• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR3620-XS ACL+PBR配置

2026-06-05提问
  • 0关注
  • 0收藏,175浏览
zhiliao_qsVpct
zhiliao_qsVpct 零段
粉丝:0人 关注:0人

问题描述:

 

配置版本:version 7.1.064, Release 6728P25
本来想用acl规则匹配出口地址的,但是会漏,现在直接根据内网地址配置,麻烦各位大佬帮忙看看命令都对吗?如果后面有个别源ip地址想要改到192.168.100.1好像不好改了,希望也能提供点其他思路
system-view # ============ 1. 清理将替换的旧节点 ============ undo policy-based-route pbr2 permit node 1 undo policy-based-route pbr2 permit node 2 undo policy-based-route pbr2 permit node 6 undo policy-based-route pbr2 permit node 10 undo policy-based-route pbr2 permit node 20 undo policy-based-route pbr2 permit node 30 undo policy-based-route pbr2 permit node 50 # ============ 2. 源IP对象组 ============ object-group ip address srcgroup-pbr1 0 network range 192.168.0.2 192.168.0.255 quit object-group ip address srcgroup-pbr2 0 network range 192.168.1.1 192.168.1.255 quit # ============ 3. ACL ============ # callcenter 目的IP acl advanced name acl-callcenter rule 10 permit ip destination 111.230.5.161 0 quit # 192.168.0.x 源IP acl advanced name acl-pbr1 rule 10 permit ip source object-group srcgroup-pbr1 quit # 192.168.1.x 源IP acl advanced name acl-pbr2 rule 10 permit ip source object-group srcgroup-pbr2 quit # 兜底(任意IP) acl advanced name acl-default rule 10 permit ip quit # ============ 4. Node 1:callcenter(仅次 192.168.0.253)============ policy-based-route pbr2 permit node 1 if-match acl name acl-callcenter apply output-interface Dialer2 quit # ============ 5. Node 3:192.168.0.x 主备合一 ============ policy-based-route pbr2 permit node 3 if-match acl name acl-pbr1 apply next-hop 192.168.100.1 track 1 apply output-interface Dialer2 quit # ============ 6. Node 5:192.168.1.x 主备合一 ============ policy-based-route pbr2 permit node 5 if-match acl name acl-pbr2 apply output-interface Dialer2 apply output-interface Dialer3 quit # ============ 7. 后移旧有策略 ============ # 原 node 1 → node 11 policy-based-route pbr2 permit node 11 if-match acl 3000 apply next-hop 192.168.100.1 track 1 quit # 原 node 2 → node 12 policy-based-route pbr2 permit node 12 if-match acl name acl22 apply output-interface Dialer2 quit # 原 node 6 → node 13 policy-based-route pbr2 permit node 13 if-match acl name acl-overseas apply next-hop 192.168.100.1 track 1 quit # 原 node 20 → node 14 policy-based-route pbr2 permit node 14 if-match acl name acl-cn apply output-interface Dialer2 quit # ============ 8. Node 99:兜底 ============ policy-based-route pbr2 permit node 99 if-match acl name acl-default apply next-hop 192.168.100.1 track 1 quit save force

 

4 个回答
按时间 按赞数
Xcheng
Xcheng 九段
粉丝:136人 关注:3人

信息太乱了。。。


而且没原始需求看不了哦

建议400热线或联系供应商方面沟通下细节进一步确认哦


或参考手册再次确认下哦

暂无评论

zhiliao_Gixe
zhiliao_Gixe 六段
粉丝:10人 关注:9人

针对H3C V7版本MSR3620的ACL+PBR配置,修正及优化如下:
1. 精准匹配内网源的ACL配置:
acl number 3000
rule permit ip source 192.168.0.0 0.0.255.255 # 匹配内网段,反掩码正确
2. PBR绑定ACL指定出口:
policy-based-route pbr2 permit node 10
if-match acl 3000
apply next-hop 【出口IP】
3. 灵活调整个别源的思路:用IP地址组替代硬编码ACL,无需修改PBR节点:
ip group source_group
ip 192.168.0.0 0.0.255.255
ip 192.168.100.1 0.0.0.0 # 新增需调整的源
acl 3000下改规则为:rule permit ip source-group source_group
最后在出接口绑定PBR:interface 【WAN口】,ip policy-based-route pbr2。

暂无评论

刘浩存
刘浩存 九段
粉丝:22人 关注:1人

针对您在 H3C MSR3620-XS 上配置的 ACL + PBR(策略路由)方案,您的整体思路是非常清晰的:通过对象组管理源 IP,通过高级 ACL 进行流量匹配,最后通过 PBR 节点指定出口。这种模块化的配置方式非常利于后期的维护和扩展。
以下是对您当前配置的诊断评估语法修正建议以及针对您提到的“后续个别源IP修改”的优化思路

一、 当前配置的评估与微调建议

1. 关于 Node 5 的双出口配置(需确认意图)

1policy-based-route pbr2 permit node 5 2 if-match acl name acl-pbr2 3 apply output-interface Dialer2 4 apply output-interface Dialer3 5quit
  • 评估:在同一个 PBR 节点下同时配置两个 apply output-interface,设备会将其作为等价多路径(ECMP)处理,即流量会在 Dialer2 和 Dialer3 之间进行负载分担
  • 建议:如果您本意是做主备链路备份,这种写法是无效的。如果要做主备,必须拆分为两个节点(例如 Node 5 和 Node 6),并在主用节点加上 track 联动,或者依靠默认路由的优先级来实现备份。如果您确实是想让这部分流量走双线负载均衡,则当前配置没问题。

2. 关于 Track 联动的语法规范


1apply next-hop 192.168.100.1 track 1
  • 建议:确保您已经在全局配置了对应的 NQA 或 Track 模块(例如 track 1 ip host ...)。如果没有关联具体的探测目标,Track 状态可能无法正确翻转,导致主备切换失效。

3. 关于兜底策略 (Node 99)

1acl advanced name acl-default rule 10 permit ip
  • 评估:逻辑完全正确。当所有特定业务和网段都不匹配时,剩余流量统一交由下一跳 192.168.100.1 处理,保证了网络的连通性。

二、 针对“后续个别源IP不好改”的优化思路

您提到目前使用 object-group 包含了整个网段(如 192.168.0.2 - 192.168.0.255),如果未来想把其中某个特定的 IP(比如 192.168.0.50)剥离出来走其他线路,直接在原对象组里删除该 IP 会影响整个网段的策略,重新划分又很麻烦。
这里提供两种更灵活的架构思路:


 思路 1:利用 PBR 节点的“优先级顺序”特性(强烈推荐)

PBR 的匹配机制是从上到下,命中即停止。您可以保留现有的“大网段”策略不动,在它的前面插入一个“小范围/单IP”的策略节点。
  • 操作方法:假设您以后想把 192.168.0.50 单独走 Dialer3,只需新建一个 Node 2(介于 Node 1 和 Node 3 之间):
    1object-group ip address srcgroup-special 0 network host 192.168.0.50 2acl advanced name acl-special rule 10 permit ip source object-group srcgroup-special 3 4policy-based-route pbr2 permit node 2 5 if-match acl name acl-special 6 apply output-interface Dialer3 7quit
  • 优势:完全不需要动原有的大网段策略,互不干扰,且随时可以通过 undo 命令秒级撤销。


 思路 2:细化对象组(Object-Group)的颗粒度

如果您希望在一个 ACL 内解决,可以将原本的一个大对象组,拆分为多个小对象组,然后在 ACL 中分别引用。
  • 操作方法
    1# 拆分对象组 2object-group ip address srcgroup-pbr1-main 0 network range 192.168.0.2 192.168.0.49 3object-group ip address srcgroup-pbr1-main 0 network range 192.168.0.51 192.168.0.255 4object-group ip address srcgroup-pbr1-sub 0 network host 192.168.0.50 5 6# 在ACL中灵活组合 7acl advanced name acl-pbr1 8 rule 10 permit ip source object-group srcgroup-pbr1-main 9quit 10acl advanced name acl-pbr1-sub 11 rule 10 permit ip source object-group srcgroup-pbr1-sub 12quit
  • 优势:结构清晰,适合需要对不同子网段执行不同 QoS 或安全动作的场景。但缺点是修改时需要频繁编辑 ACL 规则。

暂无评论

zhiliao_GeOM0O
zhiliao_GeOM0O 九段
粉丝:16人 关注:2人

一、先给你结论:你的配置 大部分正确,但有 4 个关键问题
我已经全部帮你标出来了👇
二、你的配置里 真正错误 / 风险点(必须改)
1)PBR Node 3 错误:不能同时写 next-hop + output-interface
plaintext
policy-based-route pbr2 permit node 3
if-match acl name acl-pbr1
apply next-hop 192.168.100.1 track 1
apply output-interface Dialer2 ❌ 错误
H3C MSR 系列不允许同一个 node 同时配置下一跳 + 出接口
会导致:
PBR 不生效
流量不转发
丢包 / 漏流量
正确写法(二选一,推荐带 track 高可靠)
plaintext
policy-based-route pbr2 permit node 3
if-match acl name acl-pbr1
apply next-hop 192.168.100.1 track 1
不要写 apply output-interface
2)Node 5 错误:不能写两个 output-interface
plaintext
apply output-interface Dialer2
apply output-interface Dialer3 ❌ 错误
一个 node 只能有一个出接口,不能写两条。
你想做主备,必须用 track + 多个 node 实现。
3)对象组 + ACL 写法正确,但 PBR 顺序非常关键
你现在的顺序:
node 1 → 呼叫中心
node 3 → 0 网段
node 5 → 1 网段
node 11→14 → 旧策略
node 99 → 兜底
顺序没问题,但要确保:先精细 → 再宽泛
4)你担心的:后面想把个别 IP 改成 192.168.100.1 不好改
我告诉你:非常好改,不需要动现有结构
下面给你最灵活的方案。
三、我帮你修正后的 最终可用配置(直接替换)
bash
运行
# ============ 1. 源IP对象组 ============
object-group ip address srcgroup-pbr1
network range 192.168.0.2 192.168.0.255
quit
object-group ip address srcgroup-pbr2
network range 192.168.1.1 192.168.1.255
quit

# ============ 2. ACL ============
acl advanced name acl-callcenter
rule 10 permit ip destination 111.230.5.161 0
quit

acl advanced name acl-pbr1
rule 10 permit ip source object-group srcgroup-pbr1
quit

acl advanced name acl-pbr2
rule 10 permit ip source object-group srcgroup-pbr2
quit

acl advanced name acl-default
rule 10 permit ip
quit

# ============ 3. PBR 策略(修正版) ============
policy-based-route pbr2 permit node 1
if-match acl name acl-callcenter
apply output-interface Dialer2
quit

policy-based-route pbr2 permit node 3
if-match acl name acl-pbr1
apply next-hop 192.168.100.1 track 1
quit

policy-based-route pbr2 permit node 5
if-match acl name acl-pbr2
apply output-interface Dialer2
quit

# 旧策略顺延
policy-based-route pbr2 permit node 11
if-match acl 3000
apply next-hop 192.168.100.1 track 1
quit

policy-based-route pbr2 permit node 12
if-match acl name acl22
apply output-interface Dialer2
quit

policy-based-route pbr2 permit node 13
if-match acl name acl-overseas
apply next-hop 192.168.100.1 track 1
quit

policy-based-route pbr2 permit node 14
if-match acl name acl-cn
apply output-interface Dialer2
quit

# 兜底
policy-based-route pbr2 permit node 99
if-match acl name acl-default
apply next-hop 192.168.100.1 track 1
quit

save force
四、你最关心的:
想把 个别源 IP 改成走 192.168.100.1 怎么改最灵活?
方案 A:增加一个 优先级更高的小 node(最推荐,不动现有配置)
例如:把 192.168.1.100 单独走 100.1
bash
运行
# 新建ACL
acl advanced name acl-single-ip
rule 10 permit ip source 192.168.1.100 0
quit

# 插入到 node 2(比 node3 优先级更高)
policy-based-route pbr2 permit node 2
if-match acl name acl-single-ip
apply next-hop 192.168.100.1 track 1
quit
✅ 不用动原来的任何配置
✅ 想加几个 IP 就加几个
✅ 想改出口随时改
方案 B:建立一个 “强制走 100.1” 的对象组(最适合批量管理)
bash
运行
object-group ip address FORCE-100
network host 192.168.1.10
network host 192.168.1.11
network host 192.168.1.12
quit

acl advanced name acl-force-100
rule 10 permit ip source object-group FORCE-100
quit

policy-based-route pbr2 permit node 2
if-match acl name acl-force-100
apply next-hop 192.168.100.1 track 1
quit
以后只需要往对象组里加 IP,不用改 PBR 结构。
五、你的配置整体评价
✅ 正确
对象组 + 命名 ACL 非常规范
PBR 结构清晰
先精细后兜底
用了 track 高可靠
❌ 错误(已帮你修复)
同一个 node 不能同时写 next-hop + 出接口
不能写两个出接口
六、我给你最终建议(最稳方案)
使用我上面给你的修正版配置
个别 IP 要切换出口,用 node 2 插入单独规则(不影响现网)
批量 IP 切换出口,用对象组 FORCE-100
不要在同一个 node 写多个 apply

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明