1、首先,来看下网络拓扑是什么样的。如图所示,公司核心交换机往上,有两条路径,一个是接路由器,上联集团公司的网络,然后访问internet另外一个是接防火墙,上联当地的电信网络,访问internet
2、核心交换机下,接了大约十多个接入交换机,分布在各个配线间,楼层。这些接入交换机负责公司各个部门的网络接入。
3、 这里提出了一种基于源地址的路由策略来实现不同部门(不同人员)路由选择问题。很多资料都是基于目的地址的策略路由,那是根据你访问的业务不同,而走不通的路由。而这里是基于源地址。 第一步,是划分不同的vlan,定义不同的IP。这是网络运维人员基本技能,还好,笔者这里是早就做过的。
4、添加默认路由 配置集团公司通道的接口地址,核心交换机端为192.xx.xx.11,路由器端为192.xx.xx.10
5、然后增加全局默认路由改为集团公司通道,优先级为30高于公司本地的电信通道路由,使其优先于电信路由生效。注意这里,优先级是数字小的高,当初我也是搞错了。所以这里30比100的优先级高。
6、建立ACLacl number 3001//匹配走当地带内心的ip地址段rule permit ip source 192.168.100.0 0.0.0.63rule permit ip source 192.168.100.64 0.0.0.63……. …. ….rule permit ip source 192.168.106.192 0.0.0.63这样将原IP地址段按照vlan段进行全部匹配。
7、创建流分类traffic classifier 2 operator orif-match acl 3001创建流行为traffic behavior 2redirect next-hop 192.168.4.2创建QOS策略qos policy 2classifier 2 behavior 2
8、应用QOS到全局qos apply pol坡纠课柩icy 2global inbound 注意这里应用时,在全局视图下,全局的inbound方向应用。 至此就实现了:未匹配ACL的IP(部门)客户通过集团公司通道访问internet。(因为集团公司的静态路由优先级 高啊,默认都是走集团公司了。) 而匹配ACL的IP(部门),都是我们挑选出来的,这些部门就匹配路由策略,走当地电信的路由访问internet了。 基于这样的眼里,我们可以分出很多条路由来,因此假设的环境可以无限扩大,只要你设置足够多的策略就行。 好了,希望这种方法能帮到你,有不明白的地方,欢迎私信。
