网管小李:请问我想让交换机下的不同网段的电脑走不同的出口路由,交换机可以实现吗?
小商:可以啊,可以使用我们交换机的策略路由功能。
网管小李:有哪些型号的交换机支持呢,具体怎么配置呢?
小商:目前TP-LINK 7/8系列交换机都支持策略路由功能,至于配置容小商细细说来。
一、交换机策略路由功能简介
交换机的策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。
策略路由可以根据 IP/IPv6 报文源地址、目的地址、端口、报文长度等内容灵活地进行路由选择,优先级比普通的路由高,这样就可以按照管理员的意志针对部分感兴趣的流量重新定义报文的转发路径,满足一些特殊场景下的需求。
二、交换机策略路由配置实例
路由器的策略路由功能想必大家都不陌生;下面小商以实际的需求案例,以TL-SH8434作为核心交换机教大家如何具体配置交换机的策略路由功能,示意网络拓扑如下:
1、需求介绍
(1) 研发部、财务部、销售部分别划分成不同网段;
(2) 研发部门、财务部和销售部门之间不能互访;
(3) 研发和财务部门不能访问外网,但可以访问公司内网;销售部门既可以访问外网,也可以访问公司内网。
2、需求分析
(1) 交换机对接两台路由可以通过设置交换机路由口对接不同的出口路由;
(2) 不同部门不能够互访可以通过设置ACL规则来实现;
(3) 针对这种不同网段访问不同资源需要从不同出口路由转发的情况,可以使用核心三层交换机的策略路由功能,通过ACL条目匹配交换机中的数据流,针对数据流指定路由下一跳的IP地址,从而实现不同数据流从不同出口转发。
3、配置步骤
实现需求
(1) 研发部、财务部、销售部分别划分为不同网段。
交换机按照常规给三个部门规划好VLAN,接口地址,DHCP地址池,这里就不再详细描述,具体配置结果如图:
(2) 研发部门、财务部和销售部门之间不能互访。
通过ACL实现双向禁止访问,配置ACL并绑定对应接口后如图:
(3) 研发和财务部门不能访问外网,但可以访问公司内网;销售部门既可以访问外网,也可以访问公司内网。(重点配置,拿好小本本记笔记了!!)
a、配置路由接口
配置交换机的路由口地址,对接不同出口路由器,在交换机Web界面:“路由功能”—“接口”—“接口ID”--“路由口”,配置23端口对接内网路由的接口IP和24端口对接外网路由器的接口IP:
b、配置标准IP ACL
配置标准IP ACL列表,指定数据流量,在交换机Web界面:“访问控制”—“ACL配置”—“新建ACL”--“标准IP ACL”,创建标准IP ACL条目(此条目的目的是指定策略路由的源目的IP):
本次举例研发部访问公司内网的数据流创建方法。
最终创建的几条数据流条目如图:
c、创建路由器映射表
指定策略路由的条目名称,后续用此条目绑定对应的VLAN接口,使能接口,在交换机Web界面:“路由功能”—“路由映射表”—“创建路由映射表”,此处创建三条路由映射表分别为:研发到内网,财务到内网和销售到内网和外网三条条目:
d、配置路由映射表
配置路由映射表,针对数据流配置交换机的转发操作,在交换机Web界面:“路由功能”—“路由映射表”—“创建路由映射表,配置路由映射表”,创建路由映射表名称 》》路由映射表匹配数据流 》》针对匹配的数据流执行的转发操作:
本次列举销售部访问内网和外网数据流匹配操作。
内网:
外网:
注意:在做数据流匹配的时候,一个路由映射表名称可以匹配多个数据流,通过序列号区分,且序列号越小优先级越高。
最终创建的几条路由映射表规则条目如下:
e、配置策略路由
将配置好的路由映射表规则绑定到对应的VLAN接口,在交换机Web界面:“路由功能”—“策略路由”—“策略路由配置”:
注意:一个接口只能绑定一条路由映射表名称,但可以通过一个路由映射表中的序列号区分不同的数据流和动作。
f、配置内网路由器
配置内网路由的NAPT条目和静态路由条目,保证数据正常转发。
内网路由器NAPT规则:
内网路由器回程路由规则:
g、配置外网路由器
配置外网路由的NAPT条目和静态路由条目,保证数据正常转发。
外网路由器NAPT规则:
外网路由器回程路由规则:
配置大致流程如下:
至此,以上需求便可以通过配置交换机的策略路由功能全部实现,是不是感觉很强大呢?那还不抓紧时间操作一把。