h3c S5500-EI 策略路由

目录

1 策略路由 .............................................................................................................................................. 1-1

1.1 策略路由简介.................................................................................................................................... 1-1

1.2 配置策略路由.................................................................................................................................... 1-1

1.2.1 配置QoS策略 ....................................................................................................................... 1-1

1.2.2 应用QoS策略 ....................................................................................................................... 1-2

1.3 策略路由显示和维护......................................................................................................................... 1-3

1.4 策略路由典型配置举例 ..................................................................................................................... 1-3

1.4.1 IPv4策略路由配置举例........................................................................................................... 1-3

1.4.2 IPv6策略路由配置举例........................................................................................................... 1-4

1 策略路由

1.1 策略路由简介

策略路由（policy-based-route）是一种依据用户制定的策略进行路由选择的机制。

与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由基于到达报文的源地址等信息灵活地进行路由选择。

S5500-EI系列交换机的策略路由功能通过QoS策略方式实现，用户可以通过配置流分类和“重定向到下一跳”的流行为动作，将满足一定条件的报文向指定的路径进行转发，从而实现灵活的路由选择。

策略路由的优先级要高于普通路由，即报文先按照策略路由进行转发，如果无法匹配所有的策略路由条件，再按照普通路由进行转发。

关于QoS策略的详细介绍，请参见QoS分册中的“QoS配置”。

1.2 配置策略路由

配置策略路由功能需要完成以下两个配置步骤：

●配置QoS策略：定义策略路由中匹配的报文规则以及重定向的路径

●应用QoS策略：定义策略路由生效的范围

1.2.1 配置QoS策略

表1-1配置QoS策略

●

如果报文匹配了策略路由条件，但是配置的重定向下一跳地址不存在，报文将被丢弃。

●

用户指定的下一跳地址在本设备路由表中的出接口不能为Tunnel 接口，否则策略路由功能将不能实现。

1.2.2 应用QoS 策略

在配置策略路由功能时，用户可以通过下列方式应用QoS 策略：

●

基于全局应用QoS 策略：简称为全局策略，QoS 策略对设备上的所有流量生效。

● 基于端口应用QoS 策略：简称为端口策略，QoS 策略对端口接收的流量生效。 ●

基于VLAN 应用QoS 策略：简称为VLAN 策略，QoS 策略对VLAN 内所有端口接收的流量生效。

用于策略路由的QoS 策略只能应用到端口/VLAN/全局的入方向。

表1-2 应用全局策略

表1-3 应用接口策略

表1-4应用VLAN策略

VLAN策略不能应用在动态VLAN上。例如，在运行GVRP协议的情况下，设备可能会动态创建VLAN，相应的VLAN策略不能应用在该动态VLAN上。

1.3 策略路由显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示策略路由的运行情况，通过查看显示信息验证配置的效果。

表1-5策略路由显示和维护

1.4 策略路由典型配置举例

1.4.1 IPv4策略路由配置举例

●组网需求

控制从设备Switch A的GigabitEthernet1/0/1接口接收的所有报文，都转发到下一跳202.1.1.2。

●组网图

Switch C

●配置步骤

# 配置访问控制列表。

system-view

[SwitchA] acl number 2000

[SwitchA-acl-basic-2000] rule 0 permit source any

[SwitchA-acl-basic-2000] quit

# 配置流分类，过滤匹配ACL 2000的所有报文。

[SwitchA] traffic classifier a

[SwitchA-classifier-a] if-match acl 2000

[SwitchA-classifier-a] quit

# 配置流行为，将流量重定向到下一跳202.1.1.2。

[SwitchA] traffic behavior a

[SwitchA-behavior-a] redirect next-hop 202.1.1.2

[SwitchA-behavior-a] quit

# 配置QoS策略。

[SwitchA] qos policy a

[SwitchA-qospolicy-a] classifier a behavior a

[SwitchA-qospolicy-a] quit

# 将QoS策略应用到接口GigabitEthernet1/0/1。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] qos apply policy a inbound

●验证结果

完成上面的配置后，当设备Switch A从GigabitEthernet1/0/1接口收到目的IP地址为201.1.1.2的报文时，此报文会被发送到Switch C，而不会发送到Switch B，说明策略路由应用成功。

1.4.2 IPv6策略路由配置举例

●组网需求

控制从设备Switch A的GigabitEthernet1/0/1接口接收的所有报文，都转发到下一跳202::2。

●组网图

Switch C

●配置步骤

# 配置访问控制列表。

system-view

[SwitchA] acl ipv6 number 2000

[SwitchA-acl6-basic-2000] rule 0 permit source any

[SwitchA-acl6-basic-2000] quit

# 配置流分类，过滤匹配ACL 2000的所有报文。

[SwitchA] traffic classifier a

[SwitchA-classifier-a] if-match acl ipv6 2000

[SwitchA-classifier-a] quit

# 配置流行为，将流量重定向到下一跳202::2。

[SwitchA] traffic behavior a

[SwitchA-behavior-a] redirect next-hop 202::2

[SwitchA-behavior-a] quit

# 配置QoS策略。

[SwitchA] qos policy a

[SwitchA-qospolicy-a] classifier a behavior a

[SwitchA-qospolicy-a] quit

# 将QoS策略应用到接口GigabitEthernet1/0/1。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] qos apply policy a inbound

●验证结果

完成上面的配置后，当设备Switch A从GigabitEthernet1/0/1接口收到目的IP地址为201::2的报文时，此报文会被发送到Switch C，而不会发送到Switch B，说明策略路由应用成功。

华为路由器路由策略和策略路由

路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。 匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL

H3C S5600系列交换机典型配置举例

S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通，网络结构简单、稳定， 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境，选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求，设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤： # 设置以太网交换机Switch A的静态路由。 system-view [SwitchA] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2 [SwitchA] ip route-static 1.1.4.0 255.255.255.0 1.1.2.2 [SwitchA] ip route-static 1.1.5.0 255.255.255.0 1.1.2.2 # 设置以太网交换机Switch B的静态路由。 system-view [SwitchB] ip route-static 1.1.2.0 255.255.255.0 1.1.3.1 [SwitchB] ip route-static 1.1.5.0 255.255.255.0 1.1.3.1

[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。 system-view [SwitchC] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1 [SwitchC] ip route-static 1.1.4.0 255.255.255.0 1.1.3.2 主机上的配置步骤： # 在主机A上配缺省网关为1.1.5.1，具体配置略。 # 在主机B上配缺省网关为1.1.4.1，具体配置略。 # 在主机C上配缺省网关为1.1.1.1，具体配置略。 至此图中所有主机或以太网交换机之间均能两两互通。 2.1.2 RIP典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通，网络规模比较小。需要 设备自动适应网络拓扑变化，降低人工维护工作量。 根据用户需求及用户网络环境，选择RIP路由协议实现用户网络之间互通。(2)网络规划 根据用户需求，设计如图2-2所示网络拓扑图。 设备接口IP地址设备接口IP地址 Switch A Vlan-int1110.11.2.1/24Switch B Vlan-int1110.11.2.2/24 Vlan-int2155.10.1.1/24Vlan-int3196.38.165.1/24 Switch C Vlan-int1110.11.2.3/24 Vlan-int4117.102.0.1/16 图2-2 RIP典型配置组网图 2. 配置步骤

华为S3700策略路由实验

华为S3700策略路由实验 By kevinxiaop, 2012/11/1 拓扑如下： 10.1.1.10/24 要求在SW1上用策略路由，实现10.1.1.0/24网段与外部网络（10.2.2.1）的互通。 Vlan和vlanif的配置略。 路由配置： SW2上配置10.1.1.0/24的静态路由 ip route-static 10.1.1.0 24 172.31.1.2 PC上配置网关为10.1.1.1，或添加到10.2.2.0/24的静态路由 route add 10.2.2.0 mask 255.255.255.0 10.1.1.1 策略路由配置 由于S3700不支持ip local policy-based-route命令，因此不能实现本地策略路由。 下面采用流策略配置实现转发报文的策略路由。 在SW1上： acl 2000 rule 10 permit source 10.1.1.0 0.0.0.255 quit traffic classifier test if-match acl 2000 quit traffic behavior test redirect ip-nexthop 172.31.1.1

statistic enable quit traffic policy test classifier test behavior test quit 在物理接口E0/0/24上应用流策略 int ether 0/0/24 traffic-policy test inbound 在PC上测试ping 10.2.2.1，OK。 在VLAN 100上应用流策略 vlan 100 traffic-policy test inbound 在PC上测试ping 10.2.2.1，OK。 在SW1上ping 10.2.2.1是不通的，因为没有到10.2.2.1的路由。 在PC上ping测试的截图： 注意，这里ping 10.2.2.1的TTL为254，是对的。而ping 10.1.1.1反而多了1跳，这是受到流策略的影响，报文先被转发到了172.31.1.1，然后根据SW2的路由表又转发回来才被10.1.1.1接收到。同时，172.31.1.1会给SW1发一个ICMP重定向报文。

Juniper 防火墙策略路由配置

Juniper 防火墙策略路由配置 一、网络拓扑图 要求： 1、默认路由走电信； 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址，走电信，访问互联网走网通； 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加：

Extended acl id:acl 编号Sequence No.：条目编号源地址：192.168.1.10/32 目的地址：1.0.0.0/8 Protocol：选择为any 端口号选择为：1-65535 点击ok：

2、点击add seg No.再建立一条同样的acl，但protocol 为icmp，否则在trace route 的时候仍然后走默认路由:

3、建立目的地址为0.0.0.0 的acl： 切记添加一条协议为icmp 的acl； 命令行： set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol

配置策略路由实验

实验6-3：配置策略路由(PBR) 【实验目的】： 在本次实验中，你将使策略路由（PBR）最大化的操纵数据包的处理。 在完成本次实验之后，你需要完成下列任务： ?配置策略路由（PBR） 【实验拓扑】： BBR2 BBR1 F0/0 . 2 .1 F0/0 10.254.0.254 OSPF S1/0 S1/0 172.31.x.3 172.31.xx. 1 10 2 –

注意：图中x为所在机架编号，y为路由器编号。 【实验关心】： 假如出现任何问题，能够向在值的辅导老师提出并请求提供关心。 【命令列表】： 【任务一】：配置PBR 配置PRB实验的目的是为了展示能够在配置任意路径中的作用，而不是路由器正常的路由选择过程。那个实验的目的是假设你想操纵源地址为内部路由器（PxR3和PxR4）环回接口的数据包。通常，数据包从PxR3的环回接口，走出你的实验机架，首先到达PxR1，然后是骨干路由器。类似，数据从PxR3的环回接口，走回你的实验机架，首先到达PxR2然后是骨干路由器。

在那个实验中，你需要强制源地址为PxR3的环回接口的数据包先通过PxR1然后到达PxR2，最后达到骨干路由器。源地址为PxR4的环回接口的数据包先通过PxR2，然后到达PxR1，最后达到骨干路由器。 实验过程： 第一步：在OSPF路由配置模式下删除重分布列表。因此BBR2将可不能拥有你的环回接口路由。 第二步：在两个边界路由器上，创建一个ACL 2去匹配直接连接的内路路由器的环回接口。 P1R1#show access-lists Standard IP access list 1 10 permit 10.200.200.0, wildcard bits 0.0.0.255 (10 matches) Standard IP access list 2 10 permit 10.1.0.0, wildcard bits 0.0.255.255 (88 matches) P1R1# 第三步：在边界路由器上，PxR1和PxR2上，创建一个Route-map。参考在第一步中设置的ACL，匹配源地址为内部路由器的环回接

H3C路由器配置实例

通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，Ethernet0/1为外网口。 1、配置内网接口（E t h e r n e t0/0）：[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口（Ethernet0/1） [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5．加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结： 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词：MSR;console; 一、组网需求： 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。 二、组网图： 三、配置步骤：

华为路由器路由策略和策略路由配置与管理

路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。

匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表（IP Prefix List） 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器，可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。 根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。 说明： 当IP地址为0.0.0.0时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器（AS_Path Filter） AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器（Community Filter） 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器（Extcommunity Filter） 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器，可在VPN配置中利用VPN Target区分路由时单独使用。 目前，扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器（Route Distinguisher Filter） RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器，可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立，区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时，可以应用路由策略。只有当设备支持BGP to IGP功能时，路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能，那么IGP就不能够识别BGP路由的私有属性，将导致匹配条件失效。

H3C IPv6 静态路由配置

操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例（路由应用）.........................................................................1-3 1.5 IPv6静态路由典型配置举例（交换应用）.........................................................................1-5

路由策略实验

RG上的配置： interface FastEthernet1/0 ip address 10.1.1.1 255.0.0.0 ip policy route-map ruijie interface FastEthernet1/1 ip address 192.168.6.5 255.255.255.0 interface Serial1/2 ip address 172.16.7.5 255.255.255.0 ip route 0.0.0.0 0.0.0.0 FastEthernet1/1 ip route 0.0.0.0 0.0.0.0 Serial1/2 ip route 10.0.0.0 255.0.0.0 FastEthernet1/0 access-list 1 permit 10.1.0.0 0.0.255.255 access-list 2 permit 10.2.0.0 0.0.255.255 route-map ruijie permit 10 match ip address 1 set ip default next-hop 192.168.6.6 route-map ruijie permit 20 match ip address 2 set ip default next-hop 172.16.7.7 interface Loopback0 ip address 119.1.1.1 255.255.255.0 interface FastEthernet0/1 No swichport ip address 192.168.6.6 255.255.255.0 ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 interface Loopback0 ip address 119.1.1.1 255.255.255.0

策略路由配置与BFD

策略路由配置与BFD 38.1理解策略路由 38.1.1策略路由概述 策略路由（PBR：Policy-Based Routing）提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容 灵活地进行路由选择。 现有用户网络，常常会出现使用到多个ISP（Internet Server Provider，Internet服务提供商）资源的情形，不同ISP申请到的带宽不一；同时，同一用户环境中需要对重点用户资源保证等目的， 对这部分用户不能够再依据普通路由表进行转发，需要有选择的进行数据报文的转发控制，因此，策略路由技术即能够保证ISP资源的充分利用，又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何 策略的数据包将按照普通的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下，策略路由的优先级高于普通路由，能够对IP/IPv6报文依据定义的策略转发；即数据报文先按照IP/IPv6策略路由进行转发，如果没有匹配任意一个的策略路由条件，那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低，接口上收到的IP/IPv6报文 则先进行普通路由的转发，如果无法匹配普通路由，再进行策略路由转发。

用户可以根据实际情况配置设备转发模式，如选择负载均衡或者冗余备份模式，前者设置的多个下一跳会进行负载均衡，还可以设定负载分担的比重；后者是应用多个下一跳处于冗余模式，即前 面优先生效，只有前面的下一跳无效时，后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型： 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由，而对于从该接口转发出去的报文不受策略路由的控制； 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文，对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由，必须先创建路由图，然后在接口上应用该路由图。一个路由图由很多条策略组成，每条策略都有对应的序号（Sequence），序号越小，该条策略的优先级越高。 每条策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。match语句定义了IP/IPv6报文的匹配规则，set语句定义了对符合匹配规则的IP/IPv6报文处理动作。在策略路由 转发过程，报文依优先级从高到底依次匹配，只要匹配前面的策略，就执行该策略对应的动作，然后退出策略路由的执行。 IP策略路由使用IP标准或者扩展ACL作为IP报文的匹配规则，IPv6策略路由使用IPv6扩展ACL 作为IPv6报文的匹配规则。IPv6策略路由对于同一条策略最多只能配置一个match ipv6 address。

重分布、路由策略综合实验

重分布、路由策略综合实验 知识链接： stub area:不可以包含ASBR.不接收外部路由信息(LSA类型5),如果要到达外部AS的话就使用标记为0.0.0.0的默认路由.好处是可以减少路由表的条目.stub area没有虚链路(virtual link)穿越它们 totally stubby area:Cisco私有,不接收外部路由信息和路由汇总信息(LSA类型3,4和5).不可以包含ASBR.如果要到达外部AS的话就使用标记为0.0.0.0的默认路由.好处是最小化路由表条目 not-so-stubby area(NSSA):NSSA是OSPF RFC的补遗.定义了特殊的LSA类型7.提供类似stub area和totally stubby area的优点,可以包含的有ASBR stub area和totally stub area不可以包含的有ASBR,但是假如你想使用ASBR,又想使其具有stub area 和totally stub area的优点(减少路由表条目)的话,就可以采用NSSA. NSSA的ASBR将产生只存在于NSSA中的LSA类型7,然后ABR将LSA类型7转换成LSA类型5.使用default-information-originate参数创建一条area 0到NSSA的默认路由.并且类型5的LSA将不会进入NSSA(类似stub area) OSPF是基于无类的路由协议,它不会进行自动汇总.手动在ABR上做IA route summarization的命令如下: Router(config-router)#area [area-id] range [address] [mask] 在ASBR上做external route summarization的命令如下: Router(config-router)#summary-address [address] [mask] [not-advertise] [tag tag]

路由策略与策略路由详解

在网络设备维护上，现在很多维护的资料上都讲到“路由策略”与“策略路由”这两个名词，但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻，无法准确把握这两者之间的联系与区别。本文简单分析一下这两者之间的概念，并介绍一些事例，希望大家能从事例中得到更深的理解。 一、路由策略 路由策略，是路由发布和接收的策略。其实，选择路由协议本身也是一种路由策略，因为相同的网络结构，不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表，这些是最基本的。通常我们所说的路由策略指的是，在正常的路由协议之上，我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果，注意，改变的是结果（即路由表），规则并没有改变，而是应用这些规则。 下面给出一些事例来说明。 改变参数的例子：例如，A路由器和B路由器之间是双链路（分别为AB1和AB2）且带宽相同，运行是OSPF路由协议，但是两条链路的稳定性不一样，公司想设置AB1为主用电路，当主用电路（AB1）出现故障的时候才采用备用电路（AB2），如果采取默认设置，则两条电路为负载均衡，这时就可以采取分别设置AB1和AB2电路的COST（开销）值，将AB1电路的COST值改小或将AB2电路的COST值设大，OSPF会产生两条开销不一样的路由，COST（开销）越小路由代价越低，所以优先级越高，路由器会优先采用AB1的电路。还可以不改COST值，而将两条电路的带宽（BandWidth）设置为不一致，将AB1的带宽设置的比AB2的大，根据OSPF路由产生和发现规则，AB1的开销（COST）会比AB2低，路由器同样会优先采用AB1的电路。 改变控制方式的例子，基本就是使用路由过滤策略，通过路由策略对符合一点规则的路由进行一些操作，例如最普通操作的是拒绝（deny）和允许（Permit），其次是在允许的基础上调整这些路由的一些参数，例如COST值等等，通常使用的策略有ACL（Acess Control List访问控制列表）、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP协议配合使用中，属于路由接收和通告原则。 例如，上图中AS1不向AS2发布19.1.1.1/32这个网段，可以设置ACL列表，在RTB上设置(以华为的路由器为例)： [RTB]acl number 1 match-order auto [RTB-acl-basic-1]rule deny source 19.1.1.1 0 [RTB-acl-basic-1]rule permit source any [RTB]bgp 1 [RTB-bgp]peer 2.2.2.2 as-number 2 [RTB-bgp] import-route ospf [RTB-bgp] peer 2.2.2.2 filter-policy 1 export 如果B向C发布了这条路由，但是C不想接收这条路由，则C可以设置： [RTC]acl number 1 match-order auto

ict企业网关h3c路由器配置实例

ICT企业网关H3C路由器配置实例 以下是拱墅检查院企业网关的配置实例。路由器是选H3C MRS20-10（ICG2000），具体配置的内容是： PPP+DHCP+NAT+WLAN [H3C-Ethernet0/2] # version 5.20, Beta 1605 # sysname H3C # domain default enable system # dialer-rule 1 ip permit # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable

# dhcp server ip-pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 202.101.172.35 202.101.172.46 # acl number 2001 rule 1 permit source 192.168.1.0 0.0.0.255 # wlan service-template 1 crypto ssid h3c-gsjcy authentication-method open-system cipher-suite wep40 wep default-key 1 wep40 pass-phrase 23456 service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11

SR8800-X核心路由器策略路由配置指导

H3C SR8800-X 核心路由器 策略路由配置指导

目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 4.7 组网需求 (4) 4.8 配置思路 (5) 4.9 使用版本 (5) 4.10 配置步骤 (5) 4.11 验证配置 (6) 4.12 配置文件 (6) 5 相关资料 (7)

1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的，策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 ?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用，指导其转发，对本地产生的报文不起作用； ?配置重定向到下一跳时，不能将IPv4 规则重定向到IPv6 地址，反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如图1 所示，缺省情况下，Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由，对于访问Server 的报文实现如下要求： (1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文，将该报文的下一 跳重定向到10.5.1.2； (2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文，将该报文的下一跳重定向到 10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图

ACL ,地址前缀,路由策略,策略路由之间的区别

1.ACL,它使用包过滤技术，在路由器上读取第3层及第4层包头中的信息，如源地址，目的地址，源端口和目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 2.ACL应用与接口上，每个接口的inbound,outbound 两个方向上分别进行过滤。 3.ACL可以应用于诸多方面 包过滤防火墙功能：保证合法用户的报文通过及拒绝

非法用户的访问。NAT：通过设置ACL来规定哪些数据包需要地址转换。 QoS：通过ACL实现数据分类，对不同类别的数据提供有差别的服务。 路由策略和过滤：对路由信息进行过滤。 按需拨号：只有发送某类数据时，路由器才会发起PSTN/ISDN拨号。

地址前缀列表 1.前缀列表是一组路由信息过滤规则，它可以应用在各种动态路由协议中，对路由协议发布出去和接受到的路由信息进行过滤。 2.前缀列表的优点： ? 占用较小的CPU资源大容量prefix-list的装入速度和查找速度较快 ? 可以在不删除整个列表的情况下添加删除和插入规则 ? 配置简单直观

? 使用灵活可以实现强大的过滤功能 3.前缀列表中的每一条规则都有一个序列号，匹配的时候根据序列号从小往大的顺序进行匹配。 4.prefix-list的匹配满足一下条件： ? 一个空的prefix-list允许所有的前缀 ? 所有非空的prefix-list最后有一条隐含的规则禁止所有的前缀 ? 序列号小的规则先匹

配 路由策略 1.路由策略是为了改变网络流量所经过的途径而修改路由信息的技术。 2.Route-policy是实现路由策略的工具，其作用包括：?路由过滤 ?改变路由信息属性 ３路由策略

h3c路由器典型配置案例

version 5.20, Release 2104P02, Basic # sysname H3C # nat address-group 27 122.100.84.202 122.100.84.202 # # domain default enable system # dns resolve dns proxy enable # telnet server enable # dar p2p signature-file cfa0:/p2p_default.mtd # port-security enable # # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1 network 192.168.201.0 mask 255.255.255.0 gateway-list 192.168.201.1 dns-list 202.106.0.20 202.106.46.151 # # user-group system # local-user admin password cipher .]@USE=*8 authorization-attribute level 3 service-type telnet # interface Aux0 async mode flow link-protocol ppp

interface Cellular0/0 async mode protocol link-protocol ppp # interface Ethernet0/0 port link-mode route nat outbound address-group 27 ip address 122.100.84.202 255.255.255.202 # interface Ethernet0/1 port link-mode route ip address 192.168.201.1 255.255.255.0 # interface NULL0 # # ip route-static 0.0.0.0 0.0.0.0 122.100.84.201 # dhcp enable # load xml-configuration # user-interface con 0 user-interface tty 13 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme user privilege level 3 set authentication password simple###￥￥￥# return [H3C]

gre+IPSE+NAT+策略路由实验

实例1 站点-站点IPSEC VPN+NA T+策略路由配置 要求： （1）网络10.2.2.0/24 与10.1.1.0/2通信使用VPN （2）网络10.2.2.0/24 、10.1.1.0/2与Internet通信使用NA T 1.R1的配置 hostname r1 ! ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 200.1.1.2 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap 10 ipsec-isakmp set peer 200.1.1.2 set transform-set myset match address 100 ! interface Ethernet0/0 ip address 10.2.2.1 255.255.255.0 ip nat inside ip virtual-reassembly half-duplex !

interface Ethernet0/1 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map mymap ! ip route 0.0.0.0 0.0.0.0 100.1.1.2 ! ip nat inside source route-map nonat interface Ethernet0/1 overload ! access-list 100 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 120 permit ip 10.2.2.0 0.0.0.255 any ! route-map nonat permit 10 match ip address 120 ! 2.R3的配置： hostname r3 ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 100.1.1.1 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap 10 ipsec-isakmp set peer 100.1.1.1 set transform-set myset match address 100 ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Ethernet0/1 ip address 200.1.1.2 255.255.255.0 ip nat outside crypto map mymap