策略路由、Track与NQA联动配置总结-H3C（策略路由 nqa）

策略路由、Track与NQA联动配置总结-H3C（策略路由 nqa）

策略路由根据需求自行修改，本文主要是专注nqa的配置。如果探测的出接口为dialer接口就不用设置下一跳直接出接口就可以了(out interface Dialer0 )。探测目标类型也可以根据具体需改，我做的是用icmp探测链路的状态，还有探测目标还可以为TCP UDP HTTP等等。

配置Switch A1.1 配置到达非直连网段的静态路由。1）配置到达20.1.1.0/24网段的静态路由，下一跳地址为12.1.1.2。system-view[SwitchA] ip route-static 20.1.1.0 24 12.1.1.22）配置到达23.1.1.0/30网段的静态路由，下一跳地址为13.1.1.2。[SwitchA] ip route-static 23.1.1.0 30 13.1.1.21.2 配置TRACK项1）创建管理员名为admin、操作标签为test的NQA测试组。[SwitchA] nqa entry admin test2）配置测试类型为ICMP-echo。[SwitchA-nqa-admin-test] type icmp-echo3）配置测试的目的地址为23.1.1.1，下一跳地址为13.1.1.2，以便通过NQA检测Switch A－Switch C－Switch B这条路径的连通性。[SwitchA-nqa-admin-test-icmp-echo] destination ip 23.1.1.1[SwitchA-nqa-admin-test-icmp-echo] next-hop 13.1.1.24）配置测试频率为1000ms。[SwitchA-nqa-admin-test-icmp-echo] frequency 10005）配置联动项1（连续失败3次触发联动）。[SwitchA-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only[SwitchA-nqa-admin-test-icmp-echo] quit6）启动探测。[SwitchA] nqa schedule admin test start-time now lifetime forever7）配置Track项1，关联NQA测试组（管理员为admin，操作标签为test）的联动项1。[SwitchA] track 1 nqa entry admin test reaction 11.3 配置关于ICMP流量报文的策略路由，并且与Track项联动。1）定义访问控制列表ACL 3001，用来匹配ICMP报文。[SwitchA] acl number 3001[SwitchA-acl-adv-3001] rule permit icmp[SwitchA-acl-adv-3001] quit2）定义5号节点，指定所有ICMP报文的下一跳为13.1.1.2。[SwitchA] policy-based-route ICMP_PBR permit node 5[SwitchA-pbr-ICMP_PBR-5] if-match acl 3001[SwitchA-pbr-ICMP_PBR-5] apply ip-address next-hop 13.1.1.2 track 1[SwitchA-pbr-ICMP_PBR-5] quit3）在接口Vlan-interface10上应用转发策略路由，处理此接口接收的报文。[SwitchA] interface vlan-interface 10[SwitchA-Vlan-interface10] ip policy-based-route ICMP_PBR[SwitchA-Vlan-interface10] quit 配置Switch B2.1 配置到达非直连网段的静态路由。1) 配置到达10.1.1.0/24网段的静态路由，下一跳地址为12.1.1.1。system-view[SwitchB] ip route-static 10.1.1.0 24 12.1.1.12) 配置到达13.1.1.0/30网段的静态路由，下一跳地址为23.1.1.2。[SwitchB] ip route-static 13.1.1.0 30 23.1.1.22.2 配置TRACK项1）创建管理员名为admin、操作标签为test的NQA测试组。[SwitchB] nqa entry admin test2）配置测试类型为ICMP-echo。[SwitchB-nqa-admin-test] type icmp-echo3）配置测试的目的地址为13.1.1.1，下一跳地址为23.1.1.2，以便通过NQA检测Switch B－Switch C－Switch A这条路径的连通性。[SwitchB-nqa-admin-test-icmp-echo] destination ip 13.1.1.1[SwitchB-nqa-admin-test-icmp-echo] next-hop 23.1.1.24）配置测试频率为1000ms。[SwitchB-nqa-admin-test-icmp-echo] frequency 10005）配置联动项1（连续失败3次触发联动）。[SwitchB-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only[SwitchB-nqa-admin-test-icmp-echo] quit6）启动探测。[SwitchB] nqa schedule admin test start-time now lifetime forever7）配置Track项1，关联NQA测试组（管理员为admin，操作标签为test）的联动项1。[SwitchB] track 1 nqa entry admin test reaction 12.3 配置关于ICMP流量报文的策略路由，并且与Track项联动。1）定义访问控制列表ACL 3001，用来匹配ICMP报文。[SwitchB] acl number 3001[SwitchB-acl-adv-3001] rule permit icmp[SwitchB-acl-adv-3001] quit2）定义5号节点，指定所有ICMP报文的下一跳为23.1.1.2。[SwitchB] policy-based-route ICMP_PBR permit node 5[SwitchB-pbr-ICMP_PBR-5] if-match acl 3001[SwitchB-pbr-ICMP_PBR-5] apply ip-address next-hop 23.1.1.2 track 1[SwitchB-pbr-ICMP_PBR-5] quit3）在接口Vlan-interface20上应用转发策略路由，处理此接口接收的报文。[SwitchB] interface vlan-interface 20[SwitchB-Vlan-interface20] ip policy-based-route ICMP_PBR[SwitchB-Vlan-interface20] quit 配置Switch C3.1 配置到达非直连网段的静态路由。1）配置到达10.1.1.0/24网段的静态路由，下一跳地址为13.1.1.1。system-view[SwitchC] ip route-static 10.1.1.0 24 13.1.1.12）配置到达20.1.1.0/24网段的静态路由，下一跳地址为23.1.1.1。[SwitchC] ip route-static 20.1.1.0 24 23.1.1.14.验证配置结果4.1 验证策略路由是否生效。在Switch B上做流量统计，对ICMP流量报文和其他报文（以Telnet报文为例）做流量统计，验证策略路由是否生效。1）配置流量统计QoS

定义ACL 3005，匹配ICMP流量报文：acl number 3005rule 0 permit icmp source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255定义ACL 3006，匹配TCP流量报文：acl number 3006rule 0 permit tcp source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255创建流量统计QoS:traffic classifier ACC_1 operator andif-match acl 3005#traffic classifier ACC_2 operator andif-match acl 3006#traffic behavior ACCaccounting packet#qos policy ACCclassifier ACC_1 behavior ACCclassifier ACC_2 behavior ACC#将QoS分别应用在连接Switch A的G1/0/2和连接Switch C的G1/0/1接口的入方向：interface GigabitEthernet1/0/1

qos apply policy ACC inbound

interface GigabitEthernet1/0/2

qos apply policy ACC inbound

查看流量统计结果从10.1.1.0/24网段的主机上Ping/Telnet 20.1.1.0/24网段的主机后，查看流量统计结果：[SwitchB]display qos policy interface GigabitEthernet 1/0/2Interface: GigabitEthernet1/0/2Direction: InboundPolicy: ACCClassifier: ACC_1Operator: ANDRule(s) : If-match acl 3005Behavior: ACCAccounting Enable:0 (Packets)Classifier: ACC_2Operator: ANDRule(s) : If-match acl 3006Behavior: ACCAccounting Enable:32 (Packets)[SwitchB]display qos policy interface GigabitEthernet 1/0/1Interface: GigabitEthernet1/0/1Direction: InboundPolicy: ACCClassifier: ACC_1Operator: ANDRule(s) : If-match acl 3005Behavior: ACCAccounting Enable:5 (Packets)Classifier: ACC_2Operator: ANDRule(s) : If-match acl 3006Behavior: ACCAccounting Enable:0 (Packets)由于Telnet使用的是TCP协议，ping使用的是ICMP协议，所以由以上结果可证明：Switch A转发的ICMP报文的下一跳为13.1.1.2，策略路由生效。4.2 验证策略路由与Track项联动是否生效。断开Switch B与Switch C的链路后，查看Switch A上Track项状态：display track 1Track ID: 1Status: NegativeDuration: 0 days 0 hours 1 minutes 35 secondsNotification delay: Positive 0, Negative 0 (in seconds)Reference object:NQA entry: admin testReaction: 1清空Switch B的流量统计计数，重新进行Ping/Telnet操作，再次查看Switch B的流量统计结果：[SwitchB]display qos policy interface GigabitEthernet 1/0/2Interface: GigabitEthernet1/0/2Direction: InboundPolicy: ACCClassifier: ACC_1Operator: ANDRule(s) : If-match acl 3005Behavior: ACCAccounting Enable:5 (Packets)Classifier: ACC_2Operator: ANDRule(s) : If-match acl 3006Behavior: ACCAccounting Enable:54 (Packets)说明Track项已经检测到探测的网段不可达，并且成功将策略路由置为无效。以上验证步骤是诊断流量从10.1.1.0/24网段到20.1.1.0/24网段的情况，对于反向的流量验证与上面情况类似。四、配置关键点：无

nqa相关其他配置nqa entry admin icmp1history-record enable 启用探测历史记录out interface GigabitEthernet1/0/3 指定出接口

指定Track项状态变为Negative时，延迟通知应用模块时间为50秒；Track项状态变为Positive时，延迟通知应用模块时间为120秒。[Sysname] track 2 nqa entry admin icmp2 reaction 1[Sysname-track-101] delay negative 50 positive 120

display nqa history命令用来显示NQA测试组的历史记录。display nqa reaction counters命令用来显示阈值告警组的当前监测结果。display nqa result命令用来显示最近一次NQA测试的结果。display nqa statistics命令用来显示NQA测试的统计信息。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。