1. 为什么企业需要策略路由想象一下你每天开车上班的场景平时走高速路只要20分钟但遇到早高峰时导航会自动推荐绕城快速路避开拥堵。网络世界里的策略路由就像这个智能导航系统它能根据数据流的身份特征自动选择最优路径。在企业双出口网络中传统路由就像只会看目的地导航的司机——所有车辆都走同一条路。实际业务中服务器流量像运送重要物资的货车需要优先走高速通道而普通办公流量就像私家车通勤可以走普通道路。我在某制造业客户现场就遇到过这种情况视频会议卡顿、ERP系统响应慢最后发现是200M的服务器流量和500台办公电脑抢同一条千兆链路。华为交换机的流策略功能相当于给数据包装上智能导航仪通过三个关键组件协同工作流分类器像交警识别车辆类型ACL规则匹配源IP网段流行为像交通指示牌重定向到指定下一跳流策略把识别规则和动作绑定成完整方案2. 实战前的四大准备工作2.1 网络拓扑规划建议先画出类似这样的双出口拓扑[内网PC]----[接入交换机]----[核心交换机]----[出口路由器1] |________[出口路由器2]我在实施时习惯用Visio标注几个关键信息各接口VLAN归属不同颜色区分网关IP地址红字标注链路带宽箭头旁注明1000M/100M2.2 地址分配表提前准备这样的Excel表格网段用途网关IP出口链路192.168.1.0/24服务器区192.168.1.110.1.20.1192.168.2.0/24办公区192.168.2.110.1.30.12.3 版本兼容性检查执行display version查看设备型号和版本特别注意S5720系列需要V200R011C10及以上S6700系列要确认是否支持redirect ip-nexthop命令 遇到不兼容的情况我通常会先升级到推荐版本再配置。2.4 基线配置备份务必先执行HUAWEI save backup.cfg HUAWEI display current-configuration flash:/current.txt有一次我在配置ACL时误删了原有规则多亏备份文件10分钟就恢复了业务。3. 配置步骤详解3.1 VLAN与基础路由配置先完成修路工作——创建业务VLAN和互联VLAN[Switch] vlan batch 10 20 100 200 [Switch] interface vlanif 10 [Switch-Vlanif10] ip address 192.168.1.1 24 [Switch-Vlanif100] ip address 10.1.20.2 24这里有个易错点Trunk口放行VLAN要同时包含内外网段[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20 100 2003.2 智能流量分类技巧配置ACL3000时很多人会漏掉双向规则[Switch-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 dest 192.168.2.0 0.0.0.255 [Switch-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 dest 192.168.1.0 0.0.0.255建议用display acl 3000确认规则编号是否连续。曾有个客户内网互访异常就是因为第二条rule编号跳号导致未生效。3.3 流行为中的主备链路配置主备链路不是简单配两个IP就行要注意[Switch-behavior-b1] redirect ip-nexthop 10.1.20.1 10.1.30.1第一个IP默认作为主链路。测试时可以手动shutdown主链路端口[Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] shutdown然后用tracert 8.8.8.8观察是否自动切换到10.1.30.1。4. 常见故障排查指南4.1 策略路由不生效按这个顺序检查display traffic-policy applied-record看策略是否绑定到正确接口display acl all确认规则命中计数匹配包数display arp all检查下一跳ARP是否学习正常上周处理过一个案例策略路由失效是因为防火墙拦截了ARP请求添加arp static绑定后立即恢复。4.2 内网互访异常八成是ACL3000配置问题确认rule里同时包含正反两个方向的规则检查流策略中c0分类器是否放在最前面测试时用ping -a 192.168.1.100 192.168.2.100指定源IP4.3 链路切换延迟默认检测间隔是30秒对于关键业务可以调整BFD检测参数[Switch] bfd [Switch-bfd] quit [Switch] interface vlanif 100 [Switch-Vlanif100] bfd min-tx-interval 100 min-rx-interval 100 detect-multiplier 35. 高阶应用场景5.1 基于应用的智能选路除了IP网段还可以匹配DSCP值或协议类型[Switch-acl-adv-3003] rule permit tcp source 192.168.1.0 0.0.0.255 destination-port eq 3389这样可以把远程桌面流量单独引到低延迟链路。5.2 负载均衡配置多条等价链路可以配置负载分担[Switch-behavior-b3] redirect ip-multihop 10.1.40.1 10.1.50.1实测发现华为设备支持最大8条等价路径但建议不超过4条以免分片问题。5.3 与防火墙联动方案当需要引流到安全设备时[Switch-behavior-b4] redirect interface GigabitEthernet0/0/10记得在防火墙配置对应的安全策略和NAT规则。某金融客户就通过这种方式实现了服务器流量必经IPS检测。