问
S12508跨VPN 做PBR怎么做
1天前提问
- 0关注
- 0收藏,66浏览
zhiliao_Gixe
六段
一、问题分析
需在S12508上实现两条VPN间的PBR策略,涉及流量入方向策略路由(VPN A→VPN B)和出方向策略路由(VPN B→VPN A)。需明确:
1. VPN间路由互通:需通过VRF实例间路由泄露实现
2. PBR策略配置:基于源/目的IP匹配流量,重定向至目标VPN下一跳
二、操作步骤
1. 配置VPN A和VPN B的基础VRF
创建VPN A和VPN B VRF
ip vpn-instance VPN_A
ipv4-family
route-distinguisher 100:1
vrf-route-target 100:1
ip vpn-instance VPN_B
ipv4-family
route-distinguisher 200:1
vrf-route-target 200:1
配置VLANIF接口绑定VRF
interface Vlan-interface100
undo shutdown
ip binding vpn-instance VPN_A
ip address 1.1.1.2 255.255.255.252
interface Vlan-interface200
undo shutdown
ip binding vpn-instance VPN_B
ip address 2.2.2.2 255.255.255.252
2. 配置VPN间路由泄露(关键)
在VPN A上引入VPN B路由
ip vpn-instance VPN_A
ipv4-family
import-route vpn-instance VPN_B
或通过静态路由引入:
ip route-static vpn-instance VPN_B 0.0.0.0 0.0.0.0 2.2.2.1
在VPN B上引入VPN A路由
ip vpn-instance VPN_B
ipv4-family
import-route vpn-instance VPN_A
或通过静态路由引入:
ip route-static vpn-instance VPN_A 0.0.0.0 0.0.0.0 1.1.1.1
3. 配置入方向PBR(VPN A→VPN B)
定义ACL匹配源/目的IP
acl 2000
rule 0 permit ip source 192.168.168.10 0 destination 172.16.18.20 0
配置策略路由
policy-based-route PBR_AtoB permit node 10
if-match acl 2000
redirect ip-nexthop 2.
需在S12508上实现两条VPN间的PBR策略,涉及流量入方向策略路由(VPN A→VPN B)和出方向策略路由(VPN B→VPN A)。需明确:
1. VPN间路由互通:需通过VRF实例间路由泄露实现
2. PBR策略配置:基于源/目的IP匹配流量,重定向至目标VPN下一跳
二、操作步骤
1. 配置VPN A和VPN B的基础VRF
创建VPN A和VPN B VRF
ip vpn-instance VPN_A
ipv4-family
route-distinguisher 100:1
vrf-route-target 100:1
ip vpn-instance VPN_B
ipv4-family
route-distinguisher 200:1
vrf-route-target 200:1
配置VLANIF接口绑定VRF
interface Vlan-interface100
undo shutdown
ip binding vpn-instance VPN_A
ip address 1.1.1.2 255.255.255.252
interface Vlan-interface200
undo shutdown
ip binding vpn-instance VPN_B
ip address 2.2.2.2 255.255.255.252
2. 配置VPN间路由泄露(关键)
在VPN A上引入VPN B路由
ip vpn-instance VPN_A
ipv4-family
import-route vpn-instance VPN_B
或通过静态路由引入:
ip route-static vpn-instance VPN_B 0.0.0.0 0.0.0.0 2.2.2.1
在VPN B上引入VPN A路由
ip vpn-instance VPN_B
ipv4-family
import-route vpn-instance VPN_A
或通过静态路由引入:
ip route-static vpn-instance VPN_A 0.0.0.0 0.0.0.0 1.1.1.1
3. 配置入方向PBR(VPN A→VPN B)
定义ACL匹配源/目的IP
acl 2000
rule 0 permit ip source 192.168.168.10 0 destination 172.16.18.20 0
配置策略路由
policy-based-route PBR_AtoB permit node 10
if-match acl 2000
redirect ip-nexthop 2.
S12508 跨 VPN PBR 完整配置(双向互访)
核心前置结论
- 必须做双向路由泄露:VPN_A 路由表需要能看见
2.2.2.1,VPN_B 路由表需要能看见1.1.1.1,否则 PBR 指定跨 VPN 下一跳会路由不可达、报文丢弃。 - 跨 VPN PBR 关键命令:
apply next-hop vpn-instance 对端VPN名 下一跳IP,用于把本 VPN 流量转发到另一个 VPN 的路由表转发。 - 组网梳理
- Vlanif100:1.1.1.2/30,绑定
VPN_A,源网段192.168.168.10 - Vlanif200:2.2.2.2/30,绑定
VPN_B,目的网段172.16.18.20 - 正向:192.168.168.10→172.16.18.20,入接口 Vlanif100,PBR 转发至 VPN_B 下一跳
2.2.2.1 - 回程:172.16.18.20→192.168.168.10,入接口 Vlanif200,PBR 转发至 VPN_A 下一跳
1.1.1.1
- Vlanif100:1.1.1.2/30,绑定
一、基础 VPN 与三层接口配置(已有,仅核对)
bash
运行
# 创建VPN实例
ip vpn-instance VPN_A
route-distinguisher 100:1
ipv4-family
ip vpn-instance VPN_B
route-distinguisher 200:1
ipv4-family
# 三层接口绑定VPN
interface Vlan-interface 100
ip binding vpn-instance VPN_A
ip address 1.1.1.2 255.255.255.252
interface Vlan-interface 200
ip binding vpn-instance VPN_B
ip address 2.2.2.2 255.255.255.252
二、双向 VPN 路由泄露(解决下一跳不可达问题,必配)
方式 1:import-rib 互相引入直连路由(推荐,简洁)
bash
运行
# VPN_A引入VPN_B的直连路由(包含2.2.2.0/30,下一跳2.2.2.1可达)
ip vpn-instance VPN_A
ipv4-family
import-rib vpn-instance VPN_B protocol direct
# VPN_B引入VPN_A的直连路由(包含1.1.1.0/30,下一跳1.1.1.1可达)
ip vpn-instance VPN_B
ipv4-family
import-rib vpn-instance VPN_A protocol direct
方式 2:静态跨 VPN 路由(精准控制,适合仅互通这段互联地址)
bash
运行
# VPN_A内添加静态路由:2.2.2.0/30 走VPN_B的2.2.2.1
ip route-static vpn-instance VPN_A 2.2.2.0 255.255.255.252 vpn-instance VPN_B 2.2.2.1
# VPN_B内添加静态路由:1.1.1.0/30 走VPN_A的1.1.1.1
ip route-static vpn-instance VPN_B 1.1.1.0 255.255.255.252 vpn-instance VPN_A 1.1.1.1
验证泄露:display ip routing-table vpn-instance VPN_A能看到 2.2.2.0/30 路由;VPN_B 同理看到 1.1.1.0/30。
三、正向 PBR 配置(VPN_A→VPN_B:192.168.168.10 访问 172.16.18.20)
1. ACL 匹配指定流量
bash
运行
acl number 3000
rule permit ip source 192.168.168.10 0 destination 172.16.18.20 0
2. 创建策略路由,指定跨 VPN 下一跳
bash
运行
policy-based-route PBR_A_TO_B permit node 10
if-match acl 3000
# 核心:把流量交给VPN_B的路由表转发,下一跳2.2.2.1
apply next-hop vpn-instance VPN_B 2.2.2.1
# 其余流量正常走VPN_A默认路由
policy-based-route PBR_A_TO_B permit node 20
3. 在入接口 Vlanif100 绑定入方向 PBR
bash
运行
interface Vlan-interface 100
ip policy-based-route PBR_A_TO_B
四、回程 PBR 配置(VPN_B→VPN_A:172.16.18.20 访问 192.168.168.10)
1. ACL 匹配回程流量
bash
运行
acl number 3001
rule permit ip source 172.16.18.20 0 destination 192.168.168.10 0
2. 创建回程策略路由
bash
运行
policy-based-route PBR_B_TO_A permit node 10
if-match acl 3001
# 交给VPN_A路由表转发,下一跳1.1.1.1
apply next-hop vpn-instance VPN_A 1.1.1.1
policy-based-route PBR_B_TO_A permit node 20
3. 在入接口 Vlanif200 绑定回程 PBR
bash
运行
interface Vlan-interface 200
ip policy-based-route PBR_B_TO_A
五、验证与排错命令
- 查看 VPN 路由泄露是否生效
bash
运行
display ip routing-table vpn-instance VPN_A
display ip routing-table vpn-instance VPN_B
- 查看策略路由绑定与匹配计数
bash
运行
display policy-based-route
display ip policy-based-route interface Vlan-interface 100
display ip policy-based-route interface Vlan-interface 200
- 报文跟踪(定位跨 VPN 转发是否正常)
bash
运行
tracert vpn-instance VPN_A 172.16.18.20
tracert vpn-instance VPN_B 192.168.168.10
六、关键注意事项
- 路由泄露是硬性前提
不做泄露时,VPN_A 路由表不存在 2.2.2.1 网段,
apply next-hop vpn-instance VPN_B 2.2.2.1会提示下一跳不可达,报文直接丢弃。 apply next-hop vpn-instance X是跨 VPN 转发核心 普通apply next-hop 2.2.2.1只会在本 VPN_A 路由表查找下一跳,无法跨 VPN 转发,必须携带vpn-instance关键字。- 双向流量必须双向 PBR + 双向路由泄露 只配单向会出现单通,回程流量无法跨 VPN 转发。
- 路由泄露两种方案取舍
import-rib:自动引入对端所有直连,适合多互联地址场景;- 静态跨 VPN 路由:仅互通指定互联网段,隔离性更强,生产推荐。
暂无评论
针对您在 H3C S12508 交换机上跨 VPN 实例(VRF)配置策略路由(PBR)的需求,这属于典型的跨 VRF 流量牵引场景。
核心结论:是否需要提前泄露路由?
不需要。
在 H3C 设备中配置跨 VPN 的策略路由(PBR)时,只要您在 PBR 动作中明确指定了目标 VPN 实例(
在 H3C 设备中配置跨 VPN 的策略路由(PBR)时,只要您在 PBR 动作中明确指定了目标 VPN 实例(
vpn-instance),设备在转发时就会直接进行跨 VRF 的查表与转发,无需提前在两个 VPN 实例之间做静态路由泄露或路由复制(Route Replicate)。具体配置方案
根据您的组网,假设 VLANIF 100 属于 VPN A,VLANIF 200 属于 VPN B。
1. 定义 ACL 匹配流量
首先,通过 ACL 精确匹配需要跨 VPN 访问的流量(建议精确匹配源和目的,避免误匹配导致环路):
acl number 3001
rule 5 permit ip source 192.168.168.10 0 destination 172.16.18.20 02. 配置策略路由 (PBR)
创建 PBR 策略,匹配上述 ACL,并将下一跳指向目标 VPN 实例中的地址。注意,H3C 跨 VRF 的 PBR 语法中,下一跳地址前必须带上目标
vpn-instance 的名称:policy-based-route PBR_CROSS_VRF permit node 10
if-match acl 3001
apply ip-address next-hop vpn-instance VPN_B 2.2.2.13. 在入接口应用 PBR
关键步骤: PBR 必须在流量的入方向(inbound)接口上调用才能生效。因为流量是从 VLANIF 100 进入的,所以必须应用在 VLANIF 100 上:
interface Vlan-interface 100
ip policy-based-route PBR_CROSS_VRF关于回程流量的处理
您提到回程流量(172.16.18.20 访问 192.168.168.10)会从 VLANIF 200 进入,并希望也做 PBR 扔回 VPN A。
⚠️ 严重风险提示:极易引发路由环路!
在旁挂或跨 VRF 互访场景中,如果双向都使用 PBR 强制牵引,非常容易形成“乒乓效应”导致死循环:
在旁挂或跨 VRF 互访场景中,如果双向都使用 PBR 强制牵引,非常容易形成“乒乓效应”导致死循环:
- 流量从 VPN A 进来,被 PBR 踢给 VPN B。
- VPN B 收到后,如果目的网段不在本地,或者又命中了 PBR,再次被踢回 VPN A。
- 来回路径不一致,导致会话建立失败或死循环。
正确的回程处理建议:
通常情况下,跨 VRF 互访只需在发起方(或需要强制引流的一侧)配置 PBR 即可。对于回程流量,建议采用以下两种标准方式之一:
通常情况下,跨 VRF 互访只需在发起方(或需要强制引流的一侧)配置 PBR 即可。对于回程流量,建议采用以下两种标准方式之一:
- 方式一(推荐):路由泄露。在 VPN B 中配置指向 VPN A 的静态路由(
ip route-static vpn-instance VPN_B 192.168.168.10 32 vpn-instance VPN_A 1.1.1.1),让回程流量依靠正常路由表转发,而不是 PBR。 - 方式二:防火墙集中引流。如果是安全合规需求,通常是将双向流量都 PBR 给同一台边界防火墙,由防火墙统一处理跨区转发,而不是在核心交换机上两个 VRF 之间互相 PBR。
排错与验证建议
如果配置后流量不通,请按照以下顺序排查:
- 验证下一跳可达性:虽然跨 VRF PBR 不依赖路由泄露,但下一跳 IP 必须在目标 VPN 实例的直连路由表中存在。
- 检查应用方向:确认 PBR 是应用在
inbound入方向,出方向(outbound)绑定 PBR 是不生效的。 - 查看命中计数:执行
display policy-based-route查看对应节点的Matched计数是否在流量经过时增加。 - 调试报文:在低峰期开启
debugging ip policy-based-route,观察报文是命中了 PBR 还是直接走了普通路由表。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论