路由策略
目录
第1章路由策略配置
说明:
本章所介绍的路由策略包括IPv4路由策略和IPv6路由策略,二者的配置基本一致,不同的部分在各节中另行说明。
1.1 路由策略简介
1.1.1 路由策略与策略路由
路由策略(Routing Policy)是为了改变网络流量所经过的途径
而修改路由信息的技术,主要通过改变路由属性(包括可达性)
来实现。
策略路由(Policy Routing)是一种依据用户制定的策略进行路
由选择的机制。有关策略路由的详细介绍请参见“IP业务分册”
中的“IP单播策略路由配置”。
路由器在发布与接收路由信息时,可能需要实施一些策略,以便
对路由信息进行过滤,例如只接收或发布满足一定条件的路由信
息。一种路由协议可能需要引入其它的路由协议发现的路由信
息,同时引入的路由信息必须满足一定的条件,并对所引入的路
由信息的某些属性进行设置,以使其满足本协议的要求。
为实现路由策略,首先要定义将要实施路由策略的路由信息的特
征,即定义一组匹配规则。可以以路由信息中的不同属性作为匹
配依据进行设置,如目的地址、发布路由信息的路由器地址等。
匹配规则可以预先设置好,然后再将它们应用于路由的发布、接
收和引入等过程的路由策略中。
1.1.2 过滤器
路由协议可以引用访问控制列表、地址前缀列表、AS路径访问
列表、团体属性列表、扩展团体属性列表和Route-policy几种
过滤器。下面对各种过滤器逐一进行介绍。
1. 访问控制列表
访问控制列表包括针对IPv4报文的ACL和针对IPv6报文的ACL。用户在定义ACL时可以指定IP(v6)地址和前缀范围,用于匹配路由信息的目的网段地址或下一跳地址。ACL的有关配置请参见“安全分册”中的“ACL配置”。
2. 地址前缀列表
地址前缀列表包括IPv4地址前缀列表和IPv6地址前缀列表。地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于用户理解。地址前缀列表在应用于路由信息的过滤时,其匹配对象为路由信息的目的地址信息域;另外,用户可以指定gateway 选项,指明只接收某些路由器发布的路由信息。关于gateway 选项的设置请参见“IP路由分册”中的“RIP命令”和“OSPF 命令”。
一个地址前缀列表由前缀列表名标识。每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号来标识,索引号指明了进行匹配检查的顺序。在匹配的过程中,路由器按升序依次检查由索引号标识的各个表项,只要有某一表项满足条件,就意味着通过该地址前缀列表的过滤(不再进入下一个表项的测试)。
3. AS路径访问列表(as-path)
as-path仅用于BGP。BGP的路由信息中,包含有自治系统路径域。as-path就是针对自治系统路径域指定匹配条件。
4. 团体属性列表(community-list)
community-list仅用于BGP。BGP的路由信息包中,包含一个community属性域,用来标识一个团体。community-list就是针对团体属性域指定匹配条件。
5. 扩展团体属性列表(extcommunity-list)
extcommunity-list仅用于BGP。BGP扩展团体属性有两种,一种是用于VPN的Route-Target(路由目标)扩展团体,另一种
则是Source of Origin(源节点)扩展团体。扩展团体属性列
表就是针对这两种属性指定匹配条件。
6. 路由策略(Route-policy)
Route-policy是一种比较复杂的过滤器,它不仅可以匹配路由
信息的某些属性,还可以在条件满足时改变路由信息的属性。
Route-policy可以使用前面几种过滤器定义自己的匹配规则。
一个Route-policy可以由多个节点(node)构成,不同节点之
间是“或”的关系。系统按节点序号依次检查各个节点,如果通
过了其中一节点,就意味着通过该Route-policy,不再对其他
节点进行匹配测试。
每个节点可以由一组if-match和apply子句组成。if-match子
句定义匹配规则,匹配对象是路由信息的一些属性。同一节点中
的不同if-match子句是“与”的关系,只有满足节点内所有
if-match子句指定的匹配条件,才能通过该节点的匹配测试。
apply子句指定动作,也就是在通过节点的匹配后,对路由信息
的一些属性进行设置。
1.1.3 路由策略的应用
路由策略主要有两种应用方式:
路由协议在引入其它路由协议发现的路由时,通过路由策略
只引入满足条件的路由信息。
路由协议在发布或接收路由信息时,通过路由策略对路由信
息进行过滤,只接收或发布满足给定条件的路由信息。1.2 配置过滤列表
1.2.1 配置准备
在配置过滤列表之前,需要准备以下数据:
前缀列表名称
匹配的地址范围
扩展团体属性列表序号
1.2.2 配置地址前缀列表
1. 配置IPv4地址前缀列表
IPv4地址前缀列表由列表名标识,每个前缀列表可以包含多个
表项。各表项可以独立指定一个网络前缀形式的匹配范围,并使
用索引号标识。
在匹配过程中,系统按索引号升序依次检查各个表项,只要路由
信息满足一个表项,就认为通过该过滤列表,不再去匹配其他表
项。
表1-1 配置IPv4地址前缀列表
说明:
如果所有表项都是deny模式,则任何路由都不能通过该过滤列表。这种情况下,建议在多条deny模式的表项后定义一条permit less-equal 32表项,允许其它所有IPv4路由信息通过。
例如,按如下配置可以保证仅过滤掉、、三个网段的路由,而其
它网段的路由信息可以通过。
2. 配置IPv6地址前缀列表
IPv6地址前缀列表由列表名标识,每个前缀列表可以包含多个
表项。各表项可以独立指定一个网络前缀形式的匹配范围,并使
用索引号标识。
在匹配的过程中,系统按索引号升序依次检查各个表项,只要路
由信息满足一个表项,就认为通过该过滤列表,不再去匹配其他
表项。
表1-2 配置IPv6地址前缀列表
说明:
如果所有表项都是deny模式,则任何路由都不能通过该过滤列表。这种情况下,需要在多条deny模式的表项后定义一条permit :: 0less-equal 128的表项,以允许其它所有IPv6路由信息通过
例如,按如下配置可以保证仅过滤掉2000:1::/48、
2000:2::/48、2000:3::/48三个网段的路由,而其它网段的路
由信息可以通过。
[Sysname] ip ipv6-prefix abc index 10 deny 2000:1:: 48
[Sysname] ip ipv6-prefix abc index 20 deny 2000:2:: 48
[Sysname] ip ipv6-prefix abc index 30 deny 2000:3:: 48
[Sysname] ip ipv6-prefix abc index 40 permit :: 0
less-equal 128
1.2.3 配置AS路径过滤列表
一个AS过滤列表可以包含多个表项。在匹配过程中,各表项之
间是“或”的关系,即只要路由信息通过该列表中的一条表项,
就认为通过该AS路径过滤列表。
1.2.4 配置团体属性列表
一个团体属性列表可以定义多个表项。在匹配过程中,各表项之
间是“或”的关系,即只要路由信息通过该列表中的一条表项,
就认为通过该团体属性列表。
表1-4 配置团体属性列表
1.2.5 配置扩展团体属性列表
一个扩展团体属性列表可以定义多个表项。在匹配过程中,各表
项之间是“或”的关系,即只要路由信息通过该列表中的一条表
项,就认为通过该扩展团体属性列表。
操作命令说明进入系统视图system-view-
配置扩展团体属性列表ip extcommunity-list
ext-comm-list-number
{ deny | permit } { rt
route-target }&<1-16>
必选
缺省情况下,没有配
置扩展团体属性列
表
1.3 配置路由策略
路由策略用来根据路由信息的某些属性过滤路由信息,并改变与
路由策略规则匹配的路由信息的属性。匹配条件可以使用前面几
种过滤列表。
一个路由策略可由多个节点构成,每个节点又分为:
if-match子句:定义匹配规则,即路由信息通过当前
Route-policy所需满足的条件,匹配对象是路由信息的某
些属性。
apply子句:指定动作,也就是在满足由if-match子句指
定的过滤条件后所执行的一些配置命令,对路由的某些属性
进行修改。
1.3.1 配置准备
在配置路由策略之前,需完成以下任务:
配置过滤列表
配置路由协议
在配置之前,需要准备以下数据:
路由策略的名称、节点序号
匹配条件
要修改的路由属性值
1.3.2 创建一个路由策略
表1-6 创建一个路由策略
操作命令说明进入系统视图system-view-
创建路由策略并进入该路由策略视图route-policy
route-policy-name
{ permit | deny }
node node-number
必选
缺省情况下,没有创
建路由策略
说明:
permit指定节点的匹配模式为允许模式。当路由信息通过该
节点的过滤后,将执行该节点的apply子句,不进入下一个
节点的测试;如果路由信息没有通过该节点过滤,将进入下
一个节点继续测试。
deny指定节点的匹配模式为拒绝模式(此模式下apply子句
不会被执行)。当路由项满足该节点的所有if-match子句时,
将被拒绝通过该节点,不进入下一个节点的测试;如果路由
项不满足该节点的if-match子句,将进入下一个节点继续测
试。
如果路由策略中定义了一个以上的节点,则各节点中至少应
该有一个节点的匹配模式是permit。当Route-policy用于路
由信息过滤时,如果某路由信息没有通过任一节点,则认为
该路由信息没有通过该Route-policy。如果Route-policy的
所有节点都是deny模式,则没有路由信息能通过该
Route-policy。
1.3.3 配置if-match子句
表1-7 配置if-match子句
操作命令说明
进入系统视
图
system-view-
进入路由策略视图route-policy route-policy-name
{ permit | deny } node node-number
必选
配置配置if-match acl acl-number可选
配置RIP、OSPF、IS-IS
路由信息的标记域的匹配条件if-match tag value
可选
缺省情
况下,没
有配置
RIP、
OSPF、
IS-IS路
由信息
的标记
域的匹
配条件
说明:
对于同一个Route-policy节点,在匹配的过程中,各个
if-match子句间是“与”的关系,即路由信息必须同时满足
所有匹配条件,才可以执行apply子句的动作。
在一个节点中,可以没有if-math子句,也可以有多个
if-match子句。当不指定if-match子句时,如果该节点的匹
配模式为允许模式,则所有路由信息都会通过该节点的过滤;
如果该节点的匹配模式为拒绝模式,则所有路由信息都会被
拒绝。
路由策略应使用非VPN的ACL进行路由过滤。
IPv4路由策略和IPv6路由策略在配置if-match子句时,不
同之处在于匹配路由信息的目的地址、下一跳和源地址的命
令不同。
1.3.4 配置apply子句
表1-8 配置apply子句
操作命令说明进入系统视图system-view-
创建路由策略并进入该路由策略视图route-policy
route-policy-name
{ permit | deny } node
node-number
必选
缺省情况下,不
创建路由策略
配置RIP、OSPF、
IS-IS路由信息的标记域apply tag value
可选
缺省情况下,没
有配置RIP、
OSPF、IS-IS路
由信息的标记
域
说明:
IPv4路由策略和IPv6路由策略在配置apply子句时,不同之
处在于设置路由信息的下一跳地址的命令不同。
对于引入的IPv4路由,使用apply ip-address next-hop命
令设置下一跳地址无效;对于引入的IPv6路由,使用apply
ipv6 next-hop命令设置下一跳地址无效。
1.4 路由策略的显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配
置后路由策略的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除路由策略的统计信息。
表1-9 路由策略的显示和维护
操作命令
显示BGP AS路径过滤列表信息display ip as-path [ as-path-number ]
显示BGP团体属性列表信息display ip community-list [ basic-community-list-number | adv-community-list-number ]
显示BGP扩展团体属性列表信息display ip extcommunity-list [ ext-comm-list-number ]
显示IPv4地址前缀列表的统计信息display ip ip-prefix [ ip-prefix-name ]
显示IPv6地址前缀列表的统计信息display ip ipv6-prefix [ ipv6-prefix-name ]
显示路由策略信息display route-policy [ route-policy-name ]
1.5 路由策略典型配置举例
1.5.1 在IPv4路由引入中应用路由策略
1. 组网需求
如下图所示,Router B与Router A之间通过OSPF协议交换路
由信息,与Router C之间通过IS-IS协议交换路由信息。
要求在Router B上配置路由引入,将IS-IS路由引入到OSPF
中去,并同时使用路由策略设置路由的属性。其中,设置的路由
的开销为100,设置的路由的Tag属性为20。
2. 组网图
图1-1 在IPv4路由引入中应用路由策略组网图
3. 配置步骤
(1)配置各接口的IP地址(略)
(2)配置IS-IS路由协议
# 配置Router C。
[RouterC] isis
[RouterC-isis-1] is-level level-2
[RouterC-isis-1] quit
[RouterC] interface serial 2/1
[RouterC-Serial2/1] isis enable
[RouterC-Serial2/1] quit
[RouterC] interface ethernet 1/0
[RouterC-Ethernet1/0] isis enable
[RouterC-Ethernet1/0] quit
[RouterC] interface ethernet 1/1
[RouterC-Ethernet1/1] isis enable
[RouterC-Ethernet1/1] quit
[RouterC] interface ethernet 1/2
[RouterC-Ethernet1/2] isis enable
[RouterC-Ethernet1/2] quit
# 配置Router B。
[RouterB] isis
[RouterB-isis-1] is-level level-2
[RouterB-isis-1] quit
[RouterB] interface serial 2/1
[RouterB-Serial2/1] isis enable
[RouterB-Serial2/1] quit
(3)配置OSPF路由协议及路由引入
# 配置Router A,启动OSPF。
[RouterA] ospf
[RouterA-ospf-1] area 0
[RouterA-ospf-1] quit
# 配置Router B,启动OSPF,并引入IS-IS路由。
[RouterB] ospf
[RouterB-ospf-1] area 0
[RouterB-ospf-1] import-route isis 1
[RouterB-ospf-1] quit
# 查看Router A的OSPF路由表,可以看到引入的路由。
[RouterA] display ospf routing
Routing Tables
Routing for Network
Destination Cost Type NextHop AdvRouter Area
Routing for ASEs
Destination Cost Type Tag NextHop AdvRouter
Total Nets: 5
Intra Area: 1 Inter Area: 0 ASE: 4 NSSA: 0
(4)配置过滤列表
# 配置编号为2002的ACL,允许的路由通过。
[RouterB] acl number 2002
[RouterB-acl-basic-2002] quit
# 配置名为prefix-a的地址前缀列表,允许的路由通过。
(5)配置路由策略
[RouterB] route-policy isis2ospf permit node 10
[RouterB-route-policy] if-match ip-prefix prefix-a
[RouterB-route-policy] apply cost 100
[RouterB-route-policy] quit
[RouterB] route-policy isis2ospf permit node 20
[RouterB-route-policy] if-match acl 2002
[RouterB-route-policy] apply tag 20
[RouterB-route-policy] quit
[RouterB] route-policy isis2ospf permit node 30
[RouterB-route-policy] quit
(6)在路由引入时应用路由策略
# 配置Router B,设置在路由引入时应用路由策略。
[RouterB] ospf
[RouterB-ospf-1] import-route isis 1 route-policy
isis2ospf
[RouterB-ospf-1] quit
# 查看Router A的OSPF路由表,可以看到目的地址为的路由的
开销为100,目的地址为的路由的标记域(Tag)为20,而其他
外部路由没有变化。
[RouterA] display ospf routing
Routing Tables
Routing for Network
Destination Cost Type NextHop
AdvRouter Area
Routing for ASEs
Destination Cost Type Tag
NextHop AdvRouter
Total Nets: 5
Intra Area: 1 Inter Area: 0 ASE: 4 NSSA: 0
1.5.2 在IPv6路由引入中应用路由策略
1. 组网需求
Router A与Router B通信,链路层封装PPP,都运行RIPng
协议。
使能Router A上的RIPng协议,配置三条静态路由。
设置在引入静态路由时应用路由策略,使三条静态路由部分引入、部分被屏蔽掉——20::/32和40::/32网段的路由是可见的,30::/32网段的路由则被屏蔽。
通过在Router B上查看RIPng路由表,验证路由策略是否生效。
2. 组网图
图1-2 在IPv6路由引入中应用路由策略组网图
3. 配置步骤
(1)配置Router A
# 配置接口Serial2/0和Serial2/1的IPv6地址,封装PPP协议。
[RouterA] ipv6
[RouterA] interface serial 2/0
[RouterA-Serial2/0] ipv6 address 10::1 32
[RouterA-Serial2/0] link-protocol ppp
[RouterA-Serial2/0] quit
[RouterA] interface serial 2/1
[RouterA-Serial2/1] ipv6 address 11::1 32
[RouterA-Serial2/1] link-protocol ppp
[RouterA-Serial2/1] quit
# 在接口下使能RIPng。
[RouterA] interface serial 2/0
[RouterA-Serial2/0] ripng 1 enable
[RouterA-Serial2/0] quit
# 配置三条静态路由。
[RouterA] ipv6 route-static 20:: 32 serial 2/1 [RouterA] ipv6 route-static 30:: 32 serial 2/1 [RouterA] ipv6 route-static 40:: 32 serial 2/1
# 配置路由策略。
[RouterA] ip ipv6-prefix a index 10 permit 30:: 32 [RouterA] route-policy static2ripng deny node 0 [RouterA-route-policy] if-match ipv6 address prefix-list a
路由策略与策略路由
简析路由策略与策略路由的区别和联系 一、定义 ●路由策略: 简单的来说,就是路由发布和接收的策略。其实,在选择路由协议时,也是一种路由策略。因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表。 通常所说的路由策略指的是,在正常的路由协议之上,根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果。 ●策略路由: 策略路由是一种依据用户制定的策略进行路由选择的机制,与单纯依照IP 报文的目的地址查找路由表进行转发不同,可应用于安全、负载分担等目的。策略路由其实是一种特殊的静态路由,策略路由不仅能够根据目的地址发送,同时可以与访问列表配合使用,所以报文发送还可能取决于协议类型、端口号、报文长度等等。策略路由通过指定下一跳或输出接口来控制报文发送。此外策略路由还可以通过改变IP报文的tos字段达到流量控制的目的。 二、区别 路由策略是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果,最终改变的是路由表的内容,是在路由发现的时候产生作用。 策略路由是尽管当前存在最优的路由,但是针对某些特别的目标(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。在数据包转发的时候发生作用、不改变路由表中任何内容。 策略路由的优先级高于其他任何路由。所以一旦用户配置启用策略路由,报文发送就会先根据策略路由进行处理,如果路由策略匹配失败,则再根据路由表进行正常路由处理。 总的来讲,路由策略是路由发现规则,策略路由是数据包转发规则。其实将“策略路由”理解为“转发策略”,这样更容易理解与区分。由于转发在底层,路由在高层,所以转发的优先级比路由的优先级高,这点也能理解的通。其实路由器中存在两种类型和层次的表,一个是路由表(routing-table),另一个是转发表(forwording-table)。转发表是由路由表映射过来的,策略路由直接作用于转发表,路由策略直接作用于路由表。 三、联系 路由策略和策略路由都是为了转发数据包而进行路径选择的策略,都是根据某种规则改变某些参数或控制手段来设置不同的转发路径。
华为路由器路由策略和策略路由
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
[战略管理]路由策略
(战略管理)路由策略
目录 第1章路由策略配置1-1 1.1 路由策略简介1-1 1.1.1 路由策略与策略路由1-1 1.1.2 过滤器1-1 1.1.3 路由策略的应用1-2 1.2 配置过滤列表1-3 1.2.1 配置准备1-3 1.2.2 配置地址前缀列表1-3 1.2.3 配置AS路径过滤列表1-4 1.2.4 配置团体属性列表1-5 1.2.5 配置扩展团体属性列表1-5 1.3 配置路由策略1-5 1.3.1 配置准备1-6 1.3.2 创建一个路由策略1-6 1.3.3 配置if-match子句1-7 1.3.4 配置apply子句1-8 1.4 路由策略的显示和维护1-10 1.5 路由策略典型配置举例1-11 1.5.1 在IPv4路由引入中应用路由策略1-11 1.5.2 在IPv6路由引入中应用路由策略1-14 1.6 常见错误配置举例1-16 1.6.1 无法实现IPv4路由信息过滤1-16 1.6.2 无法实现IPv6路由信息过滤1-16
第1章路由策略配置 说明: 本章所介绍的路由策略包括IPv4路由策略和IPv6路由策略,二者的配置基本一致,不同的部分在各节中另行说明。 1.1 路由策略简介 1.1.1 路由策略与策略路由 路由策略(RoutingPolicy)是为了改变网络流量所经过的途径而修改路由信息 的技术,主要通过改变路由属性(包括可达性)来实现。 策略路由(PolicyRouting)是一种依据用户制定的策略进行路由选择的机制。 有关策略路由的详细介绍请参见“IP业务分册”中的“IP单播策略路由配置”。 路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行 过滤,例如只接收或发布满足一定条件的路由信息。一种路由协议可能需要引入 其它的路由协议发现的路由信息,同时引入的路由信息必须满足一定的条件,并 对所引入的路由信息的某些属性进行设置,以使其满足本协议的要求。 为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组 匹配规则。可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、 发布路由信息的路由器地址等。匹配规则可以预先设置好,然后再将它们应用于 路由的发布、接收和引入等过程的路由策略中。 1.1.2 过滤器 路由协议可以引用访问控制列表、地址前缀列表、AS路径访问列表、团体属性 列表、扩展团体属性列表和Route-policy几种过滤器。下面对各种过滤器逐一 进行介绍。 1. 访问控制列表 访问控制列表包括针对IPv4报文的ACL和针对IPv6报文的ACL。用户在定义 ACL时可以指定IP(v6)地址和前缀范围,用于匹配路由信息的目的网段地址或 下一跳地址。ACL的有关配置请参见“安全分册”中的“ACL配置”。 2. 地址前缀列表 地址前缀列表包括IPv4地址前缀列表和IPv6地址前缀列表。
策略路由详解及其常见应用
策略路由详解及其常见应用 根据网管制定的标准来进行数据包转发的一种机制,策略路由的策略由路由映射图Route Map来定义 Match: Route Map命令中用来定义匹配的条件,如IP地址,接口,度量值以及数据包长等,匹配语句在路由器的输入端口对数据包进行检测 Set: Route Map命令中用来定义对符合匹配条件的语句采取的行为,常见行为有 Set ip next hop 设定数据包下一跳地址 Set interface 设定数据包出接口 Set ip default next hop 设定默认下一跳地址,用于当路由表里没有到数据包目的地址路由条目时 Set default interface 设定默认出接口 Set ip tos 设定IP数据包的IP Tos值 Set ip precedence 设定IP数据包的优先级 注意: 一个Route Map可以包含多个Route Map陈述,这些语句的执行顺序像ACL一样,从上到下执行;一个Route Map最后默认deny any. 分布控制列表 通过使用分布控制列表控制路由器R1只发送环回接口中第3位为奇数的路由和g0/0接口的路由更新给R2,整个网络运行RIPv2路由协议. R1(config)#access-list 1 permit 172.16.1.0 R1(config)#access-list 1 permit 1.1.1.0 0.0.254.0 允许第三位为奇数的路由
R1(config)#route rip R1(config-router)#version 2 配置RIP版本为2 R1(config-router)#no auto-summary 关闭auto-summary R1(config-router)#network 1.0.0.0 R1(config-router)#network 172.16.0.0 R1(config-router)#network 192.168.12.0 R1(config-router)#passive-interface default 默认为被动接口 R1(config-router)#no passive-interface Serial0/0/0 关闭被动接口 R1(config-router)#distribute-list 1 out Serial0/0/0 出方向配置分布控制列表 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 2.0.0.0 R2(config-router)#network 192.168.12.0 Distribute-list命令可以全局地在一个出或入方向的路由更新中过滤路由,也可以为一个路由进程所涉及的每一个接口的入方向或出方向设置路由过滤. 基于IP地址的策略路由 在路由器的R1的g0/0接口应用IP策略路由CCNA,使得从主机A来的数据设置下一跳地址为192.168.12.2;从主机B来的数据设置下一跳为192.168.21.2,所有其它的数据包正常转发,整个网络运行EIGRP路由协议. R1(config)#access-list 1 permit 10.1.1.2 R1(config)#access-list 2 permit 10.1.1.3 R1(config)#route-map CCNA permit 10 R1(config-route-map)#match ip address 1 R1(config-route-map)#set ip next-hop 192.168.12.2 R1(config)#route-map CCNA permit 20 R1(config-route-map)#match ip address 2 R1(config-route-map)#set ip next-hop 192.168.21.2 R1(config)#interface g0/0 R1(config-if)#ip policy route-map CCNA R1(config)#router eigrp 1 R1(config-router)#no auto-summary R1(config-router)#network 10.1.1.0 255.255.255.0 R1(config-router)#network 192.168.12.0 R1(config-router)#network 192.168.21.0 基于报文大小的策略路由
第六章 路由策略
第六章路由策略 6.1路由策略简介 6.1.1路由策略与策略路由 路由策略(Routing Policy)是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。 策略路由(Policy Routing)是一种依据用户制定的策略进行路由选择的机制。有关策略路由的详细介绍请参见“策略路由”章节。 路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤,例如只接收或发布满足一定条件的路由信息。一种路由协议可能需要引入其它的路由协议发现的路由信息,路由器在引入其它路由协议的路由信息时,可能只需要引入一部分满足条件的路由信息,并控制所引入的路由信息的某些属性,以使其满足本协议的要求。 为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则。可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。匹配规则可以预先设置好,然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。 6.1.2过滤器 路由协议可以引用访问控制列表、地址前缀列表、AS 路径访问列表、团体属性列表、扩展团体属性列表和Route-policy 几种过滤器。下面对各种过滤器逐一进行介绍。 1. 访问控制列表 访问控制列表包括针对IPv4 报文的ACL 和针对IPv6 报文的ACL。用户在定义ACL 时可以指定IP(v6)地址和子网范围,用于匹配路由信息的目的网段地址或下一跳地址。ACL 的有关配置请参见“安全分册”中的“ACL 配置”。 2. 地址前缀列表 地址前缀列表包括IPv4 地址前缀列表和IPv6 地址前缀列表。 地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于用户理解。使用地址前缀列表过滤路由信息时,其匹配对象为路由信息的目的地址信息域;另外,用户可以指定gateway 选项,指明只接收某些路由器发布的路由信息。关于gateway选项的设置请参见“IP 路由分册”中的“RIP 命令”和“OSPF 命令”。 一个地址前缀列表由前缀列表名标识。每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号来标识,索引号指明了在地址前缀列表中进行匹配检查的顺序。 每个表项之间是“或”的关系,在匹配的过程中,路由器按升序依次检查由索引号标识的各个表项,只要有某一表项满足条件,就意味着通过该地址前缀列表的过滤(不再进入下一个表项的测试)。
配置策略路由命令 锐捷
33.1配置相关命令 33.1.1ip policy route-map 要在一个接口启用策略路由,请使用接口配置命令ip policy route-map。 该命令的no形式关闭策略路由的应用。 ip policy route-map route-map no ip policy route-map 【参数说明】 【缺省情况】 缺省关闭策略路由。 【命令模式】 接口配置模式。 【使用指南】 策略路由必须在指定的接口上应用,该接口只对接收到的数据包进行策略 路由,该接口发送的数据包路由将正常按照路由表进行转发。 应用策略路由,必须要指定策略路由使用的路由图,并且要创建路由图。 一个路由图由很多条策略组成,每个策略都定义了1个或多个的匹配规 则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进 行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理, 符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。 注意: 我司产品一个接口最多只能配置一个路由图,在同一个接口上多次配置路 由图,后的路由图会覆盖先前配置的路由图。 【举例】
以下的配置例子中,当快速以太网接口FE0接收到数据报,如果数据报 源地址为10.0.0.1,则设置下一跳为196.168.4.6,如果源地址为20.0.0.1 则设置下一跳为196.168.5.6,否则进行普通转发。 access-list 1 permit 10.0.0.1 access-list 2 permit 20.0.0.1 route-map lab1 permit 10 match ip address 1 set ip next-hop 196.168.4.6 exit route-map lab1 permit 20 match ip address 2 set ip next-hop 196.168.5.6 exit interface GigabitEthernet 0/0 ip policy route-map lab1 exit 【相关命令】 注:route-map配置的相关命令请参考《协议无关命令参考》 ip local policy route-map 要对本地发送的报文启用策略路由,请使用命令ip local policy route-map。该命令的no形式关闭策略路由的应用。 ip local policy route-map route-map no ip local policy route-map
策略路由配置命令
一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下,配置distribute 列表,引用acl 1,过滤从ospf 1重发布到rip的网络路由。也就是说,通过该路由器进行ospf的重发布到rip网络中,过滤acl 1的数据。在该例中的意思就是ospf中如果有数据属于192.168.1.0/24,那么在rip 网络中无法学习到这些路由。由于重发布的命令是redistribute,所以这里可以理解为发布到rip网络中。=============================================================================== ============================================ 二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称,10为序列号,下述条件如果成立的话动作为permit。注意:route-map和acl相同的是,在尾部都有隐藏的默认拒绝所有的条件。 3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足 4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候,对route-map的ospf-rip条目进行匹配过滤。在该例中就是禁止192.168.1.0/24的网络通过路由重发布到rip网络中,也就阻止了rip网络中的路由器学习到该路由。 =============================================================================== ============================================ 三、策略路由 1.定义acl (conf)#access-list 1 permit host 192.168.1.1 2.定义route-map (conf)# route-map pdb permit 10 其中pdb为route-map的名称,10为序列号
策略路由配置与BFD
策略路由配置与BFD 38.1理解策略路由 38.1.1策略路由概述 策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容 灵活地进行路由选择。 现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的, 对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何 策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文 则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。
用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前 面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型: 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由,而对于从该接口转发出去的报文不受策略路由的控制; 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文,对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由,必须先创建路由图,然后在接口上应用该路由图。一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。 每条策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。match语句定义了IP/IPv6报文的匹配规则,set语句定义了对符合匹配规则的IP/IPv6报文处理动作。在策略路由 转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,然后退出策略路由的执行。 IP策略路由使用IP标准或者扩展ACL作为IP报文的匹配规则,IPv6策略路由使用IPv6扩展ACL 作为IPv6报文的匹配规则。IPv6策略路由对于同一条策略最多只能配置一个match ipv6 address。
策略路由配置详解
38策略路由配置 38.1理解策略路由 38.1.1策略路由概述 策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵 活地进行路由选择。 现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何 策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文 则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。 用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型: 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由,而对于从该接口转发出去的报文不受策略路由的控制; 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文,对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由,必须先创建路由图,然后在接口上应用该路由图。一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。
华为路由器路由策略和策略路由配置与管理
路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
策略路由
策略路由技术文档
目录 1.概念 (1) 2.策略路由的种类 (1) 3.策略路由配置方法 (1) 3.1路由重发布相关 (2) 3.2策略路由相关 (2) 3.3Configuring Route Maps (3) 4.基于策略的路由技术概述 (4) 4.1基于源地址的策略路由 (4)
1. 概念 策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。 图1 策略路由 应用了策略路由,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。 应用策略路由,必须要指定策略路由使用的路由图,并且要创建路由图。一个路由图由很多条策略组成,每个策略都定义了1个或多个的匹配规则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。 策略路由可以使数据包按照用户指定的策略进行转发。对于某些管理目的,如QoS需求或VPN拓扑结构,要求某些路由必须经过特定的路径,就可以使用策略路由。例如,一个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。 2. 策略路由的种类 大体上分为两种:一种是根据路由的目的地址来进行的策略称为目的地址路由;另一种是根据路由源地址来进行策略实施的称为源地址路由。 随着策略路由的发展现在有了第三种路由方式:智能均衡的策略方式。 3. 策略路由配置方法 route map和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中.策略路由(policy route)实际上是复杂的静态路由,静态路由是基于数据包的目标地址并转发到指定的下一跳路由器,策略路由还利用和扩展IP
路由策略与策略路由详解
在网络设备维护上,现在很多维护的资料上都讲到“路由策略”与“策略路由”这两个名词,但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻,无法准确把握这两者之间的联系与区别。本文简单分析一下这两者之间的概念,并介绍一些事例,希望大家能从事例中得到更深的理解。 一、路由策略 路由策略,是路由发布和接收的策略。其实,选择路由协议本身也是一种路由策略,因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的。通常我们所说的路由策略指的是,在正常的路由协议之上,我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,注意,改变的是结果(即路由表),规则并没有改变,而是应用这些规则。 下面给出一些事例来说明。 改变参数的例子:例如,A路由器和B路由器之间是双链路(分别为AB1和AB2)且带宽相同,运行是OSPF路由协议,但是两条链路的稳定性不一样,公司想设置AB1为主用电路,当主用电路(AB1)出现故障的时候才采用备用电路(AB2),如果采取默认设置,则两条电路为负载均衡,这时就可以采取分别设置AB1和AB2电路的COST(开销)值,将AB1电路的COST值改小或将AB2电路的COST值设大,OSPF会产生两条开销不一样的路由,COST(开销)越小路由代价越低,所以优先级越高,路由器会优先采用AB1的电路。还可以不改COST值,而将两条电路的带宽(BandWidth)设置为不一致,将AB1的带宽设置的比AB2的大,根据OSPF路由产生和发现规则,AB1的开销(COST)会比AB2低,路由器同样会优先采用AB1的电路。 改变控制方式的例子,基本就是使用路由过滤策略,通过路由策略对符合一点规则的路由进行一些操作,例如最普通操作的是拒绝(deny)和允许(Permit),其次是在允许的基础上调整这些路由的一些参数,例如COST值等等,通常使用的策略有ACL(Acess Control List访问控制列表)、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP协议配合使用中,属于路由接收和通告原则。 例如,上图中AS1不向AS2发布19.1.1.1/32这个网段,可以设置ACL列表,在RTB上设置(以华为的路由器为例): [RTB]acl number 1 match-order auto [RTB-acl-basic-1]rule deny source 19.1.1.1 0 [RTB-acl-basic-1]rule permit source any [RTB]bgp 1 [RTB-bgp]peer 2.2.2.2 as-number 2 [RTB-bgp] import-route ospf [RTB-bgp] peer 2.2.2.2 filter-policy 1 export 如果B向C发布了这条路由,但是C不想接收这条路由,则C可以设置: [RTC]acl number 1 match-order auto
华为策略路由配置实例
华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。
[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2
策略路由配置几种方法
标准ACL配置 如何只允许端口下的用户只能访问特定的服务器网段? 步骤一:定义ACL S5750#conf t ----进入全局配置模式S5750(config)#ip access-list standard 1 ----定义标准ACL S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 ----允许访问服务器资源S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源S5750(config-std-nacl)#exit ----退出标准ACL配置模式步骤二:将ACL应用到接口上 S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向 扩展ACL配置 如何禁止用户访问单个网页服务器? 步骤一:定义ACL S5750#conf t ----进入全局配置模式S5750(config)#ip access-list extended 100 ----创建扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www ----禁止访问web服务器S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源S5750(config-ext-nacl)#exit ----退出ACL配置模式步骤二:将ACL应用到接口上 S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下
华为路由器路由策略和策略路由
! 路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 " 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 % 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 . deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 @ 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。