75E三层接口的MAC地址)
traffic classifier PBR operator and(匹配acl 4000的流做PBR)
if-match acl 4000
traffic classifier NO_PBR operator and(匹配acl 3001的流不做PBR)
if-match acl 3001
traffic behavior PBR_LB
redirect next-hop 202.1.1.2
traffic behavior NO_PBR
filter permit
qos policy PBR_LB
classifier NO_PBR behavior NO_PBR
classifier PBR behavior PBR_LB
当在GE1/0/2端口inbound方向下发QOS策略路由后发现，200.1.1.0网段访问201.1.1.2服务器通信异常。经过流量统计和镜像抓包分析发现，本不应该被重定向的报文被重定向了，200.1.1.0网段访问201.1.1.2服务器的流量并没有按照自己预想的方式进行普通路由转发。
于是小G再次检查配置，200.1.1.0网段访问201.1.1.2服务器的回程数据流满足ACL 3001的rule 0，数据流所对应的动作为permit，允许数据流通过，那么将该流量直接按照路由表转发，并且不进行下一条策略的匹配。即使该回程数据流同时满足ACL 4000的rule 0，也不应该执行重定向的动作。
三、过程分析：
1. 策略路由概述
策略路由是一种依据用户制定的策略进行路由选择的机制。与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由可以基于到达报文的源地址、目的地址等信息灵活地进行路由选择。一般来讲，策略路由的优先级要高于普通路由，即设备在转发报文时，如果相应接口使能了策略路由，那么首先将报文与策略路由的匹配规则进行比较，如果符合匹配条件，则按照策略路由进行转发。如果报文与策略路由的匹配规则进行比较后，发现报文无法匹配策略路由的条件，再按照普通路由进行转发。
本系列交换机支持两种策略路由配置方式：PBR方式和QoS策略方式：
1.1 PBR方式：通过ACL制定匹配规则，支持对报文的下一跳，优先级及缺省下一跳进行设置, 以指导报文的转发。
1.2 QoS策略方式：通过流分类来制定匹配规则，并使用“重定向到下一跳”的流行为动作，将满足流分类规则的报文向指定的路径进行转发，从而实现灵活的路由选择。
2. 75E交换机ACL匹配原理
对于S75E交换机的交换芯片来说，acl是按照slice组进行存储的，一般是256个rule存储在一个slice组。拿SC板卡为例，该板卡支持4K acl，acl就存储在组中。在进行rule的匹配查找时，ACL查找原则是芯片对16个组一起进行查找，然后16个组根据自己组内的匹配情况，对比返回的动作结果是否有相互冲突的情况存在。如果各slice动作之间有冲突，则执行index高的slice对应的动作（一般是先下发的优先）；如果各slice动作之间没有冲突，则全部执行。汇总来说，导致相同流被不同rule匹配，满足下面三个条件的话，就会导致上面问题的出现：
2.1 一条流量，在设备上有两个或者以上的rule能同时满足匹配条件；
2.2 这些能同时匹配的rule，在交换芯片中分布在不同的组内；
2.3 这些rule对应的动作是不冲突的。最常见互不冲突的动作有：redirect和filter permit，redirect和filter deny。
3. 我们对照案例的问题，根据该类问题发生的三个条件一一进行对比
3.1 相同流在设备上匹配两个或者两个以上的rule。
200.1.1.0网段访问201.1.1.2服务器，数据流的回程报文目的地址是200.1.1.0网段，满足了ACL 3001中rule 0的定义。同时，由于数据需要在S75E设备进行三层路由转发，所以回程报文目的MAC地址对应的MAC肯定是S75E交换机的MAC地址-e8c8，同时也满足了ACL 4000中rule 0的定义。
3.2 数据流同时匹配的rule分布在不同的slice组内；
进行这个规则的判断，需要查看交换机的硬件表项。查看每个rule实际存储在具体哪个组中，一般需要在设备的诊断模式下，收集如下命令：
debug qacl show acl-resc 槽位号 芯片号
debug qacl show acl-type 槽位号
debug qacl show 槽位号 芯片号 verbose 显示开始号 acl-type 类型号
根据客户现场下发的规则，通过命令查看交换机的硬件表项发现，数据流同时匹配的规则，的确分布在不同的slice组中（见红色标注）。
[H3C-diagnose]debug qacl show 3 0 v 0 a 2
Acl-Type MQC Port, Stage IFP, GroupPri 13, EntryID 146, Active
Health 1, PoolFree 0, PoolID 0, Prio_Mjr 518, Prio_Sub 14,Slice 2,SliceIdx 0
Policy 3001, Classifier 3001, Behavior 3001
Rule Match --------
&&&&&&& Ports: 0x, 0x01fffffff
&&&&&&& Dest IP: 200.1.1.0, 255.255.255.0
&&&&&&& IP Type: Any IPv4 packet
Actions --------
&&&&&&& Permit
Acl-Type MQC Port, Stage IFP, GroupPri 12, EntryID 175, Active
Health 1, PoolFree 0, PoolID 0, Prio_Mjr 518, Prio_Sub 14,Slice 3,SliceIdx 0
Policy 4000, Classifier 4000, Behavior 4000
Rule Match --------
&&&&&&& Ports: 0x, 0x01fffffff
&&&&&&& Lookup: STP forwarding, 0x18, 0x18
&&&&&&& Dest mac: -E8C8, FFFF-FFFF-FFFF
Actions --------
&&&&&&& L3Switch ipv4 addr 202.1.1.2, 255.255.255.255, nexthop_idx 0x186a4, ulRtnPbrIndex 1
3.3 这些rule对应的动作是不冲突的。
查看现场设备的配置我们知道，两个流对应的动作分别是redirect和filter permit，是不冲突动作的组合。
4. 问题分析结果
根据上面的分析可见，200.1.1.0网段访问201.1.1.2服务器的三层回程流量，在经过S75E以太网交换机的时候，需要同时做允许和重定向的动作，导致流量最终被重定向了，所以和客户的本意----200.1.1.0网段到该服务器的流量不做重定向出现了冲突，这样就可以解释现场出现的问题了。问题原因分析清楚后，我们来看一下该问题的解决方案。
四、解决方法：
既然该问题需要满足上面提到的三个条件才会出现，那么我们见招拆招，根据产生问题的要素解决该类问题：
1. 减少包含关系的rule配置
既然由于同一流被不同rule同时匹配，才会出现这种问题发生的概率，那么配置时注意尽量不要或者减少配置有这类包含关系的rule。这个解决方法与实际使用的配置思维相关，例如上面的案例，客户本意是到指定网段的流量不做重定向，而余下的三层流量都要做重定向,可以将配置改为到某些指定的网段做重定向，而余下的不做重定向。这样，余下的不做重定向这个要求实际上不需要下发任何acl，这样也就从根本上解决了问题。
2. 调整rule的实际位置
只有跨不同组的rule 才会出现动作同时生效的情况，那么尽可能让这些rule在同一个slice组内。例如，通过查看交换机硬件表项的rule规律，我们可以查看到每个rule所在组的信息，所以我们可以在不同rule之间插入或者调整两个rule之间的其它rule数量和顺序，力争保证两个rule在同一个组内。但是这个方法对配置人员的要求较高，一般不推荐使用。
五、注意事项：
1.& 如果客户使用PBR方式进行策略路由，如果满足上述问题发生条件，也会出现同样的问题。
2.& S75E SA系列单板不支持重定向到下一跳的流行为，因此不能实现通过QoS方式实现策略路由的功能。
3.& PBR方式只能应用到三层口，包括VLAN接口、三层以太网端口等；QoS策略方式只能应用到端口、VLAN或全局的入方向。
还可输 200 字
1 个赞 | 627 次点击
1 个赞 | 1468 次点击
1 个赞 | 461 次点击
1 个赞 | 1286 次点击
0 个赞 | 342 次点击
近期专家排名
最近发表 17 篇文章
最近发表 16 篇文章
最近发表 12 篇文章
41 个赞 | 13180 次点击
45 个赞 | 10832 次点击
2 个赞 | 9894 次点击
20 个赞 | 9224 次点击
42 个赞 | 8186 次点击思科三层交换机配置了策略路由过后，VLAN间无法通信_百度知道
思科三层交换机配置了策略路由过后，VLAN间无法通信
公司现在有两条宽带，通过两个普通路由上网，还有一台思科的24口三层交换机，内网通过三层交换机划分VLAN进行管理，总共有6个VLAN。三层交换机的1-21、23口都划分给了内网的VLAN。22、24口接了两个路由器，通过这两个路由器进行宽带连接，作为出口访问公网。为...
168!ip route 0.0.0.00.255.0;to-internet-2&ip address 192.255.168.6.0.168.0.2;yanfa&ip address 192.1 255.1.255access-list 20permit 192.255.00.0.0.255route-map policypermit 10match ip address 20set ip next-hop192.168.21.168!interface Vlan100description&quot.0.168.255access-list 10permit 192..0.0.0ip policy route-map policy.255.1 255，内容比较多.255access-list 20permit 192.1.255interface Vlan10description &server&ip address 192.168.0ip policy route-map policy2!interface Vlan20description&quot.0.21.2255;to-internet-1&ip address 192.255.2.0.0.1show run之后.20.2255.3，我删除了划分VLAN，分配三层交换机接口到VLAN中的配置.255!interface Vlan200description&quot.0!logging esm configaccess-list 10permit 192.168.1.00.1route-map policy2permit 20match ip address 10set ip next-hop192.168.20.00.0.0.255access-list 10permit 192.168.4.00.00.0.0.255access-list 20permit 192.168.5.00.168.255
我有更好的答案
策略路由由于路由表，所以你的vlan间通信失败，直接走策略路由扔给路由器了。解决方法就是策略路由用扩展acl，源是某vlan地址段，目的是公网ip的才走策略路由。
请问可以贴上配置命令么？该如何配置？现在的配置需要做哪一些修改？
改个错别字：策略路由 优 于路由表比如vlan 10access-list 100 deny ip any 192.168.0.0 0.0.255.255access-list 100 permit ip 192.168.10.0 0.0.0.255 any第一条deny掉内部vlan间流量，第二条permit源是vlan10的流量（去往公网），这些才走策略路由。思路是这样，具体还需调整。
这个思路正是我想要的。就是各VLAN间的数据交互（内网数据交互）不要经过策略路由，只有去往公网的数据才要使用策略路由。这样VLAN10、VLAN20等各个VLAN间的通信就全部借助三层交换机来完成，并且能很好的借助策略路由分配两条宽带，甚至是多条宽带。可惜我不会配置。如果能有配置，感激不尽。
access-list 100 deny ip any 192.168.0.0 0.0.255.255access-list 100 permit ip 192.168.1.00.0.0.255 anyaccess-list 100 permit ip 192.168.3.00.0.0.255 anyaccess-list 100 permit ip 192.168.4.00.0.0.255 anyaccess-list 200 deny ip any 192.168.0.0 0.0.255.255access-list 200 permit ip 192.168.2.00.0.0.255 anyaccess-list 200 permit ip 192.168.5.00.0.0.255 anyaccess-list 200 permit ip 192.168.6.00.0.0.255 anyroute-map policy permit 10match ip address 200set ip next-hop 192.168.21.1route-map policy2 permit 10match ip address 100set ip next-hop 192.168.20.1
采纳率：45%
其实也可以简单的将set ip next-hop 192.168.21，可以改访问列表.168。这样就可以.20.1改成set ip default next-hop192.168.20.21.1，另一个也是：set ip next-hop192.168.1改成set ip default
next-hop 192是你做策略路由的时候考虑不周.1
策略路由做的有问题。请把三层交换机的配置贴出来。。 show run 首先，你把所有PC的网关设置在三层交换机上。开启ip routing。vlan 的SVI口设置网关的IP地址。这样，你的vlan之间的通信就没有问题。 然后你只需要配置静态路由，分别把不同的VLAN网段指向不同的路由器IP地址。这样就可以让不同的VLAN走不同的线路。但是这样有一个问题。就是如果你其中一条线路或者其中一个路由器DOWN了。那么对应的VLAN就不能上网了。他不会自动切换到另一条链路上。 如果要实现双链路热备。假设你两个路由器的连接地址为192.168.11.2 和192.168.22.2 命令如下：ip slamonitor 1type echoprotocol ipIcmpEcho 192.168.11.2 source-interface FastEthernet0/23timeout 999frequency 10ip slamonitor schedule 1 life forever start-time nowip slamonitor 2type echoprotocol ipIcmpEcho 192.168.22.2 source-interface FastEthernet0/24timeout 999frequency 10ip slamonitor schedule 2 life forever start-time now!!!track 111 rtr1 reachability!track 222 rtr2 reachabilityip route192.168.1.0 255.255.255.0 192.168.11.2 track 111ip route192.168.3.0 255.255.255.0 192.168.11.2 track 111ip route192.168.6.0 255.255.255.0 192.168.11.2 track 111ip route0.0.0.0 0.0.0.0 192.168.22.2 track 222ip route0.0.0.0 0.0.0.0 192.168.11.2 100
其实我不要双链路热备的，两条宽带的目的就是为了那几个不同部门的人分开使用宽带。但是同时内网各个VLAN间又必须要能够通信，如果两条宽带需要热备，其实买一个几百块钱的双WAN口路由器就可以实现了。现在VLAN间通信都没有经过三层交换机，数据不是通过三层交换机来交互的。这个很是麻烦。
你一个route-map可以挂很多个条目，然后你可以写一个目的为192.168.0.0
0.0.7.255的扩展ACL来匹配你的目的，然后route-map里面匹配不同的ACL来指定不同的目的
策略路由怎么做的？策略路由导致路由全部丢给出口路由器，路由表不生效？
有没有设置域啊？
其他3条回答
为您推荐：
其他类似问题
您可能关注的内容
策略路由的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。华为交换机策略路由配置_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
华为交换机策略路由配置
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
你可能喜欢豆丁微信公众号
君，已阅读到文档的结尾了呢~~
关于H3C三层交换机的策略路由实例配置,三层交换机策略路由,策略路由配置实例,h3c策略路由配置实例,华为策略路由配置实例,锐捷策略路由配置实例,思科策略路由配置实例,策略路由实例,三层交换机配置实例,三层交换机实例
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
关于H3C三层交换机的策略路由实例配置
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='http://www.docin.com/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口}