精华内容
下载资源
问答
  • 路由策略和策略路由

    千次阅读 2020-03-14 16:43:59
    1.路由策略路由策略是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。 操作对象:路由条目 2.策略路由策略路由是一种比基于目标网络进行路由更加灵活的数据包...

    概念简述

    1.路由策略:路由策略是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。

    操作对象:路由条目

    2.策略路由:策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。

    操作对象:数据包


    路由策略

    使用相应的技术将路由条目分离、打标签、独立出来,然后针对路由条目做控制,做过滤,或者做条目属性的更改。路由重分发、分发列表是典型的路由策略。

    重分布

    注意:
    1.所有的重分布都是在各协议的边界上进行相关配置
    2.进行重分布的两个区域必须相邻。
    在这里插入图片描述
    RIP与EIRGP的重分布:

    R2(config)#router eigrp 100
    //将RIP的路由条目重分布进EIGRP中,5K值如下所示
    R2(config-router)#redistribute rip metric 10000 100 255 1 1500
    R2(config-router)#exit
    R2(config)#router rip
    //将EIGRP的路由条目重分布进RIP中,并为其设置跳数
    R2(config-router)#redistribute eigrp 100 metric 1
    R2(config-router)#exit
    

    EIGRP与OSPF的重分布:

    R3(config)#router eigrp 100
    //将OSPF的路由条目重分布到EIGRP中
    R3(config-router)#redistribute ospf 100 metric 10000 100 255 1 1500
    R3(config-router)#exit
    R3(config)#router ospf 100
    //将EIGRP的路由条目重分布到OSPF中
    R3(config-router)#redistribute eigrp 100 subnets 
    

    RIP与OSPF的重分布:

    R1(config)#router ospf 100
    //将RIP的路由条目重分布进OSPF中
    R1(config-router)#redistribute rip subnets 
    R1(config-router)#exit  
    R1(config)#router rip 
    //将OSPF的路由条目重分布进RIP中
    R1(config-router)#redistribute ospf 100 metric 1
    R1(config-router)#exit  
    

    分发列表
    1.对于距离矢量路由协议,如RIP,EIGRP
    在这里插入图片描述
    路由器之间,传递的是路由信息,分发列表对路由信息是有绝对的控制权。因此如果是in方向,那么通过部署分发列表,可以过滤特定的路由,使得执行分发列表的本地路由路由表发生变化,同时,本地路由器在更新路由信息给下游路由器的时候,实际上更新的内容是受分发列表影响之后的条目。同时在out方向,也是没有问题的。
    在这里插入图片描述

    //抓取路由前缀并进行匹配
    R2(config)#access-list 2 permit 3.3.3.0
    R2(config)#route-map AA deny 10
    R2(config-route-map)#match ip address 2
    R2(config-route-map)#exit
    R2(config)#route-map AA permit 20
    R2(config-route-map)#exit
    R2(config)#router eigrp 100
    R2(config-router)#redistribute ospf 100 metric 10000 100 255 1 1500 route-map AA
    R2(config-router)#exit
    
    

    2.对于链路状态路由协议,如OSPF
    在这里插入图片描述
    值得注意的是,对于OSPF这样的链路状态路由协议,路由器之间传递的消息不再是路由信息了,而是LSA,而分发列表是无法对LSA进行过滤的。因此,在链路状态协议中部署分发列表,就需要留意了:

    in方向,分发列表只能在本地收到LSA后,生成路由的那一刹那进行路由的过滤,执行分发列表的路由器自己路由表会被分发列表影响(但是本地LSDB仍然是有LSA的),而且该路由器仍会将LSADB中的LSA发送给邻居,因此本地被过滤的路由,邻居还会有。

    out方向,分发列表只能工作在执行路由重分发动作的那个ASBR上,且只能针对外部引入的路由起作用。因为OSPF执行重发布时,其实这些外部路由是以路由的形式引入进来的,因此分发列表在这个场合下能够正常工作,但是如果不是本地始发的外部路由,或者是内部的OSPF路由,out方向的分发列表均束手无策。

    实验模拟
    在这里插入图片描述
    基本配置完成后,R2上的路由表如下所示

    R2(config-router)#do show ip route
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    Gateway of last resort is not set
    
         1.0.0.0/32 is subnetted, 1 subnets
    O       1.1.1.1 [110/2] via 100.1.1.1, 00:06:04, FastEthernet0/0
         2.0.0.0/24 is subnetted, 1 subnets
    C       2.2.2.0 is directly connected, Loopback0
         100.0.0.0/24 is subnetted, 1 subnets
    C       100.1.1.0 is directly connected, FastEthernet0/0
         3.0.0.0/24 is subnetted, 1 subnets
    D       3.3.3.0 [90/156160] via 101.1.1.2, 00:01:56, FastEthernet1/0
         101.0.0.0/24 is subnetted, 1 subnets
    C       101.1.1.0 is directly connected, FastEthernet1/0
    

    现要使R2不再接收1.1.1.1的路由条目,则需要在R2上进行如下配置

    //ACL抓取感兴趣数据流
    R2(config)#access-list 1 permit 1.1.1.1  
    //定义route-map名称及拒绝的编号
    R2(config)#route-map A deny 10
    //匹配ACL抓取的数据流
    R2(config-route-map)#match ip address 1 
    R2(config-route-map)#exit
    //定义允许通过的数据流编号
    R2(config)#route-map A permit 20
    R2(config-route-map)#exit
    

    配置完成后,R2的路由表如下所示,拒绝访问要求完成:

    R2(config-router)#do show ip route
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    Gateway of last resort is not set
    
         2.0.0.0/24 is subnetted, 1 subnets
    C       2.2.2.0 is directly connected, Loopback0
         100.0.0.0/24 is subnetted, 1 subnets
    C       100.1.1.0 is directly connected, FastEthernet0/0
         3.0.0.0/24 is subnetted, 1 subnets
    D       3.3.3.0 [90/156160] via 101.1.1.2, 00:14:08, FastEthernet1/0
         101.0.0.0/24 is subnetted, 1 subnets
    C       101.1.1.0 is directly connected, FastEthernet1/0
    R2(config-router)#do show run | section access-list
    access-list 1 permit 1.1.1.1
    

    策略路由

    在路由的基础之上,针对数据层面做控制,可以精确把控数据的走向,策略优先于路由,先匹配策略,再匹配路由。

    在这里插入图片描述
    GW

    //抓取感兴趣数据流
    GW(config)#access-list 100 permit tcp host 192.168.1.10 host 130.1.1.1 eq telnet 
    GW(config)#access-list 101 permit tcp host 192.168.1.20 host 130.1.1.1 eq telnet
    GW(config)#access-list 102 permit icmp host 192.168.1.10 host 130.1.1.1 echo
    GW(config)#access-list 103 permit icmp host 192.168.1.20 host 130.1.1.1 echo
    //进行匹配并设置下一跳地址
    GW(config)#route-map AA permit 10
    GW(config-route-map)#match ip address 100
    GW(config-route-map)#set ip next-hop 100.1.1.1
    GW(config-route-map)#exit
    GW(config)#route-map AA permit 20
    GW(config-route-map)#match ip address 101
    GW(config-route-map)#set ip next-hop 200.1.1.1
    GW(config-route-map)#exit
    GW(config)#route-map AA permit 30
    GW(config-route-map)#set ip next-hop 200.1.1.1
    GW(config-route-map)#exit
    GW(config)#route-map AA permit 40
    GW(config-route-map)#set ip next-hop 100.1.1.1
    GW(config-route-map)#exit
    //在接口下进行挂接
    GW(config)#interface f0/0
    GW(config-if)#ip policy route-map AA
    GW(config-if)#exit
    

    查看已配置的策略

    GW(config)#do show run | section route-map
    route-map AA permit 10
     match ip address 100
     set ip next-hop 100.1.1.1
    route-map AA permit 20
     match ip address 101
     set ip next-hop 200.1.1.1
    route-map AA permit 30
     match ip address 102
     set ip next-hop 200.1.1.1
    route-map AA permit 40
     match ip address 103
     set ip next-hop 100.1.1.1
    

    实验验证:

    telnet验证
    在这里插入图片描述
    在这里插入图片描述
    验证结果:telnet相关的实验要求已完成。

    ping 数据包验证:
    首先在电信和联通设备上开启DEBUG功能,然后使用两台PC ping 130.1.1.1 。
    在这里插入图片描述
    在这里插入图片描述
    验证结果:ping 数据包指定路径要求已完成。

    总结:策略优先于路由,通过策略告诉设备去往哪里要从哪走。数据包在传输过程中,先查策略,若没有策略,则查路由。

    参考资料:http://blog.sina.com.cn/s/blog_5ec353710101ebbr.html

    展开全文
  • 华为路由器路由策略和策略路由.doc
  • 全面介绍H3C路由器中路由策略策略路由器基础知识工作原理,并以实战方式介绍H3C路由器各种路由策略和策略路由的配置与管理方法
  • 本课程以笔者编写、由华为公司指定作为ICT认证培训教材的《华为路由器学习指南》为主线,并是对书中内容的全面更新提高,全面、系统、深入,并以全实战化方式讲解了华为设备中各种路由策略和策略路由技术原理,...
  • 路由策略和策略路由配置与管理-1

    万次阅读 多人点赞 2017-02-24 12:43:14
    路由策略和策略路由配置与管理 “路由策略”与“策略路由”之间的区别就在于它们的主体(或者说“作用对象”)不同,前者的主体是“路由”,是对符合条件的路由(主要)通过修改路由属性来执行相应的策略动作(如...

    路由策略和策略路由配置与管理

    “路由策略”与“策略路由”之间的区别就在于它们的主体(或者说“作用对象”)不同,前者的主体是“路由”,是对符合条件的路由(主要)通过修改路由属性来执行相应的策略动作(如允许通过、拒绝通过、接收、引入等),使通过这些路由的数据报文按照规定的策略进行转发;而后者的主体是数据报文,是对符合条件的数据报文(如报文的源地址、报文长度等)按照策略规定的动作进行操作(如设置报文的出接口和下一跳、设置报文的缺省出接口和下一跳等),然后转发。“路由策略”如RIPOSPFIS-ISBGP中动态路由信息发送(发布)/接收控制、路由选路、路由引入以及BGP路由属性配置等都用到了“路由策略”。

    路由策略基础

    路由策略(Routing Policy)是通过使用不同的匹配条件和匹配模式来选择路由,或改变路由属性。路由策略主要应用在路由信息发布、接收、引入和路由属性修改等几个方面:

    1、控制路由的发布

    可通过路由策略对所要发布的路由信息进行过滤,只允许发布满足条件的路由信息。

    2、控制路由的接收

    可通过路由策略对所要接收的路由信息进行过滤,只允许接收满足条件的路由信息。这样可以控制路由条目的数量,提高网络的路由效率。

    3、控制路由的引入

    可通过路由策略只引入满足条件的路由信息,并控制所引入的路由信息的某些属性,使其满足本路由协议的路由属性要求。

    4、设置路由的属性

    修改通过路由策略过滤的路由的属性,满足自身需要。

    一、路由策略原理

    要实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则,这就是路由策略中必须使用的过滤器。可以用路由信息中的不同属性作为过滤器的匹配依据,如路由的目的地址、源地址等。然后将匹配规则应用于路由的发布、接收和引入等过程的策略中。

    在一个路由策略中可以包括多组以if-match语句指定的匹配条件,这些匹配条件是以节点(Node)来进行标识的。如果在一个路由策略中包括多个节点,则路由会按照节点号从小到大依次进行匹配,直到与某节点的条件完全匹配(后面的节点就不在去匹配了),如果到了路由策略中所包括的最后一个节点仍没有完全匹配,则该路由拒绝通过。不同节点间是逻辑“”的关系,即如果通过了其中一个节点,就意味着通过该路由策略,不再对其他节点进行匹配。

    每个节点可以由一组if-matchapply字句组成。

    if-match句定义匹配规则,匹配对象是路由信息的一些属性。同一节点中的不同if-match子句是逻辑“”的关系,即只有满足节点内所有if-match子句指定的匹配条件,才能通过该节点的匹配测试。

    apply子句指定动作,也就是对通过节点匹配的路由信息进行属性设置。

    If-matchapply子句可以根据应用进行设置,但都是可选的。如果只过滤路由,不设置路由的属性,则仅需要配置if-match子句,不需要使用apply子句;如果某个permit节点没有配置任何if-match子句,则该节点匹配所有的路由;通常在多个deny节点后配置一个不含if-match子句和apply子句的permit节点,用于允许其他的路由通过。

    如上图,一个路由策略中包含N个节点(Node)。当接收或者发送的路由要应用该路由策略时,会按节点序号从小到大依次检查与各个节点是否匹配。匹配条件由if-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。匹配模式分permitdeny两种。

    permit:表示该路由将被允许通过,并且执行该节点的apply子句对路由信息的一些属性进行设置。

    ②表示该路由将被拒绝通过。

    当路由与某节点的所有if-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。当路由与该节点的任意一个if-match子句匹配失败后,进入下一节点。如果该路由与所有节点都匹配失败,则该路由信息将被拒绝通过。

    二、路由策略过滤器

    路由策略的实现是通过各种过滤器进行路由过滤完成的。在路由策略中,if-match子句中匹配的6种过滤器包括访问控制列表ACLAccess Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。这6种过滤器具有各自的匹配条件及permitdeny匹配模式,因此这6种过滤器在以下特定情况下可单独使用,实现路由过滤。

    过滤器可看做是路由策略过滤路由的工具,但单独配置的过滤器没有任何过滤效果,只有在路由协议的相关命令中应用这些过滤器,才能达到预期的过滤效果。

    1ACL

    ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。但在路由策略中的if-match子句只支持基本ACL,过滤的是路由的目的IP地址和子网掩码

    2、地址前缀列表

    地址前缀列表(IP Prefix List)将路由的目的地址和子网掩码前缀作为匹配条件的过滤器(与ACL过滤器的作用是一样的),可在各路由协议发布和接收路由时单独使用。根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可在一定掩码长度范围内匹配。当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permitdeny

    每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。

    3AS路径过滤器

    AS路径过滤器(AS_PathFilter)是将BGP中的AS_Path属性作为匹配条件的过滤器,专用于BGP路由过滤,在BGP发布、接收路由时单独使用AS_Path属性记录了BGP路由经过的所有AS编号。

    4、团体属性过滤器

    团体属性过滤器(CommunityFilter)是将BGP中的团体属性作为匹配条件的过滤器,专用于BGP路由过滤,在BGP发布、接收路由时单独使用BGP的团体属性用来标识一组具有共同性质的路由。

    5、扩展团体属性过滤器

    扩展团体属性过滤器(ExtcommunityFilter)是将BGP中的扩展团体属性作为匹配条件的过滤器,专用于VPN网络中的BGP路由过滤,可在VPN配置中利用VPNTarget区分路由时单独使用。

    目前,扩展团体属性过滤器仅适用于对VPN中的VPN Target属性的匹配。VPNTarget属性在BGP/MPLS IP VPN网络中控制VPN路由信息在各Site之间的发布和接收。

    6RD属性过滤器

    RD团体属性过滤器(RouteDistinguisher Filter)是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。

    VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。

    三、路由策略配置任务

    在路由策略配置中,主要包括三大配置任务:

    ①配置要使用的对应过滤器。路由策略过滤器包括ACL、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器,可选择其中的一种或几种。

    ②(可选)创建一个路由策略,并通过if-match子句调用第一项配置任务中所配置的对应过滤器,定义路由策略所需匹配的条件。如果不配置本步骤,则表示所有路由在对应路由策略节点匹配成功,直接按照节点的匹配模式进行处理。

    ③(可选)最后可通过apply子句定义路由策略的动作,用来为匹配成功的路由设置对应的路由属性。如果不配置本步骤,则对应路由策略节点仅起过滤路由的作用,不会对通过的路由进行任何属性设置。

    配置路由策略过滤器

    一、配置地址前缀列表

    当需要根据路由的目的地址控制路由的发布和接收时,可配置地址前缀列表。地址前缀列表可以单独使用,也就是不在路由策略if-match语句中被调用,但这时地址前缀列表中要至少配置一个节点的匹配模式是permit,否则所有路由将都被用于IP地址的过滤。

    1、地址前缀列表的配置

    配置IPv4地址前缀列表的方法是在系统视图下使用ip ip-prefixip-prefix-name [indexindex-number] {permit |deny}ipv4-address mask-length [match-network][greater-equalgreater-equal-value] [less-equalless-equal-value]命令。

    ip-prefix-name:指定地址前缀列表名称,唯一标识一个IPv4地址前缀列表。

    index-number:可选参数,标识地址前缀列表中的一条匹配条件的索引号,取值范围1~4294967295整数。缺省该序号值按照配置先后顺序依次递增,每次加10,第一个序号值为10,值越小越优先被匹配。同一个名称的地址前缀列表最多可支持配置65535个索引号。

    Permit:二选一选项,指定由参数index-number标识的匹配条件的匹配模式为允许模式。在该模式下,如果过滤的IP地址在定义的范围内,则通过过滤,进行相应的设置;否则,必须进行下一节点的测试。

    deny:二选一选项,指定由参数index-number标识的匹配条件的匹配模式为拒绝模式。在该模式下,如果过滤的IP地址在定义的范围内,则该IP地址不能通过过滤,从而不能进入下一节点的测试;否则,将进行下一节点的测试。

    ipv4-addressmask-length:指定用来进行路由匹配的网络IP地址和掩码长度,mask-length的取值范围为0~32.如果将本参数指定为0.0.0.0 0,则代表所有路由。

    match-network:可选项,指定匹配网络地址,仅在ipv4-address参数值为0.0.0.0时才可以配置,用来匹配指定网络地址的路由。例如:ip ip-prefix prefix1 permit 0.0.0.0 8可以匹配掩码长度为8的所有路由;而ipip-prefix prefix1 permit 0.0.0.0 8 match-network可以匹配的IP地址在0.0.0.1~0.255.255.255范围内的所有路由。

    一般情况下,IP地址的网络ID不能为0.但是华为产品中可以支持网络ID0,而主机ID不为0IP地址。这种IP地址需要特殊的系统提供支持,实际上很少使用。

    greater-equalgreater-equal-value:可选参数,指定掩码长度可以匹配范围的下限(也即最小长度),取值限制为mask-lengthgreater-equal-valueless-equal-value32。如果没有配置less-equal less-equal-value可选参数,则路由的掩码长度范围可在greater-equal-value32之间。如果同时不配置greater-equalgreater-equal-valueless-equal less-equal-value可选参数,则仅匹配mask-length参数指定的掩码长度路由。

    less-equalless-equal-value:可选参数,指定掩码长度匹配范围的上限,取值限制为mask-lengthgreater-equal-valueless-equal-value32。如果没有配置greater-equal greater-equal-value可选参数,则掩码长度范围在mask-lengthless-equal-value之间。如果同时不配置greater-equalgreater-equal-valueless-equal less-equal-value可选参数,则仅用mask-length作为掩码长度的路由。

    如果地址前缀列表中的所有条件都是deny模式,则任何路由都不能通过该过滤列表。这种情况下,建议在多条deny模式的条件后定义一条permit 0.0.0.0 0 less-equal 32条件,允许其他所有IPv4路由信息通过。

    缺省情况下,系统中无IPv4地址前缀列表。

    配置完后可通过display ipip-prefix [ip-prefix-name]查看IPv4地址前缀列表的详细配置信息;也可通过reset ip ip-prefix [ip-prefix-name]用户视图命令清除IPv4地址前缀列表统计数据。

    2、地址前缀列表的应用

    地址前缀列表既可以作为过滤器被各种路由协议使用,也可以和路由策略配合使用

    ①本命令通过与下列命令配合使用,可以以地址前缀列表为过滤条件对全局发布的路由信息进行过滤。

    ●全局过滤发布的RIP路由:filter-policy {acl-number |acl-nameacl-name | ip-prefix ip-prefix-name}export [protocol [process-id] |interface-typeinterface-number]

    ●全局过滤发布的OSPF路由:filter-policy {acl-number |acl-nameacl-name | ip-prefix ip-prefix-name}export [protocol [process-id]]

    ●全局过滤发布的IS-IS路由:filter-policy {acl-number |acl-nameacl-name | ip-prefix ip-prefix-name|route-policyroute-policy-name }export [protocol [process-id]]

    ●全局过滤发布的BGP路由:filter-policy {acl-number |acl-nameacl-name | ip-prefix ip-prefix-name}export [protocol [process-id] ]

    ②本命令通过与下列命令配合使用,可以以地址前缀列表为过滤条件对全局接收的路由信息进行过滤。

    ●全局过滤接收的RIP路由:filter-policy {acl-number |acl-nameacl-name | ip-prefix ip-prefix-name [gatewayip-prefix-name]}import [interface-typeinterface-number]

     

    ●全局过滤接收的OSPF路由:filter-policy {acl-number |acl-nameacl-name |ip-prefix ip-prefix-name |route-policy route-policy-name [secondary]}  import

    ●全局过滤接收的IS-IS路由:filter-policy {acl-number |acl-nameacl-name |ip-prefix ip-prefix-name|route-policy route-policy-nameimport

    ●全局过滤接收的BGP路由:filter-policy {acl-number |acl-nameacl-name |ip-prefix ip-prefix-nameimport

    ③本命令通过与peer {group-name |ipv4-address} ip-prefixip-prefix-name{import |export}命令配合使用,为特定的BGP对等体配置基于地址前缀列表的过滤器进行路由过滤。

    ④以地址前缀列表为过滤条件控制IS-ISLevel-1路由向Level-2区域进行路由渗透:import-route isis level-1 into level-2 [filter-policy {acl-number |acl-nameacl-name |ip-prefix ip-prefix-name|route-policyroute-policy-name} |tagtag]*

    ⑤以地址前缀列表为过滤条件控制IS-ISLevel-2路由向Level-1区域进行路由渗透:import-route isis level-2 into level-1 [filter-policy {acl-number |acl-nameacl-name |ip-prefix ip-prefix-name|route-policyroute-policy-name} |tagtag]*

    ⑥本命令通过与if-matchip-prefix ip-prefix-name命令在路由策略中配合使用,以地址前缀列表为路由匹配的条件,对接收或发送的路由进行测试。

    3、地址前缀列表的应用情形

    同一个地址前缀列表可包含多个匹配条件,一个条件指定一个地址前缀范围。此时,多个条件之间是“”的关系,即通过其中任何一个条件就可通过该地址前缀列表的过滤;没有通过任何一个条件的过滤就意味着没有通过该地址前缀的过滤,都将被Deny

    地址前缀范围包括两个部分,分别由mask-length[greater-equal-valueless-equal-value]决定。如果同时指定了这两部分,则要被过滤的IP地址必须匹配这两部分规定的前缀范围。Ipv4-address参数值为0.0.0.0时表示通配地址。此时不论掩码指定为多少,都表示掩码长度范围内的所有路由全部被permitdeny

    现假设有如下5条路由:1.1.1.1/241.1.1.1/321.1.1.1/262.2.2.2/241.1.1.2/16,通过使用以下不同的地址前缀列表,进行过滤的结果不同。

    1)单条件匹配(即地址前缀列表中只有一个匹配条件)

    单节点匹配时,根据匹配模式的不同又有以下两种匹配情形:

    Permit模式:假设配置的命令为ipip-prefix aa index 10 permit 1.1.1.1 24,则匹配的结果是路由1.1.1.1/24Permit,其他都被Deny

    这种情况属于单节点的精确匹配,此时只有路由的目的地址,掩码与地址列表中匹配条件完全相同的路由才会匹配成功,节点的匹配模式为Permit,所以路由1.1.1.1/24Permit,属于匹配成功并被Permit。其他4条路由由于未匹配成功被Deny

    Deny模式:如果配置的命令为ipip-prefix aa index 10 deny 1.1.1.1 24,则匹配的结果是本示例所有5条路由全部被Deny

    这种情况依然属于单节点的精确匹配,但节点的匹配模式为deny,所以路由1.1.1.1/24还是被Deny,属于匹配成功但被Deny,其他4条路由则属于未匹配成功被默认Deny

    2)多条件匹配(即地址前缀列表中有多个节点的匹配条件)

    根据所配置的匹配条件的不同,多条件匹配又有如下几种情形。

    ①多节点:假设地址前缀列表中配置了以下两个节点,则匹配的结果是路由1.1.1.1/24Deny,路由1.1.1.1/32Permit,其他3条路由都被Deny

    Ip ip-prefix aaindex 10 deny 1.1.1.1 24

    Ip ip-prefix aaindex 20 permit 1.1.1.1 32

    这种情况属于多节点的精确匹配,即路由1.1.1.1/24在匹配节点10时,满足匹配条件,但是匹配模式是Deny,所以属于匹配成功但被Deny;而路由1.1.1.1/32在匹配节点10时,不满足匹配条件,则继续匹配节点20,此时匹配成功,且节点20的匹配模式是permit,所以属于匹配成功并被Permit;其他3条由于都不符合节点1020的条件,属于未匹配成功被默认Deny

    ②只指定子网掩码长度和掩码长度上限:假设地址前缀列表配置为ip ip-prefix aa index 10 permit 1.1.1.1 24 less-equal 32,则表示配置结果为greater-equal-value=24less-equal-value=32,此时的配置结果为路由1.1.1.1/241.1.1.1/261.1.1.1/32均被Permit,其他2条路由被Deny

    在这种情形中,配置时要注意,各掩码长度参数必须满足以下条件:mask-lengthgreater-equal-valueless-equal-value,否则配置不成功。

    ③只指定子网掩码长度和掩码长度下限:假设地址前缀列表配置为ip ip-prefix aa index 10 permit 1.1.1.1 24 greater-equal 26,表示配置结果为greater-equal-value=26less-equal-value=32,此时的匹配结果是路由1.1.1.1/261.1.1.1/32这两条路由均被Permit,其他三条被Deny

    ④同时指定子网掩码长度、掩码长度下限和掩码长度上限:假设地址前缀列表配置为ip ip-prefix aa index 10 permit 1.1.1.1 24 greater-equal 26less-equal 32,则表示配置结果为greater-equal-value=26less-equal-value=32,此时的匹配结果为路由1.1.1.1/261.1.1.1/32这两条路由均被Permit,其他三条被Deny

    可见如果一个匹配条件中指定了greater-equal-value参数,而less-equal-value参数为最大值32,则与仅指定相同的greater-equal-value参数值(不指定less-equal-value参数)的匹配条件的匹配结果是一样的。

    3)通配地址匹配

    在地址前缀列表中,当匹配的路由目的IP地址为0.0.0.0时,代表为通配地址,它又会因为所配置的子网掩码长度参数的不同而有不同的匹配结果。

    ①只指定子网掩码长度和掩码长度上限

    假设地址前缀列表配置为ip ip-prefixaa index 10 permit 0.0.0.0 8 less-equal 32,则表示配置结果为greater-equal-value=8less-equal-value=32,由于0.0.0.0为通配地址,所以所有掩码长度在832之间的路由全部被Permit,即匹配所有掩码长度在832之间的路由。最终结果为1.1.1./241.1.1.1/261.1.1.1/322.2.2.2/241.1.1.1/165条路由均被Permit

    ②只指定子网掩码长度和掩码长度下限

    假设地址前缀列表中配置了以下两个节点,则表示配置结果为对于节点10greater-equal-value=24less-equal-value=32,由于0.0.0.0为通配地址,即所有掩码长度在2432之间的路由全部被Deny;对于节点20greater-equal-value=0less-equal-value=32,由于0.0.0.0为通配地址,所有其他路由全部被Permit。最终的匹配结果为只有路由1.1.1.2/16Permit,其他4条均被Deny

    Ip ip-prefix aa index 10 deny 0.0.0.0 24 less-equal 32

    Ip ip-prefix aaindex 20 permit 0.0.0.0 0 less-equal 32

    ③多节点匹配

    假设地址前缀列表中配置了以下两个节点,则表示配置结果为:对于节点10,符合条件的路由2.2.2.2/24Deny,对于节点20,其他的4条路由都被Permit。即最终的匹配结果为除路由2.2.2.2/24外的其他路由被Permit

    Ip ip-prefix aaindex 10 deny 2.2.2.2 24

    Ip ip-prefix aaindex 20 permit 0.0.0.0 0 less-equal 32

    示例1:配置名为p1的地址前缀列表,只允许10.0.192.0/8网段内,掩码长度在17~18之间的路由通过

    <Huawei>system-view

    [Huawei]ipip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18

    示例2:配置名为p3的地址前缀列表,拒绝0.0.0.1~0.255.255.255范围内的所有路由通过,允许其他路由通过

    <Huawei>system-view

    [Huawei]ip ip-prefix p3 index 10 deny 0.0.0.0 8 match-network

    [Huawei]ip ip-prefix p3 index 20 permit 0.0.0.0 0 less-equal 32

    示例3:配置名为abc的地址前缀列表,仅过滤掉10.1.0.0/1610.2.0.0/1610.3.0.0/16三个网段的路由,而其他网段的路由信息可以通过。

    <Huawei>system-view

    [Huawei]ip ip-prefix abc index 10 deny 10.1.0.0 16

    [Huawei]ip ip-prefix abc index 20 deny 10.2.0.0 16

    [Huawei]ip ip-prefix abc index 30 deny 10.3.0.0 16

    [Huawei]ip ip-prefix abc index 40 permit 0.0.0.0 0 less-equal 32

    二、配置AS路径过滤器

    AS路径过滤器是利用BGP路由携带的AS-Path列表对路由进行过滤。在不希望接收某些AS的路由时,可以利用AS路径过滤器对携带这些AS号的路由进行过滤。当网络环境比较复杂时,如果利用ACL或地址前缀列表过滤BGP路由,则需要定义多个ACL或前缀列表,配置繁琐。这时可使用AS路径过滤器。

    1AS路径过滤器配置

    BGP中配置AS路径过滤器的方法是在系统视图下配置ip as-path-filter {as-path-filter-number|as-path-filter-name} {deny | permit}regular-expression命令。

    as-path-filter-number:二选一参数,指定AS路径过滤器号,取值范围为1~256的整数。

    as-path-filter-name:二选一参数,指定AS路径过滤器名称,1~51个字符,区分大小写,不支持空格,且不能都是数字。

    deny:二选一参数,指定AS路径过滤器的匹配模式为拒绝模式。

    permit:二选一参数,指定AS路径过滤器的匹配模式为允许模式。

    regular-expression:指定用于过滤AS路径的正则表达式,为1~255个字符。如:^200.*100$,表示匹配所有以AS200开始、以AS100结束的AS路径域。

    通过display ipas-path-filter [as-path-filter-number | as-path-filter-name]命令查看已配置的AS路径过滤器信息。

    本命令配置的AS路径过滤器可以在peer {group-name |ipv4-address}as-path-filter{as-path-filter-number| as-path-filter-name}{import |export}命令中直接被调用,应用于路由过滤,游客在路由策略中作为if-match as-path-filter命令的过滤条件。

    AS路径过滤器中,AS路径过滤器号(名称)相同的本命令之间是“与”的关系,也就是必须同时匹配同一名称的AS路径过滤器中的所有条件才算最终匹配。而在同一个AS路径过滤器编号下,可以定义多条规则(PermitDeny)。

    2、正则表达式

    正则表达式描述了一种字符串匹配的模式。

    一些常用的AS路径正则表达式

    ^$:表示匹配的字符串为空,即AS_PATH为空,表示只匹配本地路由。

    .*:表示匹配任意字符串,即AS_PATH为任意,表示匹配所有路由。

    ^100:表示匹配的字符串开始为100,即AS_PATH最左边AS3位(最后一个AS)为100,后面可能还有AS,表示匹配由AS100发来的所有路由,包括AS100始发和由AS100转发的路由

    ^100_:表示匹配的字符串开始为100,后面为符号,即AS_PATH最左边AS(最后一个AS)为100,后面一定还有其他AS,表示匹配AS100转发(路径中至少有两个AS)的路由。比较前一个表达式^100可看出,“_”可以和用来限制仅匹配由某AS转发的路由

    _100$:表示匹配的字符串最后为100,即AS_PATH最右边AS(起始AS)为100,表示匹配AS100始发的路由。

    _100_:表示匹配的字符串中间有100,即AS_PATH中间有AS100,表示匹配经过AS100,且在AS路径中,AS100既不是第一个AS,也不是最后一个AS的路由。

    示例1:创建序号为1AS路径过滤器,允许AS路径中以10开始的路由通过。

    <Huawei>system-view

    [Huawei]ipas-path filter 1 permit ^10

    示例2:创建序号为2AS路径过滤器,允许AS路径中包含20的路由通过。

    <Huawei>system-view

    [Huawei]ipas-path filter2 permit [20]

    示例3:创建序号为3AS路径过滤器,不允许AS路径中包含30的路由通过。

    <Huawei>system-view

    [Huawei]ipas-path filter 3 deny [30]

    [Huawei]ipas-path-filter 3 permit .*

    三、配置团体属性过滤器

    团体属性可以标识具有相同特征(如来自或经过同一个或多个AS,具有相同的MED属性,具有相同有本地优先级属性等)的路由,而不用考虑零散路由前缀和繁多的AS号。团体属性过滤器与团体属性配合使用,可以在不使用地址前缀列表和AS属性过滤器时降低路由管理难度。

    团体属性过滤器有两种类型:基本团体属性过滤器和高级团体属性过滤器。基本团体属性过滤器是对已配置的团体路由成员根据其中的路由的团体属性类型进行路由过滤,属于粗放型过滤器;而高级团体属性过滤器是通过正则表达式对符合团体属性过滤条件的路由进行过滤,比基本团体属性过滤器匹配团体属性更灵活。

    基本团体属性过滤器的配置方法是在系统视图下使用ip community-filter {basiccomm-filter-name |basic-comm-filter-num}{permit |deny} [community-number |aa:nn |internet |no-export-subconfed |no-advertise| no-export]&<1-20>命令进行的。

    高级团体属性过滤器的配置方法是在系统视图下使用ip community-filter {advanced comm-filter-name | adv-comm-filter-num}{permit | deny} regular-expression命令进行的。

    参数和选项说明:

    1basiccomm-filter-name:二选一参数,指定所配置的基本团体属性过滤器名称。

    2basic-comm-filter-num:二选一参数,指定基本团体属性过滤器号,1~99

    3advancedcomm-filter-name:二选一参数,指定高级团体属性过滤器名称。

    4adv-comm-filter-num:二选一参数,指定高级团体属性过滤器号,100~199

    5deny:二选一参数,指定团体属性过滤器的匹配模式为拒绝模式。

    6permit:二选一参数,指定团体属性过滤器的匹配模式为允许模式。

    7community-number:多选一参数,指定要过滤路由的整数形式团体号(需要事先创建对应的团体属性),取值范围为0~4294967295的整数。一条命令最多可以指定20个团体号(与后面配置的选项类型有关),包括冒号分隔形式配置的aa:nn团体号。

    8aa:nn:多选一参数,指定要过滤路由的冒号分隔形式团体号,aann都是整数形式,取值范围均为0~65535。一条命令最多可以指定20个团体号。在配置团体号时要注意以下几个方面:

    ●如果不配置internetno-export-subconfedno-advertiseno-export选项,则community-numberaa:nn一共可以指定20个。

    ●如果配置internetno-export-subconfedno-advertiseno-export中的一个选项,则community-numberaa:nn一共可以指定19个。

    ●如果配置internetno-export-subconfedno-advertiseno-export中的两个选项,则community-numberaa:nn一共可以指定18个。

    ●如果配置internetno-export-subconfedno-advertiseno-export中的三个选项,则community-numberaa:nn一共可以指定17个。

    ●如果配置internetno-export-subconfedno-advertiseno-export选项,则community-numberaa:nn一共可以指定16个。

    9internet:多选一选项,指定要过滤指定团体号中internet类型团体属性的路由,这是预定义的团体属性。缺省情况下,所有的路由都具有internet类型团体属性,可以被通告给所有的BGP对等体。

    10no-advertise:多选一选项,指定要过滤指定团体号中no-advertise类型团体属性的路由,具有此属性的路由在收到后,不能被通告给任何其他的BGP对等体。

    11no-export:多选一选项,指定要过滤指定团体号中no-export类型团体属性的路由,具有此属性的路由在收到后,不能被发布到本地AS之外。如果使用了联盟,则不能被发布到联盟之外,但可以发布给联盟中的其他子AS

    12no-export-subconfed:多选一选项,指定要过滤指定团体号中no-export-subconfed类型团体属性的路由,具有此属性的路由在收到后,不能被发布到本地AS之外,也不能发布到联盟中的其他子AS

    13regular-expression:指定用于路由过滤的团体属性正则表达式名称。

    配置后可通过display ipcommunity-filter [basic-comm-filter-num | adv-comm-filter-num | comm.-filter-name]查看已配置团体属性过滤器信息。

    示例1:配置团体号为1的基本团体属性过滤器,允许internet类型团体属性的BGP路由信息通过。

    <Huawei>system-view

    [Huawei]ipcommunity-filter 1 permit internet

    示例2:配置团体号为100的高级团体属性过滤器,允许团体属性值(为整数形式,或者aa:nn形式)以“10”开头的路由信息通过。

    <Huawei>system-view

    [Huawei]ipcommunity-filter 100 permit ^10

    配置路由策略

    路由策略用来根据路由信息的某些属性过滤路由信息,并改变与路由策略规则匹配的路由信息的属性。要配置路由策略,首先要创建一个路由策略,然后创建策略中的具体节点(一个路由策略可以包括多个节点)。一个节点下可以配置以下子句配置路由策略匹配条件和操作动作(一个路由策略中可以包含多个匹配条件和操作动作)。

    if-match子句:定义节点匹配规则,即路由信息通过当前路由策略所需满足的条件,匹配对象是路由信息的某些属性。

    apply子句:指定路由策略动作,也就是在满足由if-match子句指定的过滤条件后所执行的一些属性配置动作,对路由的某些属性进行修改。

    在配置路由策略之前,需要先配置过滤列表和对应的路由协议,并事先规划好路由策略的名称、节点序号、匹配条件以及要修改的路由属性值。

    一、创建路由策略

    一个路由策略可以包括多个节点,每一节点由一些if-match子句和apply子句组成。If-match子句定义该节点的匹配规则,apply子句定义通过该节点过滤后进行的动作。但路由策略节点之间的过滤关系是“或”的关系,即通过一个节点的过滤就意味着通过该路由策略的过滤。若没有通过任何一个节点的过滤,则表示没有通过该路由策略的过滤。所以在一个路由策略中,至少有一个节点的匹配模式是permit,否则所有路由将都被禁止通过。

    路由策略的创建方法是在系统视图下使用route-policyroute-policy-name {permit |deny}nodenode命令即可。

    route-policy-name:指定要创建的路由策略的名称,用来唯一标识一个路由策略,为1~40个字符的字符集,区分大小写。如该名称的路由策略不存在,则创建一个新的路由策略并进入它的Route-Policy视图;如果已经存在,则直接进入它的Route-Policy视图。

    permit:二选一选项,指定所定义的路由策略节点的匹配模式为允许模式。当路由满足该节点的所有if-match子句时才被允许通过,并执行该节点的apply子句;如果路由项不满足该节点下任何一个if-match子句,将继续测试该路由策略的下一个节点。

    deny:二选一选项,指定所定义的路由策略节点的匹配模式为拒绝模式。当路由满足该节点的所有if-match子句时将被拒绝通过;如果路由不满足该节点下任何一个if-match子句,将继续测试该路由策略的下一个节点。

    node node:标识路由策略中的一个节点号,节点号小的进行匹配,取值范围为0~65535的整数。当一个节点匹配成功后,该路由将不再匹配其他节点。当全部节点匹配失败后,该路由将被过滤,不允许通过。

    为便于区分不同的路由策略,可在路由策略视图下通过description text命令配置描述信息。

    示例:创建一个名为policy1的路由策略,其节点序列号为10,匹配模式为permit,并进入路由策略视图。

    <Huawei>system-view

    [Huawei]route-policypolicy1 permit node 10

    [Huawei-route-policy]

    二、配置if-match子句

    If-match子句是路由策略中用来匹配条件的子句,它可根据多种路由属性来进行匹配,如路由的目的IP地址、路由标记、路由下一跳、路由源IP地址、路由出接口】路由开销、路由类型、BGP路由的团体属性、BGP路由的扩展团体属性、BGP路由的AS路径属性等。

    If-match子句命令是并列关系,没有严格的先后次序。在同一路由策略节点下配置了多个if-match子句,则各if-match子句之间是逻辑“与”关系,即必须与该节点下的所有if-match子句匹配成功。对于同一个路由策略节点,if-match acl命令和if-match ip-prefix命令不能同时配置,且后配置的命令会覆盖先配置的命令。




    三、配置apply子句

    Apply子句用来为路由策略指定动作,用来设置匹配成功的路由的属性。在一个节点中,如果没有配置apply子句,则该节点仅起过滤路由的作用。如果配置一个或多个apply子句,则通过节点匹配的路由将执行所有apply子句。







    四、配置路由策略生效时间

    为了保障网络的稳定性,修改路由策略时可以控制路由策略的生效时间。

    配置后路由策略后,可通过displayroute-policy [route-policy-name]查看路由策略的详细配置信息。

    五、AS_Path过滤器配置示例

     

    如上拓扑,RouterARouterBRouterBRouterC之间建立EBGP连接。希望AS10的设备和AS30的设备无法相互通信。

        1、基本配置思路

    除需要进行基本的BGP功能配置(配置EBGP对等体以及引入直连路由)外,还需要在RouterB上配置一个AS_Path过滤器。可采用如下思路配置BGPAS_Path过滤器,使AS20不向AS10发布AS30的路由,也不向AS30发布AS10的路由。

    2、具体配置步骤

    ①配置各接口的IP

    <RouterA>system-view

    [RouterA]interface gigabitethernet 2/0/0

    [RouterA-GigabitEthernet2/0/0]ip address200.1.2.1 24

    ②配置各路由器的EBGP对等体连接,同时引入直连路由,以使它们彼此三层互通。ABC的路由器ID分别设为1.1.1.12.2.2.23.3.3.3

    配置后,通过display bgp routing-table查看各处的BGP路由表。

    RouterB发布给RouterCBGP路由表如上,RouterB除发布自己引入的直连路由和从RouterC学习到的直连路由外,还向RouterC发布了AS10引入的直连路由9.1.1.0/24

    RouterC通过RouterB学习到了9.1.1.0/24这条路由。

    ③在RouterB上配置AS_Path过滤器,并在RouterB的出方向上应用该过滤器。

    首先创建编号为1AS_Path过滤器,拒绝包含AS30的路由通过(正则表达式“_30_”表示任何包含AS30AS列表,“.*”表示与任何字符匹配)。

    此时在通过display bgp routing-table查看RouterB发往AS30的发布路由表,可看到表中没有RouterB发布的AS10引入的直连路由:

     

    RouterCBGP路由表里也没有这些路由:

    查看RouterB发往AS10的发布路由表,表中没有RouterB发布的AS30引入的直连路由:

    同样RouterABGP路由表中也没有这些路由:

    六、接收和发布路由过滤的配置示例

    如上拓扑,在运行OSPF协议的网络中,RouterAInternet网络接收路由,并为OSPF网络提供了Internet路由。现要求OSPF网络只能访问172.1.17.0/24172.1.18.0/24172.1.19.0/24三个网段的网络,其中RouterC连接的网络只能访问172.1.18.0/24网段的网络。

        1、基本配置思路

    可利用IP地址列表过滤器对发布和接收的路由进行过滤

    ①在RouterA上配置过滤策略,使其在路由发布时仅提供172.1.17.0/24172.1.18.0/24172.1.19.0/24路由给RouterB,使得OSPF网络只能访问172.1.17.0/24172.1.18.0/24172.1.19.0/24三个网段的网络。

    ②在RouterC上配置过滤策略,使其在进行路由引入时仅接收172.1.18.0/24路由,使得RouterC连接的网络只能访问172.1.18.0/24

    2、具体配置步骤

    ①配置各路由器的接口IP

    <RouterB>system-view

    [RouterB]interface gigabitethernet 1/0/0

    [RouterB-GigabitEthernet1/0/0]ip address 192.168.1.224

    [RouterB-GigabitEthernet1/0/0]quit

    [RouterB]interface gigabitethernet 2/0/0

    [RouterB-GigabitEthernet2/0/0]ip address192.168.3.1 24

    [RouterB-GigabitEthernet2/0/0]quit

    [RouterB]interface gigabitethernet 3/0/0

    [RouterB-GigabitEthernet3/0/0]ip address192.168.2.1 24

    [RouterB-GigabitEthernet3/0/0]quit

    ②配置OSPF网络中各路由器的OSPF基本功能,使彼此三层互通。因为位于一个区域中,所以只能采用骨干区域0进行配置,进程号为缺省的1

    ③在RouterA上配置5条静态路由,并将这些静态路由引入OSPF协议中。这里的5条静态路由均为黑洞(出接口为NULL0)静态路由。

    RouterB上通过display ip routing-table查看IP路由表,可见OSPF成功引入了5条静态路由:

    ④配置路由发布过滤策略。首先在RouterA上配置IP地址前缀列表a2b,仅允许172.1.17.0/24172.1.18.0/24172.1.19.0/24三个网段的路由通过。

    [RouterA]ip ip-prefix a2b index 10 permit172.1.17.0 24

    [RouterA]ip ip-prefix a2b index 10 permit172.1.18.0 24

    [RouterA]ip ip-prefix a2b index 10 permit172.1.19.0 24

    然后在RouterA上创建一个IP地址前缀列表过滤器,调用前面创建的IP地址前缀列表a2b对发布的静态路由进行过滤。

    [RouterA]ospf

    [RouterA-ospf-1]filter-policy ip-prefix a2bexport static

    此时在RouterB上通过display ip routing-table查看IP路由表,可见仅接收3条路由:

    ⑤配置路由接收过滤策略。在RouterC上配置一个IP地址前缀列表in,仅允许接收172.1.18.0/24的路由。

    [RouterC]ip ip-prefix in index 10 permit 172.1.18.024

    RouterC上配置接收策略,引用地址前缀列表in进行过滤:

    [RouterC]ospf

    [RouterC-ospf-1]filter-policy ip-prefix inimport

    RouterC上通过display ip routing-table查看IP路由表,仅接收了in中定义的1条路由:

    RouterD的本地IP路由表接收了RouterB发送的所有路由:

    但通过display ospf routing查看RouterCOSPF路由表时,可以看到OSPF路由表中仍然接收了IP地址列表a2b中所定义的全部3条路由。因为filter-policy import命令用于过滤从协议路由表加入本地IP路由表的路由,不过滤加入协议路由表中的路由。

    七、在路由引入时应用路由策略的配置示例

    如上拓扑,RouterBRouterA之间通过OSPF协议交换路由信息,与RouterC之间通过IS-IS协议交换路由信息。要求在RouterB上将IS-IS网络中路由引入OSPF网络,172.17.1.0/24路由的选路优先级较低;172.17.2.0/24路由具有标记,以便以后运用路由策略。

        1、基本配置思路

    采用路由策略对引入的路由进行控制

    ①在RouterB上配置路由策略,将172.17.1.0/24的路由开销设置为100(路由的缺省开销值为0),并在OSPF引入IS-IS路由时应用路由策略,使得OSPF网络中172.17.1.0/24路由的选路优先级较低;将172.17.2.0/24的路由的Tag属性设置为20,使得路由172.17.2.0/24具有标识,方便下面应用路由策略。

    ②在RouterB上配置路由策略,将172.17.2.0/24的路由的tag属性设置为20,并在OSPF引入IS-IS路由时应用路由策略,使得路由172.17.2.0/24具有标识,方便以后运用路由策略。

    2、具体配置步骤

    ①配置各路由器的接口IP

    <RouterB>system-view

    [RouterB]interface gigabitethernet 1/0/0

    [RouterB-GigabitEthernet1/0/0]ip address192.168.1.2 24

    [RouterB-GigabitEthernet1/0/0]quit

    [RouterB]interface gigabitethernet 2/0/0

    [RouterB-GigabitEthernet2/0/0]ip address192.168.2.2 24

    [RouterB-GigabitEthernet2/0/0]quit

    ②在RouterCRouterB上配置IS-IS协议基本功能,假设区域ID10,各自的SystemID分别为0000.0000.00010000.0000.0002。因为本例IS-IS网络中只有一个区域,所以它们均只能作为骨干路由器,即Level-2路由器。

    ③在RouterARouterB上配置OSPF协议基本功能,并配置RouterB引入IS-IS路由。同样由于只有一个区域,只能采用骨干区域0

    RouterA上通过display ospf routing查看OSPF路由表,可看到由RouterB引入并通告的IS-IS路由:

    ④在RouterB上配置基本ACL(也可采用IP地址前缀列表)的过滤,仅允许172.17.2.0/24路由信息通过,用于下面在路由策略中为该路由配置路由标记。

    [RouterB]aclnumber 2002

    [RouterB-basic-2002]rulepermit source 172.17.2.0 0.0.0.255

    [RouterB-basic-2002]quit

    配置名为prefix-aIP地址前缀列表(也可采用基本ACL过滤),仅允许172.17.1.0/24路由信息通过,用于路由策略中为该路由重新配置路由开销值。

    [RouterB]ipip-prefix prefix-a index 10 permit 172.17.1.0 24

    创建一条路由策略,并分别调用前面配置的ACLIP地址前缀列表,为172.17.2.0/24路由信息打上标记号20,为172.17.1.0/24路由信息设置路由开销值为100,降低它的优先级。

    加入的节点30的策略项没有if-matchapply子句,节点30不是可有可无的。因为在路由策略中,是按照路由策略各节点从小到大依次进行匹配的,如果没有30这个节点策略,则凡是不与节点10和节点20的策略匹配的所引入的IS-IS路由都将被拒绝通过。这显然与示例要求不符,所以必须加上节点30,直接让其他引入的IS-IS路由通过,但不做属性修改。

    ⑤配置RouterB在路由引入时应用前面创建的路由策略

    [RouterB]ospf

    [RouterB-ospf-1]import-route isis 1route-policy isis2ospf

    [RouterB-ospf-1]quit

    此时在RouterA上查看OSPF路由表,从中看到目的地址为172.17.1.0/24的路由开销值为100,目的地址为172.17.2.0/24的路由标记域(Tag)为20,其他路由属性未发生变化。

     

    展开全文
  • 路由策略简介,基本原理,配置路由策略-配置地址前缀列表、配置AS属性过滤器\配置团体属性过滤器
  • 策略路由基础“路由策略”(Routing Policy,RP)与“策略路由”(Policy-BasedRouting,PBR)有着本质上的区别。...“路由策略”主要用来实现路由表中的路由过滤路由属性设置等功能。它通过改变路由属性...

    策略路由基础

    “路由策略”(Routing PolicyRP)与“策略路由”(Policy-BasedRoutingPBR)有着本质上的区别。“路由策略”中的“路由”是名词,而“策略”是动词,操作对象是路由信息。“路由策略”主要用来实现路由表中的路由过滤和路由属性设置等功能。它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。而“策略路由”中的“策略”是名词,“路由”却变成了动词,是基于策略的路由(这里的“路由”也是动词),操作对象是数据报文,是在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要按照某种策略改变数据报文转发路径

    一、策略路由概述

    传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由正是这样一种可依据用户制定的策略进行报文路由选路的机制。策略路由可使网络管理者不仅能够根据报文的目的地址,而且能够根据报文的源地址、报文大小和链路质量等属性来制定策略路由,以改变报文转发路径,满足用户需求。

    策略路由具有如下优点:

    ①可以根据用户实际需求制定策略进行路由选择,增强路由选择的灵活性和可控性

    ②可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。

    ③在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务成本。

     

    华为系列路由器支持三种策略路由:本地策略路由、接口策略路由和智能策略路由(Smart Policy RoutingSPR)。设备配置策略路由后,当设备下发或转发数据报文时,系统首先根据策略路由转发,若没有配置策略路由或配置了策略路由但找不到匹配的表项时,再根据路由表来转发。

    缺省情况下,设备的SPR功能受限无法使用,需要使用License授权。

    二、本地策略路由

    “本地策略路由”是仅对本机发送的报文(比如本地的Ping报文)有效的策略路由,对转发的报文不起作用

    一条本地策略路由可以配置多个策略点,并且这些策略点具有不同的优先级,本机发送的报文优先匹配优先级高的策略点。本地策略路由支持基于ACL或报文长度的匹配规则。

    在本地策略路由中,当本机下发报文时,会根据本地策略路由节点的优先级,依次匹配各节点绑定的匹配规则。如果找到了匹配的本地策略路由节点,则按照以下步骤发送报文;如果没有找到匹配的本地策略路由节点,按照发送IP报文的一般流程,根据目的地址查找路由。

    1)查看用户是否设置了报文的优先级

    如果用户设置了报文的优先级,则首先根据用户设置的优先级设置报文的优先级,然后继续执行下一步;否则直接进行下一步。由此看出,报文的优先级是首先要考虑的规则。

    2)查看用户是否设置了本地策略路由的出接口

    如果用户设置了出接口,将报文从出接口发送出去,不再执行下面步骤;否则直接进行下一步。

    3)查看用户是否设置了本地策略路由的下一跳

    ①如果设置了策略路由的下一跳,且下一跳可达,则查看是否设置了下一跳联动路由。

    a、如果设置了下一跳联动路由功能,设备会根据配置的联动路由的IP地址检测该IP地址是否路由可达。

    ●如果该IP地址路由可达,则配置的下一跳生效,设备将报文发往下一跳,不再执行下面步骤。

    ●如果该IP地址路由不可达,则配置的下一跳不生效,设备会继续查看是否配置备份下一跳。

    ☞如果用户配置了备份下一跳,且备份下一跳可达,将报文发往备份下一跳,不再执行下面的步骤。

    ☞如果用户未配置备份下一跳,或配置的备份下一跳不可达,则按照正常流程根据报文的目的地址查找路由。如果没有查找到路由,则执行下一步。

    b、如果用户未设置下一跳联动路由功能,将报文发往下一跳,不再执行下面的步骤。

    ②如果设置了策略路由的下一跳但下一跳不可达,则设备会继续查看是否配置备份下一跳。

    a、如果用户配置了备份下一跳,且备份下一跳可达,将报文发往备份下一跳,不再执行下面的步骤。

    b、如果用户未配置备份下一跳,或配置的备份下一跳不可达,则按照正常流程根据报文的目的地址查找路由。如果没有查找到路由,则执行下一步。

    ③如果用户未设置下一跳,则按照正常流程根据报文的目的地址查找路由。如果没有查找到路由,则执行下一步。

    4)查看用户是否设置了本地策略路由的缺省出接口

    ①如果用户设置了缺省出接口,将报文从缺省出接口发送出去,不再执行下面的步骤。

    ②如果用户未设置缺省出接口,则执行下一步。

    5)查看用户是否设置了本地策略路由的缺省下一跳

    ①如果用户设置了缺省下一跳,将报文发往缺省下一跳,不再执行下面的步骤

    ②如果用户未设置缺省下一步,则执行下一步

    6)丢弃报文产生ICMP_UNREACH消息

    三、接口策略路由

    接口策略路由仅对转发的报文起作用,对本地发送的报文不起作用,且只对接口入方向的报文生效

    接口策略路由是通过在流行为中配置重定向实现的。缺省情况下,设备按照路由表的下一跳进行报文转发,如果配置了接口策略路由,则设备按照接口策略路由指定的下一跳进行转发。

    在按照接口策略路由指定的下一跳进行报文转发时,如果设备上没有该下一跳IP地址对应的ARP表项,设备会触发ARP学习。如果设备上有,或者学习到了此ARP表项,则按照接口策略路由指定的下一跳IP地址进行报文转发;如果一直学习不到下一跳IP地址对应的ARP表项,则报文按照路由表指定的下一跳进行转发。

    四、智能策略路由

    随着网络业务需求的多样化,业务数据的集中放置,链路质量对网络业务越来越重要。很多用户把关注点从网络的连通性转移到业务的可用性上,如业务的可获得性、响应速度和业务质量等。这些复杂的业务需求给传统的基于逐跳的路由协议提出了挑战,它们无法感知链路的质量和业务的需求,所以带给用户的业务体验也得不到保障,即使路由可达,但链路质量可能已经很差甚至无法正常转发报文了。

    智能策略路由SPR就是在这一背景下产生的一种策略路由。它可以主动探测链路质量并匹配业务的需求,通过匹配链路质量和网络业务对链路质量的需求,从而选择一条最优链路转发业务数据,可以有效地避免网络黑洞、网络振荡等问题。

    1、业务区分

    SPR支持通过以下属性对业务进行区分。

    ①根据协议类型区分:IPTCPUDPGREIGMPIPINIPOSPFICMP

    ②根据报文应用区分:DSCP(区分服务代码点),TOS(服务类型),IPPrecedenceIP优先级),Fragment(分片),VPNTCP-flagTCP标志)。

    ③根据报文信息区分:Source IPAddress(源IP地址),Destination IP Address(目的IP地址),Protocol(协议),Source Port(源端口),Destination Port(目的端口),Source IP Prefix(源IP地址前缀),Destination IP Prefix(目的IP地址前缀)。

    不同的业务对链路的时延DDelay)、抖动时间JJitter)、丢包率LLoss)以及CMICompositeMeasure Indicator,综合度量指标)有不同的要求,如果业务对链路的某一项质量参数没有要求,就不需要配置该参数的阀值。

    2、探测链路和链路组

    探测链路是SPR实现智能选路的基础,每个探测链路都有一个与之相对应的探针,即NQANetwork Quality Analysis,网络质量分析)测试例。如果测试失败,则表示对应的探测链路不可用。探测链路通过探针获取链路参数的质量,SPR根据探测链路的链路质量匹配业务需求,从而实现智能选路的需求。

    SPR的链路角色分为主用链路组、备用链路组和逃生链路。当在SPR中业务无法从主用链路组和备用链路组中找到合适的链路传输数据时可以启用逃生链路。SPR根据NQA探测结果进行业务选路的具体流程如下:

    SPR不直接使用探测链路,而是通过链路组的形式使用探测链路。一个探测链路可以加入不同的链路组,同时一个链路组中可以有一条或多条探测链路。同一个链路组可以被不同的业务绑定,如链路组1可以作为业务1的主用链路组,同时也可以作为业务2的备用链路组。

    在业务选路时,如果当前链路上已经部署了业务,则该链路的选择指数将降低,即选择的几率变小,这样宏观上可以达到负载均衡的效果。

    3、切换周期

    SPR中的切换周期计时器主要用于在链路质量不满足业务需求时控制链路切换。

    SPR根据NQA探测结果判断链路是否满足业务需求,SPR会定期获取NQA的探测结果,如果某次获取的NQA探测结果不满足业务需求,则切换周期计时器开始计时。在开始计时后到切换周期到达之前,如果某次获取的探测结果满足了业务需求,则切换周期计时器清零,直到下次获取到不满足业务需求的探测结果时会再次开始计时。如果计时器开始计时后,在切换周期内获取到的探测结果都不能满足业务需求,则SPR切换链路。

    4、震荡抑制周期

    某些情况下,网络会出现时好时坏的情况,从而导致SPR频繁切换链路,这样会严重影响业务体验。SPR的抑制振荡功能可以有效避免此类情况产生。但振荡抑制周期默认情况下不生效,周期值由用户自己配置。

    SPR切换链路后,震荡抑制周期计时器开始计时,如果业务驻留链路的时间没有达到震荡抑制周期的时间,则SPR不会执行链路切换。震荡抑制周期超时后,如果在一个切换周期内链路还是不满足业务需求,则SPR将切换链路;如果在一个切换周期内链路质量变好,满足业务需求,则SPR不会切换链路。

    本地策略路由配置与管理

    通过配置本地策略路由,可以控制直接由本机发送的报文通过指定的出接口进行发送。也就是,本地策略路由只对主机面下发的数据生效。

    本地策略路由配置思路是:先配置用于数据报文匹配的本地策略路由的匹配规则,然后配置本地策略路由的动作,最后再出接口上应用以上配置的本地策略路由。

    按顺序配置以下任务:

    ①创建一个本地策略路由。

    ②通过apply命令配置本地策略路由的动作。

    ③在系统视图下全局应用前面创建的本地策略路由。

    在配置本地策略路由之前,需完成:

    ●配置接口的链路层协议参数,使接口的链路协议状态为Up

    ●配置用于匹配报文的ACL。这里就不仅限于基本ACL,还可以用高级ACL同时过滤报文的源IP地址、目的IP地址、源端口、目的端口等。

    ●如果希望报文进入VPN,则需要预先配置VPN

    一、配置本地策略路由的匹配规则

    定义要通过本地策略路由进行过滤的报文,通过ACL或者匹配报文长度进行过滤。

    二、配置本地策略路由的动作

    是指对通过本地策略路由的报文进行出接口、下一跳(相当于对流进行重定向),或IP报文优先级指定等。配置时要注意:

    ①如果策略中设置了两个下一跳,那么报文转发在两个下一跳之间负载分担。

    ②如果策略中设置了两个出接口,那么报文转发在两个出接口之间负载分担。

    ③如果策略中同时设置了两个下一跳和两个出接口,那么报文转发仅在两个出接口之间负载分担。



    三、应用本地策略路由

    应用本地策略路由的方法是在系统视图下通过iplocal policy-based-route policy-name使能这条本地策略路由即可。这样在本机上直接发送的报文(不包括转发的报文)都将应用所使能的本地策略路由。但要注意,一台路由器只能使能一个本地策略路由(但可以创建多条本地策略路由),且本命令为覆盖式命令,多次执行该命令后,仅最后一次配置结果生效。要使能其他本地策略路由时,必须先去使能正在应用的另一条本地策略路由

    四、本地策略路由管理

    display ippolicy-based-route:看本地已使能的策略路由的策略。

    display ip policy-based-routesetup local [verbose]:看本地策略路由的配置情况。

    display ippolicy-based-route statistics local:看本地策略路由报文的统计信息。

    displaypolicy-based-route [policy-name [verbose]]:看已创建的策略内容。

    五、本地策略路由配置示例

    如上拓扑,RouterARouterB间有两条链路相连。现要求RouterA在发送不同长度的报文时通过不同的下一跳地址进行转发。

        ①长度为64~1400字节的报文设置150.1.1.2作为下一跳地址。

    ②长度为1401~1500字节的报文设置151.1.1.2作为下一跳地址。

    ③所有其他长度的报文都按基于目的地址的方法进行路由选路。

        1、基本配置思路

    仅需要在RouterA上配置一条匹配报文长度的本地策略路由,然后在RouterA上使能这条本地策略路由即可。因为有两个不同的报文长度匹配规则,所以需要配置两个不同的本地策略路由的策略点。

    配置本地策略路由前,首先先配置这两台路由器上的各接口IP,为了使双方能与对方的Loopback接口所有网络互通(报文长度不再64~1400字节或1401~1500字节范围内的报文能够按照路由中配置的下一跳进行转发),还需要配置路由。

    2、具体配置步骤

    ①配置各接口IP

    RouterA上的配置:

    <RouterA>system-view

    [RouterA]interfacegigabitethernet 1/0/0

    [RouterA-GigabitEthernet1/0/0]ipaddress 150.1.1.1 255.255.255.0

    [RouterA-GigabitEthernet1/0/0]quit

    [RouterA]interfacegigabitethernet 2/0/0

    [RouterA-GigabitEthernet2/0/0]ipaddress 151.1.1.1 255.255.255.0

    [RouterA-GigabitEthernet2/0/0]quit

    [RouterA]interfaceloopback 0

    [RouterA-LoopBack0]ipaddress 10.1.1.1 255.255.255.0

    [RouterA-LoopBack0]quit

    RouterB上的配置:

    <RouterB>system-view

    [RouterB]interfacegigabitethernet 1/0/0

    [RouterB-GigabitEthernet1/0/0]ipaddress 150.1.1.2 255.255.255.0

    [RouterB-GigabitEthernet1/0/0]quit

    [RouterB]interfacegigabitethernet 2/0/0

    [RouterB-GigabitEthernet2/0/0]ipaddress 151.1.1.2 255.255.255.0

    [RouterB-GigabitEthernet2/0/0]quit

    [RouterB]interfaceloopback 0

    [RouterB-LoopBack0]ipaddress 10.1.2.1 255.255.255.0

    [RouterB-LoopBack0]quit

    ②配置RouterARouterB到达对方Loopback接口所在网络的静态路由。

    [RouterA]iproute-static 10.1.2.0 24 150.1.1.2

    [RouterA]iproute-static 10.1.2.0 24 151.1.1.2

     

    [RouterB]iproute-static 10.1.1.0 24 150.1.1.1

    [RouterB]iproute-static 10.1.1.0 24 151.1.1.1

    ③在RouterA上创建名称为lab1的本地策略路由,用策略点10和策略点20分别配置两种报文长度匹配规则,并分别指定对应策略点的动作,即指定对应的下一跳地址。

    [RouterA]policy-based-routelab1 permit node 10

    [RouterA-policy-based-route-lab1-10]if-matchpacket-length 64 1400

    [RouterA-policy-based-route-lab1-10]applyip-address next-hop 150.1.1.2

    [RouterA-policy-based-route-lab1-10]quit

    [RouterA]policy-based-routelab1 permit node 20

    [RouterA-policy-based-route-lab1-20]if-matchpacket-length 1401 1500

    [RouterA-policy-based-route-lab1-20]applyip-address next-hop 151.1.1.2

    [RouterA-policy-based-route-lab1-20]quit

    RouterA上使能本地策略路由lab1

    [RouterA]iplocal policy-based-route lab1

    验证配置结果:先在用户视图下使用reset counters interface命令清空RouterB上两个接口的报文数统计信息,此时两个接口上的各种报文统计均为0

    <RouterB>resetcounters interface gigabitethernet 1/0/0

    <RouterB>resetcounters interface gigabitethernet 2/0/0

    RouterAPing RouterB上的Loopback0,并将报文数据字段长度设为80字节(发送了5ICMP报文,最终显示接收了5个报文):

    根据配置的本地策略路由,这个长度的报文应该选择的是RouterBGE1/0/0接口。查看RouterB接口统计信息,可以发现GE1/0/0接收和发送报文总数都增加了5,即RouterB接口GigabitEthernet1/0/0在接收到ICMP请求报文后给RouterA发送5ICMP应答报文。

    使用reset counters interface用户视图命令清空RouterB接口统计信息,然后在RouterAPing RouterB上的Loopback0,并将报文数据字段长度设为1401

    查看RouterB接口统计信息。发现GE2/0/0接收和发送报文总数都增加了5

    接口策略路由配置与管理

    配置接口策略路由可以将到达接口转发的报文(不对本机直接发送的报文生效)重定向到指定的下一跳地址。接口策略路由的最终目标是实现匹配规则的流按照QoS流策略实现流重定向,同样包括了QoS流策略配置中的以下4项基本配置任务(需按顺序配置):

    ①定义流分类。

    ②配置流重定向。

    ③配置流策略。

    ④应用流策略。

    在配置接口策略路由前,需完成以下任务:

    ①配置相关接口的IP地址和路由协议,保证路由互通。

    ②如果使用ACL作为接口策略路由的流分类规则,配置相应的ACL

    ③(可选)SACSmartApplication Control,智能应用控制)特征库文件已经上传到设备,保存在设备的存储介质中。

    一、定义流分类

    定义流分类就是将匹配一定规则的报文归为一类,对匹配同一流分类的报文进行相同的处理,是实现差分服务的前提和基础。流分类是通过if-match子句进行匹配的,可以基于报文中的内/外层VLAN ID、源IP地址、IP地址、协议类型、DSCP/IP优先级等进行匹配。





    二、配置流重定向

    配置流重定向就是配置QoS流策略的一种流行为。通过配置重定向,设备将符合流分类规则的报文重定向到指定的下一跳地址或指定接口。但包含重定向动作的流策略只能在接口的入方向上应用

    可以通过与NQA联动,在挽留过链路出现故障时,实现路由快速切换,保障数据流量正常转发,因为NQA是网络故障诊断和定位的有效工具。与NQA实现联动后有以下两种情况。

    ①当NQA检测到与目的IP可达时,按照指定的IP进行报文转发,即重定向生效。

    ②当NQA检测到与目的IP不可达时,系统将按原来的转发路径转发报文,即重定向不生效。

    三、配置并应用流策略

    流策略就是将以上配置的流分类和流行为关联起来,而流策略应用是将配置好的流策略在对应的接口入,或出方向上应用,分别对进入该接口,或从该接口转发的数据报文应用流策略。

    四、接口策略路由管理

    display trafficclassifier user-defined [classifier-name]:查看设备上所有或指定的流分类信息。

    display acl {nameacl-name | acl-number | all}:查看指定的ACL规则的配置信息。

    display acl resource[slot slot-id]:查看所有或指定主板上的ACL规则的资源信息。

    display trafficpolicy user-defined [policy-name [classifier classifier-name]]:查看所有或指定的流策略的配置信息。

    displaytraffic-policy applied-record policy-name:查看指定流策略的应用记录信息。

    display trafficbehavior {system-defined | user-defined} [behavior-name]:查看所有或指定的流行为的配置信息。

    五、接口策略路由配置示例

    如上拓扑,VLAN10VLAN20是企业内部的两个部门,分别通过交换机连接到RouterAGE1/0/0GE2/0/0

    HOSTAHOSTB是同一部门内的两台主机,IP分别为192.168.1.2/24192.168.1.3/24,属于192.168.1.0/24网段;HSOTCHOSTD是另一部门的两台主机,IP分别为192.168.2.2/24192.168.2.3/24,属于192.168.2.0/24网段。RouterA有两条链路连接到Internet,它们是RouterA——>RouterB——>RouterDRouterA——>RouterC——>RouterD。要求:

    ①当RouterA的两条连接到Internet的链路都正常时,企业内部不同网段地址的报文通过不同的链路连接到Internet

    ②当一条链路发生故障时,企业内部不同网段地址的报文都走无故障的链路,避免长时间的业务中断;而当故障链路恢复后,恢复报文从不同链路连接到Internet

    1、基本配置思路

    可考虑采用流重定向与NQA联动,实现在被监控的链路正常时按照流策略定义的重定向行为对流进行重定向转发,而当被监控链路出现故障时,按照路由表中的路由进行转发。这里又涉及一个问题,那就是当链路出现故障时,IP路由表中的路由表项不会立即清除,所以又需利用路由与NQA的联动功能及时删除对应的路由表项(在链路由故障恢复后,该路由又会重新添加到IP路由表中),采用静态路由与NQA联动方式。

    ①配置各设备接口IP即路由协议,使用户能通过RouterA访问Internet

    ②配置NQA测试例,检测链路RouterA——>RouterB——>RouterDRouterA——>RouterC——>RouterD是否正常。

    ③配置NQA和静态路由联动,实现当链路故障时,及时删除路由表中对应路由表项,使流量可以切换到正常链路。

    ④配置流分类,匹配规则为匹配报文的源IP地址,实现基于源地址对报文进行分类。

    ⑤配置流行为,即配置NQA与流重定向联动,实现当NQA测试例检测到链路RouterA——>RouterB——>RouterD正常时,将满足规则的报文重定向到192.168.3.2/24,当NQA测试例检测到链路RouterA——>RouterC——>RouterD正常时,将满足规则的报文重定向到192.168.4.2/24

    ⑥配置流策略,绑定上述流分类和流行为,并应用到相应的接口,实现策略路由。

    2、具体配置步骤

    ①按表所示配置各设备接口的IP

    <RouterA>system-view

    [RouterA]interfacegigabitethernet 1/0/0

    [RouterA-GigabitEthernet1/0/0]ipaddress 192.168.1.1 24

    [RouterA-GigabitEthernet1/0/0]quit

    [RouterA]interfacegigabitethernet 2/0/0

    [RouterA-GigabitEthernet2/0/0]ipaddress 192.168.2.1 24

    [RouterA-GigabitEthernet2/0/0]quit

    [RouterA]interfacegigabitethernet 3/0/0

    [RouterA-GigabitEthernet3/0/0]ipaddress 192.168.3.1 24

    [RouterA-GigabitEthernet3/0/0]quit

    [RouterA]interfacegigabitethernet 4/0/0

    [RouterA-GigabitEthernet4/0/0]ipaddress 192.168.4.1 24

    [RouterA-GigabitEthernet4/0/0]quit

    ②配置各设备间的静态路由。注意,静态路由具有单向性和接力性,必须在各设备上确保双向通信都有所需的连续静态路由。

    ③在RouterARouterD的两条链路之间分别配置NQA测试例。

    RouterA上要配置测试到达RouterDGE1/0/0接口和GE2/0/0接口的两个NQA测试例,所创建的管理者账户都是admin,实例名分别为vlan10vlan20

    RouterD上要配置测试到达RouterAGE3/0/0接口和GE4/0/0接口的两个NQA测试例,所创建的管理者账户都是admin,实例名分别为vlan10vlan20

    ④在RouterARouterD上分别配置与对应NQA测试实例联动、到达目的网络的静态路由。通过配置静态路由与NQA联动,可以实现在链路发生故障后,NQA测试例快速检测到链路变化,并且在IP路由表中把与该NQA测试例联动的静态路由删除,从而影响流量转发的目的。在配置静态路由与NQA联动时,选择的测试实例名称一定要与静态路由对应的链路一致。

    ⑤在RouterARouterD上分别配置流分类。因为通信是双向的,所以需要在双向进行配置流策略,以便指导对应方向的流按规定进行重定向。

    RouterA上创建流分类vlan10vlan20,通过基本ACL分别匹配源地址为192.168.1.0/24192.168.2.0/24网段(分别对应VLAN10VLAN20所在网段)的报文。

    RouterD上创建流分类vlan10vlan20,通过高级ACL分别匹配目的地址为192.168.1.0/24192.168.2.0/24网段的报文。

    ⑥在RouterARouterD上分别配置流重定向行为。这样。当NQA测试例检测到链路正常时,按照流策略定义的行为进行流重定向;而NQA测试例检测到链路故障时,则要按照路由表中的有效路由进行报文转发。

    RouterA上创建流行为vlan10,配置NQA测试例adminvlan10与重定向到下一跳192.168.3.2/24联动,实现在该下一跳链路正常时把数据从该链路上转发的目的。

    [RouterA]trafficbehavior vlan10

    [RouterA-behavior-vlan10]redirectip-nexthop 192.168.3.2 track nqa admin vlan10

    [RouterA-behavior-vlan10]quit

    RouterA上创建流行为vlan20,配置NQA测试例adminvlan20与重定向到下一跳192.168.4.2/24联动,实现在该下一跳链路正常时把数据从该链路上转发的目的。

    [RouterA]trafficbehavior vlan20

    [RouterA-behavior-vlan20]redirectip-nexthop 192.168.4.2 track nqa admin vlan20

    [RouterA-behavior-vlan20]quit

    RouterD上创建流行为vlan10,配置NQA测试例adminvlan10与重定向到下一跳192.168.5.2/24联动,实现在该下一跳链路正常时把数据从该链路上转发的目的。

    [RouterD]trafficbehavior vlan10

    [RouterD-behavior-vlan10]redirectip-nexthop 192.168.5.2 track nqa admin vlan10

    [RouterD-behavior-vlan10]quit

        RouterD上创建流行为vlan20,配置NQA测试例adminvlan20与重定向到下一跳192.168.6.2/24联动,实现在该下一跳链路正常时把数据从该链路上转发的目的。

    [RouterD]trafficbehavior vlan20

    [RouterD-behavior-vlan20]redirectip-nexthop 192.168.6.2 track nqa admin vlan10

    [RouterD-behavior-vlan20]quit

    ⑦在RouterARouterD上分别配置流策略并应用到接口上。

    RouterA上创建流策略vlan10vlan20,分别将流对应的流分类和流行为进行绑定,并将流策略vlan10应用到接口GE1/0/0入方向,将流策略vlan20应用到接口GE2/0/0入方向。

    [RouterA]trafficpolicy vlan10

    [RouterA-trafficpolicy-vlan10]classifiervlan10 behavior vlan10

    [RouterA-trafficpolicy-vlan10]quit

    [RouterA]trafficpolicy vlan20

    [RouterA-trafficpolicy-vlan20]classifiervlan20 behavior vlan20

    [RouterA-trafficpolicy-vlan20]quit

    [RouterA]interfacegigabitethernet 1/0/0

    [RouterA-GigabitEthernet1/0/0]traffic-policyvlan10 inbound

    [RouterA-GigabitEthernet1/0/0]quit

    [RouterA]interfacegigabitethernet 2/0/0

    [RouterA-GigabitEthernet2/0/0]traffic-policyvlan20 inbound

    [RouterA-GigabitEthernet2/0/0]quit

        RouterD上创建流策略vlan10,将两个流分类和对应的流行为进行绑定,并将流策略vlan10应用到接口GE3/0/0入方向。

    [RouterD]trafficpolicy vlan10

    [RouterD-trafficpolicy-vlan10]classifiervlan10 behavior vlan10

    [RouterD-trafficpolicy-vlan10]classifiervaln20 behavior vlan20

    [RouterD-trafficpolicy-vlan10]quit

    [RouterD]interfacegigabitethernet 3/0/0

    [RouterD-GigabitEthernet3/0/0]traffic-policyvlan10 inbound

    [RouterD-GigabitEthernet3/0/0]quit

        配置好后,通过displaythis接口视图查看相应接口配置,验证配置结果。

     也可通过displaytraffic policy user-defined任意视图查看RouterARouterD上用户自定义的流策略的配置信息。

    展开全文
  • 全面介绍H3C路由器中路由策略策略路由器基础知识工作原理,并以实战方式介绍H3C路由器各种路由策略和策略路由的配置与管理方法
    【H3C V7路由器实战视频课程系列-10】路由策略和策略路由配置与管理—31人已学习 
    
    课程介绍    
    png
        全面介绍H3C路由器中路由策略和策略路由器基础知识和工作原理,并以实战方式介绍H3C路由器各种路由策略和策略路由的配置与管理方法
    课程收益
        区分路由策略和策略路由、掌握各种路由策略和策略路由应用的配置与管理方法
    讲师介绍
        王达 更多讲师课程
        国内IT图书作者,网络技术讲师,华为授权讲师。共著有近60部计算机网络著作,新代表作:《Cisco/H3C交换机|路由器“豪华”四件套》、《深入理解计算机网络》、《华为交换机学习指南》、《华为路由器学习指南》等。获得过包括“全国优秀作者奖”、“输出版优秀图书奖”、“畅销品种奖”、“佳品牌奖”等近50项奖项。
    课程大纲
        1. 路由策略功能、应用与过滤器  36:43
        2. 配置IP地址前缀列表  42:15
        3. 配置AS路径过滤列表  29:19
        4. 配置团体属性列表和扩展团体属性列表  14:08
        5. 创建路由策略和配置if-match子句  28:45
        6. 配置apply和continue子句  23:55
        7. 实验:路由策略在修改路由属性中的应用配置  21:11
        8. 实验:控制OSPF路由信息的接收和外部路由引入  27:07
        9. 实验:利用路由策略控制路由路径选择(上)  21:40
        10. 实验:利用路由策略控制路由路径选择(下)  40:50
        11. 实验:基于团体属性过滤器过滤BGP路由(上)  25:50
        12. 实验:基于团体属性过滤器过滤BGP路由(下)  24:12
        13. 策略路由基础  24:20
        14. 配置策略路由  16:51
        15. 实验:配置基于报文协议类型的本地策略路由  17:18
        16. 实验:配置基于报文协议类型的转发策略路由  12:45
        17. 实验:配置基于报文长度的转发策略路由  18:34
        18. 实验:配置基于报文源地址的转发策略路由  14:22
    大家可以点击【 查看详情】查看我的课程
    展开全文
  • 本课程以笔者编写、由华为公司指定作为ICT认证培训教材的《华为路由器学习指南》为主线,并是对书中内容的全面更新提高,全面、系统、深入,并以全实战化方式讲解了华为设备中各种路由策略和策略路由技术原理,...
  • [R1]policy-based-route any node 10 下边三条是基于策略的路由,简称策略路由 [R1-pbr-any-10]if-match acl 3000 [R1-pbr-any-10]apply ip-address next-hop 61.67.1.10 [R1]policy-based-route any node 20 ...
  • 策略路由 路由策略 双点双向引入

    万次阅读 多人点赞 2020-07-10 01:33:17
    锲而不舍,金石可镂。 文章目录 一、策略路由 二、路由策略 2.1 前缀列表 三、拓扑 四、策略配置 ...根据的报文的目的地址,报文的源地址,报文的大小链路质量等属性制定策略路由,改变报文的转发路径。
  • 本文介绍网络技术中策略路由路由策略的原理及区别,详细介绍策略路由路由策略具体的配置命令及实验案例演示。
  • 路由策略策略路由知识总结
  • 灵活时隙结构的最优策略与次优策略平均可实现吞吐量比较,最优策略和次优策略之间的吞吐量差异非常小,这表明次优策略可以提供最优策略的正确近似
  • 路由策略 & 策略路由

    万次阅读 多人点赞 2019-08-29 11:45:43
    策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制,分为本地策略路由、接口策略路由和智能策略路由SPR(Smart Policy Routing)。 策略路由具有如下优点: 可以根据用户实际需求...
  • 路由策略

    千次阅读 2018-05-17 18:13:06
    路由策略处理相关的内核代码集中在的net/ipv4/fib_rules.cnet/core/fib_rules.c两个文件内。路由策略的配置独立的ip rule策略配置,可指定源地址、目的地址、入接口、出接口等,或者与iptables配合使用的策略rule...
  • H3C_路由策略配置

    2019-05-05 17:22:28
    本书包含H3C路由策略和策略路由、组网需求、组网图、配置步骤,常见错误分析
  • 先说策略路由也就是PBR: 它不会影响路由表的生成,设备的路由表是已经存在而且稳定的。 举个例子: 用TCP/IP路由技术一书的表述就是:策略路由就是一个复杂的静态路由。 总结:策略路由是一个基于路由表的影响特定...
  • 路由策略学生实验
  • 策略路由路由策略

    2017-11-02 10:11:00
    策略路由路由策略(Routing Policy)存在以下不同:  策略路由的操作对象是数据包,在路由表...路由策略主要实现了路由过滤路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
  • 策略路由和路由策略的不同(区别) 一、策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包的转发路径。 二、路由策略的操作对象是路由信息。路由...
  • 路由策略仅仅影响路由信息的发布、接收或选择,从而改变路由表的内容,间接的影响报文的转发。 策略路由是作用于报文转发的时候,它可以通过设置的规则直接影响数据报文的转发。 路由策略策略路由的工作层面以及...
  • 路由策略,是路由发布接收的策略。其实,选择路由协议本身也是一种路由策略,因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 146,411
精华内容 58,564
关键字:

路由策略和策略路由