华为本地pbr及mqc及traffic-filter使用案例

yenggd2025-09-28 16:37

实施需求

1、实现ar1始发流量1.1.1.1访问pc5时,走ar2转发

2、实现ar1始发流量11.11.11.11访问pc5时,走ar3转发

3、实现pc1访问pc5时,走ar2转发

4、实现pc2访问pc5时,走ar3转发

5、实现pc1不能访问pc3网段,可以访问pc4网段

6、实现pc2不能访问pc4网段,可以访问pc3网段

7、pc4不能访问pc5网段

使用技术主要以下三个

1、在ar1上配置pbr,实现对ar1始发流量控制

2、在ar1上配置mqc,实现对流量过滤和路径控制

3、在ar3上配置traffic-filter,实现pc4对pc5的流量过滤

ar1

ip local policy-based-route ar1-pc5 //在ar1上部署本地pbr

router id 1.1.1.1

acl number 3000

rule 5 permit ip source 1.1.1.1 0 destination 192.168.40.0 0.0.0.255

acl number 3001

rule 5 permit ip source 11.11.11.11 0 destination 192.168.40.0 0.0.0.255

acl number 3011

rule 5 permit ip source 192.168.10.11 0 destination 192.168.20.0 0.0.0.255

acl number 3012

rule 5 permit ip source 192.168.10.11 0 destination 192.168.30.0 0.0.0.255

acl number 3013

rule 5 permit ip source 192.168.10.12 0 destination 192.168.20.0 0.0.0.255

acl number 3014

rule 5 permit ip source 192.168.10.12 0 destination 192.168.30.0 0.0.0.255

acl number 3015

rule 5 permit ip source 192.168.10.11 0 destination 192.168.40.0 0.0.0.255

acl number 3016

rule 5 permit ip source 192.168.10.12 0 destination 192.168.40.0 0.0.0.255

traffic classifier 3013 operator or

if-match acl 3013

traffic classifier 3014 operator or

if-match acl 3014

traffic classifier 3015 operator or

if-match acl 3015

traffic classifier 3011 operator or

if-match acl 3011

traffic classifier 3016 operator or

if-match acl 3016

traffic classifier 3012 operator or

if-match acl 3012

traffic behavior 10.0.13.3

redirect ip-nexthop 10.0.13.3

traffic behavior permit

traffic behavior deny

deny

traffic behavior 10.0.12.2

redirect ip-nexthop 10.0.12.2

traffic policy ar1

classifier 3011 behavior deny

classifier 3014 behavior deny

classifier 3012 behavior permit

classifier 3013 behavior permit

classifier 3015 behavior 10.0.12.2

classifier 3016 behavior 10.0.13.3

interface GigabitEthernet0/0/0

ip address 10.0.12.1 255.255.255.0

interface GigabitEthernet0/0/1

ip address 10.0.13.1 255.255.255.0

interface GigabitEthernet0/0/2

ip address 192.168.10.1 255.255.255.0

traffic-policy ar1 inbound

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

interface LoopBack1

ip address 11.11.11.11 255.255.255.255

ospf 1

filter-policy ip-prefix 40 import

//在ar1上部署本地pbr实现需求1,在ar1上把192.168.40.0的路由过滤掉(只能过滤掉ip路由表,ospf路由表中的过滤不了)

area 0.0.0.0

network 1.1.1.1 0.0.0.0

network 10.0.12.1 0.0.0.0

network 10.0.13.1 0.0.0.0

network 11.11.11.11 0.0.0.0

network 192.168.10.1 0.0.0.0

ip ip-prefix 40 index 15 deny 192.168.40.0 24

ip ip-prefix 40 index 20 permit 0.0.0.0 0 less-equal 32

//用本地pbr控制本机上的始发路由走向(本地始发流量控制用mqc无效)

policy-based-route ar1-pc5 permit node 10

if-match acl 3000

apply ip-address next-hop 10.0.12.2

policy-based-route ar1-pc5 permit node 20

if-match acl 3001

apply ip-address next-hop 10.0.13.3

ar2

router id 2.2.2.2

interface GigabitEthernet0/0/0

ip address 10.0.12.2 255.255.255.0

interface GigabitEthernet0/0/1

ip address 10.0.24.2 255.255.255.0

interface GigabitEthernet0/0/2

ip address 192.168.20.1 255.255.255.0

interface LoopBack0

ip address 2.2.2.2 255.255.255.255

ospf 1

area 0.0.0.0

network 2.2.2.2 0.0.0.0

network 10.0.12.2 0.0.0.0

network 10.0.24.2 0.0.0.0

network 192.168.20.1 0.0.0.0

ar3

router id 3.3.3.3

acl number 3000

rule 10 deny ip source 192.168.30.10 0 destination 192.168.40.10 0

interface GigabitEthernet0/0/0

ip address 10.0.13.3 255.255.255.0

interface GigabitEthernet0/0/1

ip address 10.0.34.3 255.255.255.0

interface GigabitEthernet0/0/2

ip address 192.168.30.1 255.255.255.0

traffic-filter inbound acl 3000

// ar3上部署traffic-filter对pc4到pc5网段过滤

interface LoopBack0

ip address 3.3.3.3 255.255.255.255

ospf 1

area 0.0.0.0

network 3.3.3.3 0.0.0.0

network 10.0.13.3 0.0.0.0

network 10.0.34.3 0.0.0.0

network 192.168.30.1 0.0.0.0

ar4

router id 4.4.4.4

interface GigabitEthernet0/0/0

ip address 10.0.24.4 255.255.255.0

interface GigabitEthernet0/0/1

ip address 10.0.34.4 255.255.255.0

interface GigabitEthernet0/0/2

ip address 192.168.40.1 255.255.255.0

interface LoopBack0

ip address 4.4.4.4 255.255.255.255

ospf 1

area 0.0.0.0

network 4.4.4.4 0.0.0.0

network 10.0.24.4 0.0.0.0

network 10.0.34.4 0.0.0.0

network 192.168.40.1 0.0.0.0

测试ar1本地始发流量走向

r1tracert -a 11.11.11.11 192.168.40.10

r1tracert -a 1.1.1.1 192.168.40.10

实现pc1不能访问pc3网段,可以访问pc4网段

实现pc1访问pc5时,走ar2转发

实现pc2不能访问pc4网段,可以访问pc3网段

实现pc2访问pc5时,走ar3转发

pc4不能访问pc5网段

相关推荐
zzzzzz3101 天前
9K Star 炸裂开源!这个 C 语言写的代码知识图谱,把 Linux 内核索引压缩到了 3 分钟
linux·服务器·sql
XIAOHEZIcode1 天前
Linux系统鼠标偏移常见原因以及修复方案
linux·运维·游戏
用户0328472220702 天前
如何搭建本地yum源(上)
运维
大树885 天前
金刚石散热越强,管路越先见顶
大数据·运维·服务器·人工智能·ai
摇滚侠5 天前
Linux CentOS7 rpm 安装 MySQL 5.7
linux·运维·mysql
程序猿追5 天前
那个右下角的小数字怎么“卡”住我打字——我用 HarmonyOS 自己写了一个字数限制输入框
pytorch·华为·harmonyos
古德new5 天前
鸿蒙PC使用electron迁移:Joplin Electron 桌面适配全记录
华为·electron·harmonyos
世人万千丶5 天前
桌面便签小应用 - HarmonyOS ArkUI 开发实战-TextArea与Flex布局-PC版本
华为·harmonyos·鸿蒙·鸿蒙系统
霸道流氓气质5 天前
领域驱动设计(DDD)在 Spring Boot 微服务中的实践指南
运维·spring boot·微服务
慧海灵舟5 天前
AGenUI 鸿蒙端实战踩坑录:从 Column 布局消失到异步组件宽度为 0
华为·harmonyos
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析07AI科技热点日报 | 2026年6月1日08AI一周事件 · 2026-06-03 至 2026-06-0909Codex 下载安装指南:Windows 和 macOS 官方版下载10上线仅72小时被强制下架:Claude Fable 5 的短命