11策略路由配置关于本章通过配置策略路由，可以用于提高网络的安全性能和负载分担。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

11.2 配置举例配置示例中包括组网需求和配置思路等。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

背景信息通过配置重定向，设备将符合流分类规则的报文重定向到指定的下一跳地址。

包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。

说明对于S2700系列交换机，只有S2700-52P-EI和S2700-52P-PWR-EI交换机支持策略路由。

前置任务在配置策略路由前，需要完成以下任务：●配置相关接口的IP地址和路由协议，保证路由互通。

●如果使用ACL作为策略路由的流分类规则，配置相应的ACL。

操作步骤1.配置流分类a.执行命令system-view，进入系统视图。

b.执行命令traffic classifier classifier-name [ operator { and | or } ]，创建一个流分类并进入流分类视图，或进入已存在的流分类视图。

and表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：▪当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；▪当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。

or表示流分类各规则之间是“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。

缺省情况下，流分类中各规则之间的关系为“逻辑与”。

c.请根据实际情况定义流分类中的匹配规则。

d.执行命令quit，退出流分类视图。

2.配置流行为a.执行命令traffic behavior behavior-name，创建一个流行为，进入流行为视图。

b.请根据实际需要进行如下配置：▪执行命令redirect ip-nexthop ip-address &<1-4> [ forced ]，将符合流分类的报文重定向到下一跳。

当存在多个下一跳时，设备按照主备方式对报文进行重定向转发。

一个流行为中最多可以配置4个下一跳，设备根据下一跳的配置顺序确定主备链路，先配置的下一跳IP地址优先级较高。

配置的第一个下一跳IP地址作为主用链路，其它链路作为备用链路。

当主用链路Down之后，则自动选取优先级高的下一跳作为新的主链路；当原主用链路恢复正常以后，流量再回切至原主用链路。

说明通过配置报文重定向功能可以实现策略路由。

▪执行命令redirect ip-multihop { nexthop ip-address } &<2-4>，将符合流分类的报文重定向到配置的多个下一跳中的一个。

如果配置了多个下一跳，设备按照等价路由负载分担方式对报文进行重定向转发。

使用重定向到多下一跳的正常转发过程中，如果当前下一跳对应的出接口状态突然为Down，或路由突然发生了改变，设备可将链路快速切换到当前可用的某个下一跳对应的出接口上。

如果设备上没有命令中下一跳IP地址对应的ARP表项，使用此命令能配置成功，但重定向不能生效，设备仍按报文原来的目的地址转发，直到设备上有对应的ARP表项。

说明不能在同一流行为中既配置remark destination-mac又配置以下命令：●redirect ip-nexthop●redirect ip-multihopc.（可选）执行命令statistic enable，使能流量统计功能。

d.执行命令quit，退出流行为视图。

e.执行命令quit，退出系统视图。

3.配置流策略a.执行命令system-view，进入系统视图。

b.执行命令traffic policy traffic-policy-name，创建一个流策略并进入流策略视图，或进入已存在的流策略视图。

c.执行命令classifier classifier-name behavior behavior-name，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。

d.执行命令quit，退出流策略视图。

e.执行命令quit，退出系统视图。

4.应用流策略–在接口上应用流策略i.执行命令system-view，进入系统视图。

ii.执行命令interface interface-type interface-number，进入接口视图。

说明目前只有S2700-52P-EI、S2700-52P-PWR-EI、S2710-SI和S3700支持Tunnel接口配置。

iii.请根据不同设备形态进行如下配置：○在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI设备上，执行traffic-policy policy-name { inbound | outbound }命令，在接口上应用流策略。

对于除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI设备，只有在流行为中配置了流镜像功能，才可以将流策略应用于出方向。

即出方向流策略只支持流镜像功能。

在配置流镜像之前，需要首先使用observe-port（本地镜像）或者observe-port（远程镜像）命令配置镜像端口。

○在S2700-52P-EI、S2700-52P-PWR-EI、S2710SI、S3700SI、S3700EI设备上，执行traffic-policy policy-name inbound命令，在接口上应用流策略。

每个接口的每个方向上能且只能应用一个流策略，但同一个流策略可以同时应用在不同接口的不同方向。

应用后，系统对流经该接口并匹配流分类中规则的入方向或出方向报文实施策略控制。

但是流策略对VLAN 0的报文不生效。

建议不要在Untagged类型接口出方向上应用包含有remark8021p、remark vlan-id等动作的流策略，否则，可能导致报文内容出错。

–在VLAN上应用流策略i.执行命令system-view，进入系统视图。

ii.执行命令vlan vlan-id，进入VLAN视图。

iii.执行命令traffic-policy policy-name inbound，在VLAN上应用流策略。

应用后，系统对属于该VLAN并匹配流分类中规则的入方向报文实施策略控制。

但是如果匹配到VLAN 0报文，则流策略不生效。

–在全局应用流策略i.执行命令system-view，进入系统视图。

ii.执行命令traffic-policy policy-name global inbound，在全局应用流策略。

检查配置结果●执行命令display traffic classifier user-defined [ classifier-name ]，查看已配置的流分类信息。

●执行命令display traffic behavior user-defined [ behavior-name ]，查看已配置的流行为信息。

●执行命令display traffic policy user-defined [ policy-name [ classifierclassifier-name ] ]，查看用户定义的流策略的配置信息。

●执行命令display traffic-applied [ interface [ interface-type interface-number ] | vlan [ vlan-id ] ] inbound [ verbose ]，查看全局、VLAN或接口上关联的ACL规则和流动作信息。

●执行命令display traffic policy { interface [ interface-type interface-number ][ inbound ] | vlan [ vlan-id ] [ inbound ] | global [ inbound ] }，查看已配置的流策略信息。

●执行命令display traffic-policy applied-record [ policy-name ]，查看指定流策略的应用记录。

11.2 配置举例配置示例中包括组网需求和配置思路等。

11.2.1 配置策略路由示例(S2700-52P-EI、S2700-52P-PWR-EI、S3700SI、S3700EI)组网需求如图11-1所示，公司用户通过Switch双归属到外部网络设备。

其中，一条是低速链路，网关为20.1.20.1/24；另外一条是高速链路，网关为20.1.30.1/24。

公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

图11-1配置策略路由组网图20.1.20.1/2420.1.30.1/24配置思路采用重定向方式实现策略路由，进而提供差分服务，具体配置思路如下：1.创建VLAN并配置各接口，实现公司和外部网络设备互连。

2.配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。

3.配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。

4.配置流行为，使满足不同规则的报文分别被重定向到20.1.20.1/24和20.1.30.1/24。

5.配置流策略，绑定上述流分类和流行为，并应用到接口Eth0/0/3的入方向上，实现策略路由。

操作步骤步骤1创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。

<Quidway> system-view[Quidway] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口Eth0/0/1、Eth0/0/2和Eth0/0/3的接口类型为Trunk，并加入VLAN100和VLAN200。

[Switch] interface ethernet 0/0/1[Switch-Ethernet0/0/1] port link-type trunk[Switch-Ethernet0/0/1] port trunk allow-pass vlan 100 200[Switch-Ethernet0/0/1] quit[Switch] interface ethernet 0/0/2[Switch-Ethernet0/0/2] port link-type trunk[Switch-Ethernet0/0/2] port trunk allow-pass vlan 100 200[Switch-Ethernet0/0/2] quit[Switch] interface ethernet 0/0/3[Switch-Ethernet0/0/3] port link-type trunk[Switch-Ethernet0/0/3] port trunk allow-pass vlan 100 200[Switch-Ethernet0/0/3] quit说明请配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。