网络管理中心iBrain NMC

信锐iBrain智能网络管理中心(简称iBrain NMC)是网络设备的集中管理与智能运维中心,可以作为网络管理的智慧大脑,平台支持对无线AP、安视交换机、Turbo Fusion极智融合系列网关、NAC网络控制器等设备进行集中管理,可实现全网设备的快速激活、策略配置、故障定位、安全告警、智能运维等,同时支持对全网用户进行统一身份认证与角色授权等,一站式降低网络管理难度。结
NMC3.13.0-3.14.0
网络管理中心iBrain NMC 文档 功能配置 SD-LAN 交换机策略路由配置指导
{{sendMatomoQuery("网络管理中心iBrain NMC","交换机策略路由配置指导")}}

交换机策略路由配置指导

更新时间:2024-08-29

1功能简介

1.1应用场景

策略路由是一种依据用户制定的策略进行路由选择的机制。设备配置策略路由后,若接收的报文(包括二层报文)匹配策略路由的规则,则按照规则转发;若匹配失败,则根据目的地址按照正常转发流程转发。

是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器,策略路由比所有路由的级别都高,其中包括直连路由。

1.2适用版本

以下相关功能配置均基于 NAC3.13.0版本。

1.3配置思路

简述配置此功能的几大场景及配置步骤。

场景一:源地址到目的地址指定下一跳。

【SD-LAN】->【路由管理】->【策略路由】

新增策略路由步骤如下:

(1)填写策略路由名称(图片示例为源目IP地址策略路由

(2)选择需要添加策略路由的交换机(图片示例为汇聚交换机_44_64

(3)选择流量入接口(图片示例为vlanif1口

(4)新增策略路由规则、填写源IP或目的IP并选择协议动作(图片示例协议选择不限,动作选择路由

(5)填写下一跳IP地址,点击提交即可

注意:动作有两个,一个是跳过(即拒绝的意思),一个 是路由(即转发的意思), 动作跳过这里可以类似于一个 ACL

场景二:主链路故障后切换到备链路

【SD-LAN】->【高可用性】->【链路检测】

(1)新增PING检测链路检测方式,填写PING检测策略名称

(2)选择需要进行链路检测交换机

(3)填写PING检测需要检测的IP地址

(1)其中,检测间隔及故障判断可进行自定义,保持默认即可

场景三:访问控制策略

【SD-LAN】->【路由管理】->【策略路由】

新增策略路由步骤如下:

(1)填写策略路由名称(图片示例为访问控制策略路由

(2)选择需要添加策略路由的交换机

(3)选择流量入接口(图片示例为vlanif1口

(1)新增策略路由规则、填写源IP或目的IP并选择协议动作(图片示例协议选择TCP或ICMP目的端口选择443;动作TCP协议选择跳出,ICMP协议选择路由),可达到禁止访问443端口但该IP地址可以ping通目的。

2注意事项

2.1  业务影响范围 

根据策略路由配置的源地址和目的地址决定影响范围。

2.2配置注意事项

1、策略路由只有在交换机版本是 2.7.1 版本(控制器版本是 3.8.1.0)以上才能配置。

2、链路检测分为 ping 检测和 BFD 检测,PING 检测测试网络连接是否正常工作,BFD 检测用 于快速检测系统之间的通信故障,并在出现故障时通知上层应用。

3配置步骤  

3.1    场景一:源地址到目的地址指定下一跳  

配置路径

【SD-LAN】->【路由管理】->【策略路由】

新增策略路由步骤如下:

(6)填写策略路由名称(图片示例为源目IP地址策略路由

(7)选择需要添加策略路由的交换机(图片示例为汇聚交换机_44_64

(8)选择流量入接口(图片示例为vlanif1口

(9)新增策略路由规则、填写源IP或目的IP并选择协议动作(图片示例协议选择不限,动作选择路由

(10)填写下一跳IP地址,点击提交即可

注意:动作有两个,一个是跳过(即拒绝的意思),一个 是路由(即转发的意思), 动作跳过这里可以类似于一个 ACL

 

 

 

 

 

 

 

3.2场景二:主链路故障后切换到备链路

该场景配置步骤共两大步骤:a、创建链路检测;b、创建策略路由

配置路径

【SD-LAN】->【高可用性】->【链路检测】

(4)新增PING检测链路检测方式,填写PING检测策略名称

(5)选择需要进行链路检测交换机

(6)填写PING检测需要检测的IP地址

其中,检测间隔及故障判断可进行自定义,保持默认即可

 

【SD-LAN】->【路由管理】->【策略路由】

(1)填写策略路由名称(图片示例为备份策略路由

(2)选择需要添加策略路由的交换机(与链路检测交换机相同)

(3)选择流量入接口

(4)新增策略路由规则、填写源IP或目的IP并选择协议动作(图片示例协议选择不限,动作选择路由

(5)填写下一跳IP地址

(6)链路检测选择启用链路检测并配置备份链路,链路检测策略选择上一步创建的链路检测策略

(7)填写下一跳IP地址(备),并点击提交即可

 

 

3.3场景三:访问控制策略

配置路径

【SD-LAN】->【路由管理】->【策略路由】

新增策略路由步骤如下:

(4)填写策略路由名称(图片示例为访问控制策略路由

(5)选择需要添加策略路由的交换机

(6)选择流量入接口(图片示例为vlanif1口

(7)新增策略路由规则、填写源IP或目的IP并选择协议动作(图片示例协议选择TCP或ICMP目的端口选择443;动作TCP协议选择跳出,ICMP协议选择路由),可达到禁止访问443端口但该IP地址可以ping通目的。

 

4效果   演示

4.1 效果展示