随着网络选路要求的越来越多,单纯通过路由不能实现灵活的控制, 需要配合策略路由实现更加灵活和精细化的选路,实现灵活的转发。
文中有关配置截图均基于 3.7.4.2 版本。
背景:
传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是 目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发
和选路。
信锐方案的策略路由具有如下优点:
1.可以根据用户实际需求制定策略进行路由选择, 增强路由选择的灵活性和可控性。
2.可以使不同的数据流通过不同的链路进行发送, 提高链路的利用效率。
3.在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数
据服务的成本。
注意:信锐控制器上的策略路由不支持负载,只能实现分流,通过配置策略路由实
现部分流量走线路 1,另一部分流量走线路 2 , 当线路 1 故障后,原先走线路 1 的用户会无
法上网,不会自动切换到其他正常线路,需要手动修改配置。
1)名称:随便写,没有限制
2)源 IP 组:表示哪些源 IP 用户走某条指定的线路
3) 目的 IP 组: 表示用户访问哪些目的 IP 走某条指定的线路
4)协议:表示用户访问哪些协议时走某条指定的线路
5)接口/下一跳: 接口表示这个线路是拨号或者自动获取的接口; 下一跳表示这个线
路接口是三层静态地址, 下一跳需设置成这个地址的网关 IP
6)添加到:策略路由默认优先级都是 0,那么多条策略路由存在的情况下是从上往下
匹配的;所以需要设置每条策略路由的排序
拓扑描述:控制器做出口, 外接两条运营商专线,实现部分用户走电信专线,另一部分
走移动专线
用户需求:内部员工的无线 Office 流量走电信专线;访客的无线 Guest 走移动专线
配置说明:如下图,将 Office 和 Guest 用户的网段分开,并单独在【网络 IP 组】中新
增好 IP 组范围, 新增策略路由根据源 IP 组设置
假设 Office网段是 vlan 10 192.168.1.0/24, Guest网段是 vlan 20 192.168.2.0/24
3.1.1创建 VLAN 和无线网络
1、在【有线配置】-【接口管理】-【VLAN 接口】上创建好 VLAN10、20 网段,并启用 VLAN间路由,DHCP 服务。
2 、在【接入点配置】-【无线网络】创建 Office 和 Guest 无线网络,并在 VLAN 设置中分配对应的 VLAN 。Office 是 vlan 10 ,Guest 是 vlan 20。
3.1.2定义走策略路由的网段
1、 点击【有线配置】-【网络配置】- 【网络 IP 组】新增 office 网段
4 、点击【有线配置】 -【网络配置】- 【网络 IP 组】新增 Guest 网段
3.1.3对不同的网段做策略路由
5 、点击【有线配置】-【网络配置】-【策略路由】新增一个策略路由,匹配 Office 网段的下一跳指向电信专网的网关 IP。
6 、点击【有线配置】 - 【网络配置】 -【策略路由】新增一个策略路由,匹配 Guest 网段选择出接口为移动专线拨号接口
注意:当外网线路为自动获取或拨号时,策略路由的【接口/下一跳】只能选择“接口 ”;外网线路为静态地址时,才能选择“下一跳”。
3.1.4对不同的网段做地址转换
7、在【有线配置】-【网络配置】-【地址转换】中新增源地址转换,配置 Office 和 Guest 上 网的 NAT 策略,Office 的入接口为 VLAN 10,出接口为 eth1;Guest 的入接口为 VLAN 20,
出接口为 eth2。
拓扑描述:控制器接一条运营商专线,再接一条线到内网有线,实现无线用户访问外网走线路 1,访问内网走线路 2
用户需求:内部员工无线 Office 访问有线走内网核心, 访问外网走移动专线
配置说明:如下图,单独在【网络 IP 组】中新增好 IP 组范围, 新增策略路由根据目的IP 组设置
假设内网有线为 192.168.10.0/24,控制器连接核心的地址为 192.168.1.2,控制器的网关(核心)地址为 192.168.1.1
在 3.1 的配置思想上做转换,该需求可以结合用户的目的地址来做策略路由实现。
1 、访问内网的策略路由中, 目的地址选择成内网有线网络的 IP 范围 192.168.10.1-192.168.10.255,下一跳指向核心的地址。并置于首行。
2 、访问内网的策略路由中,目的地址是全部,【接口或下一跳】选择连接外网线的接口或下一跳 IP 地址。
窍门:策略路由中可以同时基于源 IP 组、目的 IP 组、协议来实现,当内网存在多个网段时,可以通过选择源 IP 组为 Office 网段来实现只允许 Office 访问内网走核心线路。
路由 | 度量值 | 是否可以修改 |
静态路由 | 10 | 可修改,最小只能改成 1 |
策略路由 | 0 | 不可修改 |
PPPOE 拨号 | 2 | 不可修改 |
自动获取 | 2 | 不可修改 |
路由优先级越小越优先
1)策略路由优先级是 0;比静态路由优先级高;
2)控制器上静态路由优先级默认是 10,可以手动修改,最低只能改成 1
3)拨号线路的拨号参数默认勾选了添加默认路由,那么这条默认路由优先级是 2
4) 自动获取线路默认勾选 获取默认网关及 DNS,将默认网关添加到系统默认路由,那么这条默认路由优先级是 2
1 、策略路由配置之后无法上网,需确定这个线路是否可以正常通外网,可以拔掉其余 的线路,单独测试; 或找电脑接这条线路测试;或到控制器后台带这条线路的源 IP ping 外网测试
2 、网络 IP 组配置的必须是一个网络范围或 IP 而不是网络号, 比如:192.168.0.0-192.168.255.255 ,而不是 192.168.0.0
3 、策略路由里面下一跳是否写错, 需要写三层接口 IP 地址的网关地址
4 、地址转换是否配置错误或没有配置
5 、策略路由或地址转换优先级有没有错,是从上往下匹配的
