一、網(wǎng)絡(luò)拓?fù)?br /> 　　辦公網(wǎng)為172網(wǎng)段，其核心交換機(jī)為85-1，由NE-1做NAT通過(guò)網(wǎng)通上internet;宿舍區(qū)為10網(wǎng)段，其核心交換機(jī)為85-2，由NE-2做NAT通過(guò)電信上internet。服務(wù)器放在S85-1下，為172網(wǎng)段的地址，供宿舍區(qū)10網(wǎng)段主機(jī)訪(fǎng)問(wèn)。
　　二、應(yīng)用需求及實(shí)現(xiàn)分析
　　應(yīng)用需求：
　　由于網(wǎng)通和電信的出口均為百兆，而宿舍區(qū)用戶(hù)遠(yuǎn)遠(yuǎn)多于辦公區(qū)的用戶(hù)，要分流部分宿舍區(qū)的用戶(hù)通過(guò)網(wǎng)通的出口上internet。
　　實(shí)現(xiàn)分析：
　　此需求看起來(lái)很簡(jiǎn)單，即通過(guò)策略路由，使部分用戶(hù)上網(wǎng)的下一跳到S85-1上，通過(guò)NE-1出去。但是仔細(xì)分析具體的實(shí)現(xiàn)，還是有很多要考慮的地方。
　　1.S8500上策略路由只能在入端口方向上做，這樣，要在特定網(wǎng)段的所有入端口應(yīng)用策略路由。
　　2.應(yīng)用策略路由的流由ACL來(lái)定義區(qū)分，此處ACL由關(guān)鍵字源IP來(lái)定義。
　　acl number 2000
　　rule 0 permit ip source 10.1.1.0 0.255.255.255
　　策略路由優(yōu)先級(jí)最高，如果定義上面的ACL，當(dāng)10網(wǎng)段訪(fǎng)問(wèn)10網(wǎng)段時(shí)，將會(huì)先匹配策略路由，從而下一跳到S85-1上，在S85-1上匹配路由，再回到S85-2上面，從而到達(dá)目的主機(jī)，這樣來(lái)回就多了兩跳。
　　3.修改ACL為禁止源ip為10網(wǎng)段，目的ip也為10網(wǎng)段的流應(yīng)用策略路由。
　　acl number 2000
　　rule 0 deny ip source 10.1.1.0 0.255.255.255 destination 10.0.0.0 0.255.255.255
　　rule 1 permit ip source 10.1.1.0 0.255.255.255
　　但是策略路由引用的ACL規(guī)則不允許為deny。
　　難道只能這樣，讓10網(wǎng)段訪(fǎng)問(wèn)10網(wǎng)段的時(shí)候多走兩跳嗎?……當(dāng)然不!
　　三、解決方法
　　S8500交換機(jī)的策略路由是由硬件來(lái)實(shí)現(xiàn)的，不然，對(duì)于S8500這種逐包轉(zhuǎn)發(fā)的交換機(jī)，其CPU不可能處理如此大的轉(zhuǎn)發(fā)量。由于策略路由和下發(fā)
的ACL一樣，由硬件處理，那就有匹配順序的問(wèn)題。如果讓源IP為10網(wǎng)段，目的IP也為10網(wǎng)段數(shù)據(jù)先匹配其他的ACL轉(zhuǎn)發(fā)出去，而不匹配策略路由，那么就可以解決上面的問(wèn)題。
　　配置如下：
　　編寫(xiě)ACL 3000，允許源IP10網(wǎng)段訪(fǎng)問(wèn)目的IP10網(wǎng)段
　　acl number 3000
　　rule 0 permit ip source 10.1.1.0 0.255.255.255 destination 10.0.0.0 0.255.255.255
　　編寫(xiě)ACL2000，允許源IP10網(wǎng)段(做策略路由)
　　acl number 2000
　　rule 0 permit ip source 10.1.1.0 0.255.255.255
　　在端口下發(fā)規(guī)則
　　Interface GigabitEthernet0/1/4
　　packet-filter inbound ip-group 3000
　　traffic-redirect inbound ip-group 2000 next-hop 10.1.2.10
　　在端口下發(fā)規(guī)則時(shí)要注意順序，對(duì)于S8500交換機(jī)的ACL規(guī)則是先下發(fā)先匹配，所以此處必須先下發(fā)ACL3000，再運(yùn)用策略路由。在端口G0/1/4上10.1.1.0網(wǎng)段的主機(jī)訪(fǎng)問(wèn)10網(wǎng)段的主機(jī)時(shí)，就會(huì)先匹配ACL3000，而ACL3000的規(guī)則為permit，這樣就正常的查找路由表來(lái)轉(zhuǎn)發(fā)。而目的IP不是10網(wǎng)段時(shí)，就會(huì)匹配上策略路由，從而下一跳到S85-1上。