HCL配置基于报文协议类型的本地策略路由实验

实验需求

通过策略路由控制 Switch A 产生的报文：

• 指定所有 TCP 报文的下一跳为1.1.2.2；
• 其它报文仍然按照查找路由表的方式进行转发，其中， Switch A 分别与 Switch B 和 Switch C 直连。

实验拓扑

实验步骤

基本接口和IP配置

(1) 配置 Switch A

 创建VLAN 10和VLAN 20。
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] vlan 20
[SwitchA-vlan20] quit

 配置接口Vlan-interface10和Vlan-interface20的IP地址。
[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] ip address 1.1.2.1 24
[SwitchA-Vlan-interface10] quit
[SwitchA] interface vlan-interface 20
[SwitchA-Vlan-interface20] ip address 1.1.3.1 24
[SwitchA-Vlan-interface20] quit

 定义访问控制列表ACL 3101，用来匹配TCP报文。
[SwitchA] acl advanced 3101
[SwitchA-acl-adv-3101] rule permit tcp
[SwitchA-acl-adv-3101] quit

 定义5号节点，指定所有TCP报文的下一跳为1.1.2.2。
[SwitchA] policy-based-route aaa permit node 5
[SwitchA-pbr-aaa-5] if-match acl 3101
[SwitchA-pbr-aaa-5] apply next-hop 1.1.2.2
[SwitchA-pbr-aaa-5] quit

 在Switch A上应用本地策略路由。
[SwitchA] ip local policy-based-route aaa

 把接口加入VLAN中
[SwitchA]vlan 10
[SwitchA-vlan10]port GigabitEthernet 1/0/1
[SwitchA-vlan10]quit
[SwitchA]vlan 20
[SwitchA-vlan20]port GigabitEthernet 1/0/2

(2) 配置Switch B

 创建VLAN 10
[SwitchB] vlan 10
[SwitchB-vlan10] quit

 配置接口Vlan-interface10的IP地址。
[SwitchB] interface vlan-interface 10
[SwitchB-Vlan-interface10] ip address 1.1.2.2 24

 把接口加入VLAN中
[SwitchB]vlan 10
[SwitchB-vlan10]port GigabitEthernet 1/0/1

(3) 配置Switch C

 创建VLAN 20
[SwitchC] vlan 20
[SwitchC-vlan20] quit

 配置接口Vlan-interface20的IP地址。
[SwitchC] interface vlan-interface 20
[SwitchC-Vlan-interface20] ip address 1.1.3.2 24

 把接口加入VLAN中
[SwitchC]vlan 20
[SwitchC-vlan20]port GigabitEthernet 1/0/2

配置Telnet

3台交换机都配置telnet

[H3C]user-interface vty 0 4    
[H3C-line-vty0-4]authentication-mode scheme    //进行本地或远端用户名和口令认证，即AAA认证
关于认证，一共有三种认证方式：
       password 本地口令认证;
       scheme 本地或远端用户名和口令认证;
       none 不认证;
[H3C-line-vty0-4]qu
[H3C]local-user admin    //设置创建本地认证的用户名
[H3C-luser-manage-admin]password simple 123456    //设置明文密码
[H3C-luser-manage-admin]service-type telnet     //用户作用于telnet服务
[H3C-luser-manage-admin]qu
[H3C]telnet server enable    //开启 telnet服务

实验验证

从Switch A上通过Telnet方式登录Switch B（1.1.2.2/24），结果成功。

从Switch A上通过Telnet方式登录Switch C（1.1.3.2/24），结果失败。

从Switch A上ping Switch C（1.1.3.2/24），结果成功。

由于 Telnet 使用的是 TCP 协议，ping 使用的是 ICMP 协议，所以由以上结果可证明： Switch A 发出的 TCP 报文的下一跳为 1.1.2.2 ，接口 Vlan-interface20 不发送 TCP 报文，但可以发送非 TCP 报文，策略路由设置成功。