路由策略和策略路由 配置

拓扑：

R1：

R1：

#

interface GigabitEthernet0/0/0

ip address 10.0.12.1 255.255.255.0 #

interface LoopBack0

ip address 10.1.1.1 255.255.255.255 #

interface LoopBack1

ip address 11.1.1.1 255.255.255.255 #

bgp 100

peer 10.0.12.2 as-number 200

#

ipv4-family unicast

undo synchronization

network 10.1.1.1 255.255.255.255 network 11.1.1.1 255.255.255.255 peer 10.0.12.2 enable

#

R2：

R2：

#

acl number 2000

rule 5 permit source 10.1.1.1 0

#

acl number 2001

rule 5 permit source 11.1.1.1 0

#

interface GigabitEthernet0/0/0

ip address 10.0.12.2 255.255.255.0

ip policy-based-route pbr

#

interface GigabitEthernet0/0/1

ip address 10.0.23.2 255.255.255.0

#

interface GigabitEthernet0/0/2

ip address 10.0.24.2 255.255.255.0

#

interface LoopBack0

ip address 2.2.2.2 255.255.255.255

#

bgp 200

peer 3.3.3.3 as-number 200

peer 3.3.3.3 connect-interface LoopBack0 peer 4.4.4.4 as-number 200

peer 4.4.4.4 connect-interface LoopBack0 peer 5.5.5.5 as-number 200

peer 5.5.5.5 connect-interface LoopBack0 peer 10.0.12.1 as-number 100

#

ipv4-family unicast

undo synchronization

peer 3.3.3.3 enable

peer 3.3.3.3 reflect-client

peer 3.3.3.3 next-hop-local

peer 4.4.4.4 enable

peer 4.4.4.4 reflect-client

peer 4.4.4.4 next-hop-local

peer 5.5.5.5 enable

peer 5.5.5.5 reflect-client

peer 5.5.5.5 next-hop-local

peer 10.0.12.1 enable

#

ospf 1

area 0.0.0.0

network 10.0.23.0 0.0.0.255

network 10.0.24.0 0.0.0.255

network 2.2.2.2 0.0.0.0

#

user-interface con 0

user-interface vty 0 4

user-interface vty 16 20

#

policy-based-route pbr permit node 10

if-match acl 2000

apply ip-address next-hop 10.0.23.3 policy-based-route pbr permit node 20

if-match acl 2001

apply ip-address next-hop 10.0.24.4

#

R3：

R3：

#

interface GigabitEthernet0/0/0

ip address 10.0.35.3 255.255.255.0

#

interface GigabitEthernet0/0/1

ip address 10.0.23.3 255.255.255.0

#

interface LoopBack0

ip address 3.3.3.3 255.255.255.255

#

bgp 200

peer 2.2.2.2 as-number 200

peer 2.2.2.2 connect-interface LoopBack0 #

ipv4-family unicast

undo synchronization

peer 2.2.2.2 enable

peer 2.2.2.2 reflect-client

peer 2.2.2.2 next-hop-local

#

ospf 1

area 0.0.0.0

network 10.0.23.0 0.0.0.255

network 10.0.35.0 0.0.0.255

network 3.3.3.3 0.0.0.0

#

R4：

R4：

#

interface GigabitEthernet0/0/1

ip address 10.0.45.4 255.255.255.0

#

interface GigabitEthernet0/0/2

ip address 10.0.24.4 255.255.255.0

#

interface LoopBack0

ip address 4.4.4.4 255.255.255.255

#

bgp 200

peer 2.2.2.2 as-number 200

peer 2.2.2.2 connect-interface LoopBack0 #

ipv4-family unicast

undo synchronization

peer 2.2.2.2 enable

peer 2.2.2.2 reflect-client

peer 2.2.2.2 next-hop-local

#

ospf 1

area 0.0.0.0

network 10.0.24.0 0.0.0.255

network 10.0.45.0 0.0.0.255

network 4.4.4.4 0.0.0.0

#

R5：

R5：

#

acl number 2000

rule 5 permit source 10.1.1.1 0

#

acl number 2001

rule 5 permit source 11.1.1.1 0

#

interface GigabitEthernet0/0/0

ip address 10.0.35.5 255.255.255.0

#

interface GigabitEthernet0/0/1

ip address 10.0.45.5 255.255.255.0

#

interface LoopBack0

ip address 10.5.5.5 255.255.255.255

#

interface LoopBack1

ip address 11.5.5.5 255.255.255.255

#

interface LoopBack2

ip address 5.5.5.5 255.255.255.255

#

interface LoopBack5

ip address 55.55.55.55 255.255.255.255 #

bgp 200

peer 2.2.2.2 as-number 200

peer 2.2.2.2 connect-interface LoopBack2 #

ipv4-family unicast

undo synchronization

network 10.5.5.5 255.255.255.255

network 11.5.5.5 255.255.255.255

network 55.55.55.55 255.255.255.255

peer 2.2.2.2 enable

peer 2.2.2.2 route-policy 1 import

peer 2.2.2.2 next-hop-local

#

ospf 1

area 0.0.0.0

network 10.0.35.0 0.0.0.255

network 10.0.45.0 0.0.0.255

network 5.5.5.5 0.0.0.0

#

route-policy 1 permit node 10

if-match acl 2000

apply ip-address next-hop 10.0.35.3

#

route-policy 1 permit node 20

if-match acl 2001

apply ip-address next-hop 10.0.45.4

#

route-policy 1 permit node 30

#

华为路由器路由策略和策略路由

路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。 匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL

SR8800-X核心路由器策略路由配置指导

H3C SR8800-X 核心路由器 策略路由配置指导

目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 4.7 组网需求 (4) 4.8 配置思路 (5) 4.9 使用版本 (5) 4.10 配置步骤 (5) 4.11 验证配置 (6) 4.12 配置文件 (6) 5 相关资料 (7)

1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的，策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 ?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用，指导其转发，对本地产生的报文不起作用； ?配置重定向到下一跳时，不能将IPv4 规则重定向到IPv6 地址，反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如图1 所示，缺省情况下，Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由，对于访问Server 的报文实现如下要求： (1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文，将该报文的下一 跳重定向到10.5.1.2； (2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文，将该报文的下一跳重定向到 10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图

华为路由器路由策略和策略路由配置与管理

路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。

匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表（IP Prefix List） 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器，可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。 根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。 说明： 当IP地址为0.0.0.0时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器（AS_Path Filter） AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器（Community Filter） 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器（Extcommunity Filter） 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器，可在VPN配置中利用VPN Target区分路由时单独使用。 目前，扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器（Route Distinguisher Filter） RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器，可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立，区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时，可以应用路由策略。只有当设备支持BGP to IGP功能时，路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能，那么IGP就不能够识别BGP路由的私有属性，将导致匹配条件失效。

三层交换机与路由器的配置_实例(图解)

三层交换机与路由器的配置实例（图解） 目的：学会使用三层交换与路由器让处于不同网段的网络相互通信 实验步骤：一：二层交换机的配置： 在三个二层交换机上分别划出两VLAN，并将二层交换机上与三层交换或路由器上的接线设置为trunk接口 二：三层交换机的配置： 1：首先在三层交换上划出两个VLAN，并进入VLAN为其配置IP，此IP将作为与他相连PC的网关。 2：将与二层交换机相连的线同样设置为trunk接线，并将三层交换与路由器连接的线设置为路由接口（no switchsport） 3：将路由器和下面的交换机进行单臂路由的配置 实验最终结果：拓扑图下各个PC均能相互通信

交换机的配置命令： SW 0: Switch> Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 Switch(config-if)#no shut Switch(config-if)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)#exit Switch(config)# SW 1: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 % Access VLAN does not exist. Creating vlan 2 Switch(config-if)#no shut Switch(config-if)#exit Switch(config)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)# SW 2: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]?

配置策略路由命令 锐捷

33.1配置相关命令 33.1.1ip policy route-map 要在一个接口启用策略路由，请使用接口配置命令ip policy route-map。 该命令的no形式关闭策略路由的应用。 ip policy route-map route-map no ip policy route-map 【参数说明】 【缺省情况】 缺省关闭策略路由。 【命令模式】 接口配置模式。 【使用指南】 策略路由必须在指定的接口上应用，该接口只对接收到的数据包进行策略 路由，该接口发送的数据包路由将正常按照路由表进行转发。 应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。 一个路由图由很多条策略组成，每个策略都定义了1个或多个的匹配规 则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进 行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理， 符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。 注意： 我司产品一个接口最多只能配置一个路由图，在同一个接口上多次配置路 由图，后的路由图会覆盖先前配置的路由图。 【举例】

以下的配置例子中，当快速以太网接口FE0接收到数据报，如果数据报 源地址为10.0.0.1，则设置下一跳为196.168.4.6，如果源地址为20.0.0.1 则设置下一跳为196.168.5.6，否则进行普通转发。 access-list 1 permit 10.0.0.1 access-list 2 permit 20.0.0.1 route-map lab1 permit 10 match ip address 1 set ip next-hop 196.168.4.6 exit route-map lab1 permit 20 match ip address 2 set ip next-hop 196.168.5.6 exit interface GigabitEthernet 0/0 ip policy route-map lab1 exit 【相关命令】 注：route-map配置的相关命令请参考《协议无关命令参考》 ip local policy route-map 要对本地发送的报文启用策略路由，请使用命令ip local policy route-map。该命令的no形式关闭策略路由的应用。 ip local policy route-map route-map no ip local policy route-map

策略路由配置命令

一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下，配置distribute 列表，引用acl 1，过滤从ospf 1重发布到rip的网络路由。也就是说，通过该路由器进行ospf的重发布到rip网络中，过滤acl 1的数据。在该例中的意思就是ospf中如果有数据属于192.168.1.0/24，那么在rip 网络中无法学习到这些路由。由于重发布的命令是redistribute，所以这里可以理解为发布到rip网络中。=============================================================================== ============================================ 二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称，10为序列号，下述条件如果成立的话动作为permit。注意：route-map和acl相同的是，在尾部都有隐藏的默认拒绝所有的条件。 3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足 4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候，对route-map的ospf-rip条目进行匹配过滤。在该例中就是禁止192.168.1.0/24的网络通过路由重发布到rip网络中，也就阻止了rip网络中的路由器学习到该路由。 =============================================================================== ============================================ 三、策略路由 1.定义acl (conf)#access-list 1 permit host 192.168.1.1 2.定义route-map (conf)# route-map pdb permit 10 其中pdb为route-map的名称，10为序列号

华为策略路由配置实例

华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口，实现公司和外部网络设备互连。 2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。 3、配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。 5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。 ?system-view [HUAWEI]?sysnameSwitch [Switch]?vlanbatch100200 #?配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk，并加入VLAN100和VLAN200。 [Switch]?interfacegigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1]?portlink-typetrunk [Switch-GigabitEthernet1/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/1]?quit

[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200，并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL，规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2

C路由器配置实例

C路由器配置实例 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】

通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，Ethernet0/1为外网口。 1、配置内网接口（Ethernet0/0）： [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 24 [MSR20-20-dhcp-pool-1]dns-list [MSR20-20-dhcp-pool-1] gateway-list 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口（Ethernet0/1） [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5．加默缺省路由 [MSR20-20]route-stac 0.0.0.0 外网网关 总结： 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词：MSR;console; 一、组网需求： 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。

策略路由配置详解

38策略路由配置 38.1理解策略路由 38.1.1策略路由概述 策略路由（PBR：Policy-Based Routing）提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵 活地进行路由选择。 现有用户网络，常常会出现使用到多个ISP（Internet Server Provider，Internet服务提供商）资源的情形，不同ISP申请到的带宽不一；同时，同一用户环境中需要对重点用户资源保证等目的，对这部分用户不能够再依据普通路由表进行转发，需要有选择的进行数据报文的转发控制，因此，策略路由技术即能够保证ISP资源的充分利用，又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何 策略的数据包将按照普通的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下，策略路由的优先级高于普通路由，能够对IP/IPv6报文依据定义的策略转发；即数据报文先按照IP/IPv6策略路由进行转发，如果没有匹配任意一个的策略路由条件，那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低，接口上收到的IP/IPv6报文 则先进行普通路由的转发，如果无法匹配普通路由，再进行策略路由转发。 用户可以根据实际情况配置设备转发模式，如选择负载均衡或者冗余备份模式，前者设置的多个下一跳会进行负载均衡，还可以设定负载分担的比重；后者是应用多个下一跳处于冗余模式，即前面优先生效，只有前面的下一跳无效时，后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型： 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由，而对于从该接口转发出去的报文不受策略路由的控制； 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文，对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由，必须先创建路由图，然后在接口上应用该路由图。一个路由图由很多条策略组成，每条策略都有对应的序号（Sequence），序号越小，该条策略的优先级越高。

ospf 路由策略配置

A B B路由器和A路由器之间运行OSPF协议，B路由器通过OSPF发布三条静态路由到A路由器，静态路由的目的网段为5.5.5.5，6.6.6.6，7.7.7.7，类型为第一类外部路由，A路由器学到的5.5.5.5.的cost值比6.6.6.6和7.7.7.7的cost值小。配置如下： B路由器 router id 2.2.2.2 # interface Ethernet4/2/0 ip address 11.11.11.12 255.255.255.0 # acl number 1 rule 0 permit source 5.5.5.5 0 # acl number 2 rule 0 deny source 5.5.5.5 0 rule 1 permit # ospf import-route static cost 100 type 1 route-policy cost # area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 11.11.11.0 0.0.0.255 # route-policy cost permit node 10 if-match acl 1 apply cost 10 route-policy cost permit node 20 if-match acl 2 # ip route-static 5.5.5.5 255.255.255.255 NULL 0 preference 60 ip route-static 6.6.6.6 255.255.255.255 NULL 0 preference 60 ip route-static 7.7.7.7 255.255.255.255 NULL 0 preference 60 #

华为AR1200 路由器策略路由配置

华为AR1200 路由器策略路由配置 [Huawei]display current-configuration [V200R007C00SPC900] # drop illegal-mac alarm # l2tp enable # ipv6 # ip load-balance hash src-ip # dns resolve dns server 219.141.136.10 dns server 219.141.140.10 dns proxy enable # vlan batch 2 # dhcp enable #

pki realm default enrollment self-signed # ssl policy default_policy type server pki-realm default # aclnumber 2999 rule 5 permit source 172.16.10.0 0.0.1.255 # acl number 3000 1;创建用于策略路由的ACL rule 5 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 用于策略路由及默认路由两个网段之间互通的ACL rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255 # traffic classifier 2 operator or 2;创建traffic classifier 匹配acl两个网段互通 if-match acl 3001 traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由 if-match acl 3000 # traffic behavior 2 3创建流行为网段互通不做任何行为

cisco三层交换机vlan间路由配置实例

cisco三层交换机vlan间路由配置实例 下面以cisco3560实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机（不一定具备三层交换能力）。我们假设核心交换机名称为：COM；分支交换机分别为：PAR1、PAR2、PAR3，分别通过Port 1的光线模块与核心交换机相连；并且假设VLAN名称分别为COUNTER、MARKET、MANAGING…… 需要做的工作： 1、设置VTP DOMAIN（核心、分支交换机上都设置） 2、配置中继（核心、分支交换机上都设置） 3、创建VLAN（在server上设置） 4、将交换机端口划入VLAN 5、配置三层交换 1、设置VTP DOMAIN。 VTP DOMAIN 称为管理域。 交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。 COM#vlan database 进入VLAN配置模式 COM(vlan)#vtp domain COM 设置VTP管理域名称 COM COM(vlan)#vtp server 设置交换机为服务器模式 PAR1#vlan database 进入VLAN配置模式 PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM PAR1(vlan)#vtp Client 设置交换机为客户端模式 PAR2#vlan database 进入VLAN配置模式 PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM PAR2(vlan)#vtp Client 设置交换机为客户端模式 PAR3#vlan database 进入VLAN配置模式 PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM PAR3(vlan)#vtp Client 设置交换机为客户端模式 注意：这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN 及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN 信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本 VTP域中其他交换机传递来的VLAN信息。 2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL （Inter－Switch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置 ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。 在核心交换机端配置如下： COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk 在分支交换机端配置如下： PAR1(config)#interface gigabitEthernet 0/1

策略路由配置与BFD

策略路由配置与BFD 38.1理解策略路由 38.1.1策略路由概述 策略路由（PBR：Policy-Based Routing）提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容 灵活地进行路由选择。 现有用户网络，常常会出现使用到多个ISP（Internet Server Provider，Internet服务提供商）资源的情形，不同ISP申请到的带宽不一；同时，同一用户环境中需要对重点用户资源保证等目的， 对这部分用户不能够再依据普通路由表进行转发，需要有选择的进行数据报文的转发控制，因此，策略路由技术即能够保证ISP资源的充分利用，又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何 策略的数据包将按照普通的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下，策略路由的优先级高于普通路由，能够对IP/IPv6报文依据定义的策略转发；即数据报文先按照IP/IPv6策略路由进行转发，如果没有匹配任意一个的策略路由条件，那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低，接口上收到的IP/IPv6报文 则先进行普通路由的转发，如果无法匹配普通路由，再进行策略路由转发。

用户可以根据实际情况配置设备转发模式，如选择负载均衡或者冗余备份模式，前者设置的多个下一跳会进行负载均衡，还可以设定负载分担的比重；后者是应用多个下一跳处于冗余模式，即前 面优先生效，只有前面的下一跳无效时，后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型： 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由，而对于从该接口转发出去的报文不受策略路由的控制； 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文，对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由，必须先创建路由图，然后在接口上应用该路由图。一个路由图由很多条策略组成，每条策略都有对应的序号（Sequence），序号越小，该条策略的优先级越高。 每条策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。match语句定义了IP/IPv6报文的匹配规则，set语句定义了对符合匹配规则的IP/IPv6报文处理动作。在策略路由 转发过程，报文依优先级从高到底依次匹配，只要匹配前面的策略，就执行该策略对应的动作，然后退出策略路由的执行。 IP策略路由使用IP标准或者扩展ACL作为IP报文的匹配规则，IPv6策略路由使用IPv6扩展ACL 作为IPv6报文的匹配规则。IPv6策略路由对于同一条策略最多只能配置一个match ipv6 address。

华为路由器路由策略和策略路由

! 路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 " 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 % 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。

图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。 匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 . deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 @ 2、地址前缀列表（IP Prefix List） 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器，可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。 根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。 说明： 当IP地址为时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器（AS_Path Filter） AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。

策略路由

策略路由技术文档

目录 1.概念 (1) 2.策略路由的种类 (1) 3.策略路由配置方法 (1) 3.1路由重发布相关 (2) 3.2策略路由相关 (2) 3.3Configuring Route Maps (3) 4.基于策略的路由技术概述 (4) 4.1基于源地址的策略路由 (4)

1. 概念 策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。 图1 策略路由 应用了策略路由，路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。 应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。一个路由图由很多条策略组成，每个策略都定义了1个或多个的匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。 策略路由可以使数据包按照用户指定的策略进行转发。对于某些管理目的，如QoS需求或VPN拓扑结构，要求某些路由必须经过特定的路径，就可以使用策略路由。例如，一个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。 2. 策略路由的种类 大体上分为两种：一种是根据路由的目的地址来进行的策略称为目的地址路由；另一种是根据路由源地址来进行策略实施的称为源地址路由。 随着策略路由的发展现在有了第三种路由方式：智能均衡的策略方式。 3. 策略路由配置方法 route map和ACL很类似，它可以用于路由的再发布和策略路由，还经常使用在BGP中.策略路由(policy route)实际上是复杂的静态路由，静态路由是基于数据包的目标地址并转发到指定的下一跳路由器，策略路由还利用和扩展IP