1、首先,来看下网络拓扑是什么样的。如图所示,公司核心交换机往上,有两条路径,一个是接路由器,上联集团公司的网络,然后访问internet
另外一个是接防火墙,上联当地的电信网络,访问internet
2、核心交换机下,接了大约十多个接入交换机,分布在各个配线间,楼层。
这些接入交换机负责公司各个部门的网络接入。
3、 这里提出了一种基于源地址的路由策略来实现不同部门(不同人员)路由选择问题。很多资料都是基于目的地址的策略路由,那是根据你访问的业务不同,而走不通的路由。而这里是基于源地址。
第一步,是划分不同的vlan,定义不同的IP。这是网络运维人员基本技能,还好,笔者这里是早就做过的。
4、添加默认路由
配置集团公司通道的接口地址,核心交换机端为192.xx.xx.11,路由器端为192.xx.xx.10
5、然后增加全局默认路由改为集团公司通道,优先级为30高于公司本地的电信通道路由,使其优先于电信路由生效。
注意这里,优先级是数字小的高,当初我也是搞错了。所以这里30比100的优先级高。
6、建立ACL
acl number 3001 //匹配走当地带内心的ip地址段
rule permit ip source 192.168.100.0 0.0.0.63
rule permit ip source 192.168.100.64 0.0.0.63
… …. …. ….
rule permit ip source 192.168.106.192 0.0.0.63
这样将原IP地址段按照vlan段进行全部匹配。
7、创建流分类
traffic classifier 2 operator or
if-match acl 3001
创建流行为
traffic behavior 2
redirect next-hop 192.168.4.2
创建QOS策略
qos policy 2
classifier 2 behavior 2
8、应用QOS到全局
qos apply policy 2 global inbound
注意这里应用时,在全局视图下,全局的inbound方向应用。
至此就实现了:未匹配ACL的IP(部门)客户通过集团公司通道访问internet。(因为集团公司的静态路由优先级 高啊,默认都是走集团公司了。)
而匹配ACL的IP(部门),都是我们挑选出来的,这些部门就匹配路由策略,走当地电信的路由访问internet了。
基于这样的眼里,我们可以分出很多条路由来,因此假设的环境可以无限扩大,只要你设置足够多的策略就行。
好了,希望这种方法能帮到你,有不明白的地方,欢迎私信。
