一、拓扑:
二、配置过程:
1、配置 IP 地址,配置动态路由协议 OSPF
2、AR2 上,配置高级 ACL,允许 ospf 流量、1 到 6、2 到 8、deny 所有
3、写流分类,抓取流量特征
4、写流行为,配置流量动作
5、写流策略,绑定分类和行为
6、把流策略应用到 AR2 的入接口方向,也可以应用到接口的出方向
三、详细配置:
acl number 3003
rule 0 permit ospf
rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 6.6.6.0 0.0.0.255
rule 10 permit ip source 2.2.2.0 0.0.0.255 destination 8.8.8.0 0.0.0.255
rule 15 deny ip
#
traffic classifier Z operator or
if-match acl 3003
#
traffic behavior Z
permit
statistic enable
#
traffic policy Z
classifier Z behavior Z
#
interface GigabitEthernet0/0/0
ip address 10.1.12.2 255.255.255.0
traffic-policy Z inbound
!!! ACL 是按顺序匹配,匹配到一条后自动离开,不会再匹配第二条,不用担心两条都匹配!
四、踩坑总结:
第一次配了两个 ACL:第一个允许 1 到 6 Permit,deny 所有;第二个允许 2 到 8 permit,deny 所有,结果永远是只有一条可以匹配,另一条无法匹配全被拒绝,以为是 traffic policy 的排序问题,最后发现是 ACL 的问题:因为一个 ACL 无法同时匹配两个源地址的情况。在排错的时候还出现一个状况,如果 traffic policy 第一个写 classifier X behavior X,那么这个对应的 ACL 不要有 deny 语句,第二个写 classifier Y behavior Y,就可以正常运行,看下出错的配置:
acl number 3001
rule 0 permit ospf
rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 6.6.6.0 0.0.0.255
rule 10 deny ip
acl number 3002
rule 0 permit ospf
rule 5 permit ip source 2.2.2.0 0.0.0.255 destination 8.8.8.0 0.0.0.255
rule 10 deny ip
#
traffic classifier X operator or
if-match acl 3001
traffic classifier Y operator or
if-match acl 3002
#
traffic behavior X
statistic enable
permit #这个是默认行为,配了也不显示
traffic behavior Y
statistic enable
permit
#
traffic policy X
classifier X behavior X
classifier Y behavior Y
#
所以真正实践才能发现技术的细节,真正落地才了解背后的运作逻辑,觉得简单而不做永远是纸上谈兵,感谢虫子和群里的大佬朋友!