高級路由技術(shù)網(wǎng)絡(luò)系統(tǒng)建設(shè)課件-第4章 路由引入、路由控制和策略路由

第4章路由引入、路由控制和策略路由學(xué)習(xí)目標(biāo)和素質(zhì)目標(biāo)掌握BGP的特征和相關(guān)術(shù)語。了解BGP的報文類型及其作用。掌握BGP鄰居關(guān)系的建立過程和鄰居狀態(tài)機及其配置實現(xiàn)。掌握BGP路徑屬性的分類和作用。掌握BGP路由判定規(guī)則和路由選擇策略的配置實現(xiàn)。掌握BGP路由反射器和聯(lián)盟的應(yīng)用場景、作用。了解BGP路由衰減的特征、作用及配置實現(xiàn)。培養(yǎng)學(xué)生的辯證思維。提高學(xué)生的團隊協(xié)作精神。形成科學(xué)嚴(yán)謹(jǐn)?shù)膶W(xué)習(xí)態(tài)度。4.1路由引入概述由于采用的路由算法不同，不同的路由協(xié)議可以發(fā)現(xiàn)不同的路由。當(dāng)網(wǎng)絡(luò)規(guī)模比較大,且使用多種路由協(xié)議時，不同的路由協(xié)議間通常需要發(fā)布其他路由協(xié)議發(fā)現(xiàn)的路由，這種在路由協(xié)議之間交換路由信息的過程被稱為路由引入（RouteImport）。路由引入可能會導(dǎo)致次優(yōu)路由和路由環(huán)路，那么，我們可以采用路由過濾來避免這些問題。另外，路由過濾還可以使我們進行精確的路由引入和路由通告。4.1.1路由引入原理部署不同路由協(xié)議的機構(gòu)合并不同的網(wǎng)絡(luò)使用不同的協(xié)議，并且這些網(wǎng)絡(luò)需要共享路由信息簡單的網(wǎng)絡(luò)可以使用RIP網(wǎng)絡(luò)類型復(fù)雜的可以選用OSPF大型骨干網(wǎng)絡(luò)一般選用ISIS網(wǎng)絡(luò)協(xié)議的限制比如，使用撥號鏈路連接兩個ISIS網(wǎng)絡(luò)，而在撥號鏈路上是不適合運行ISIS協(xié)議的需要配置靜態(tài)路由，然后把靜態(tài)路由引入到ISIS4.1.1路由引入原理路由引入為在同一個互聯(lián)網(wǎng)絡(luò)中高效地支持多種路由協(xié)議提供了可能。執(zhí)行路由引入的路由器被稱為邊界路由器，因為它們位于兩個或多個自治系統(tǒng)的邊界上。任何路由協(xié)議彼此間都可以引入其他的路由協(xié)議的路由以及直連和靜態(tài)路由。一種路由協(xié)議在引入其他路由協(xié)議時，只引入路由協(xié)議在路由表中存在的路由。路由引入時路由度量必須要考慮的，在進行引入時必須指定外部引入進來的路由的初始度量值。路由引入默認(rèn)的初始度量值如下表。路由協(xié)議默認(rèn)初始度量值默認(rèn)路由優(yōu)先級修改初始度量值命令OSPF1,路由類型為210，ASE為150defaultcostIS-IS10，路由類型為Level215defaultcostBGPIGP的度量值255defaultmed4.1.1路由引入原理OSPF路由引入命令import-route

{{bgp

[permit-ibgp]|direct|static|isis

[process-id-isis]|ospf

[process-id-ospf]}[cost

cost|type

type|tag

tag|route-policy

route-policy-name]}配置舉例：OSFP進程中引入IS-IS進程1的路由,指定OSPF外部路由類型為類型1，路由標(biāo)記為2020，開銷值為10。[R1-ospf-1]import-routeisis1type1tag2020cost104.1.1路由引入原理IS-IS路由引入命令import-route

{{isis|ospf}[process-id]|static|direct|bgp[permit-ibgp]}[cost-type{external|internal}|costcost|tag

tag|route-policyroute-policy-name|[level-1|level-2|level-1-2]]配置舉例：配置IS-IS引入OSPF進程1的路由，并設(shè)置引入路由的開銷值為20，路由標(biāo)記為2020，并指定引入路由到Level-2的路由表中。[R1-isis-1]import-routeospf1cost20tag2020level-24.1.1路由引入原理BGP路由引入命令【import-route

protocol

[process-id][med

med|route-policy

route-policy-name]】

BGP引入路由時支持Import和Network兩種方式。Import方式是按協(xié)議類型，將OSPF、IS-IS等協(xié)議的路由引入到BGP路由表中。Network方式是逐條將IP路由表中已經(jīng)存在的路由引入到BGP路由表中，比Import方式更精確。配置舉例：配置BGP引入OSPF進程1的路由，并設(shè)置引入路由的開銷值為100。[R1-bgp]import-routeospf1med1004.1.2路由引入存在的問題路由引入過程中潛在的問題：路由反饋次優(yōu)路由路由環(huán)路不同路由協(xié)議收斂時間的不一致4.1.2路由引入存在的問題10.1.1.0/24OSPFR1R2R3R4IS-IS10.4.4.0/24IS-IS中引入OSPFOSPF中引入IS-IS在邊界路由器上把兩個路由域的路由相互引入，稱之為雙向路由重發(fā)布。兩個路由域存在兩個邊界路由器，并且都執(zhí)行雙向路由重分發(fā)，此時稱為雙點雙向路由重發(fā)布。雙點雙向路由重發(fā)布是一種經(jīng)典的路由模型，因單點的雙向路由重發(fā)布缺乏冗余性，一旦單點的邊界路由器故障，那么兩個路由域之間的通信可能就會出現(xiàn)問題，因此在大型網(wǎng)絡(luò)部署中一般采用雙點雙向路由重發(fā)布。雙點雙向重路由發(fā)布雖然增強了網(wǎng)絡(luò)的可靠性，但是容易引發(fā)：次優(yōu)路徑、路由環(huán)路等問題。雙點雙向路由重發(fā)布10.1.1.0/244.1.2路由引入存在的問題次優(yōu)路徑問題發(fā)生OSPFR1R2R3R4以10.1.1.0/24為例：R1將直連路由10.1.1.0/24引入到OSPF中。R2、R3執(zhí)行雙向路由重發(fā)布，R2先將10.1.1.0/24重發(fā)布到IS-IS中，R3將會學(xué)習(xí)到來自R4的IS-IS路由。對R3而言，IS-IS路由（優(yōu)先級15）優(yōu)于OSPF外部路由（優(yōu)先級150），因此優(yōu)選來自R4的IS-IS路由。后續(xù)R3訪問10.1.1.0/24網(wǎng)段的路徑為：R3->R4->R2->R1，這是次優(yōu)路徑。IS-IS引入直連22133OSPFLSAIS-ISLSPDestination/MaskProtoPre10.1.1.0/24ISIS15訪問流量4.1.2路由引入存在的問題解決次優(yōu)路徑問題Destination/MaskProtoPre10.1.1.0/24OSPF150解決解決方案一：在R3的IS-IS進程內(nèi)，通過Filter-Policy禁止來自R4的10.1.1.0/24路由加入本地路由表。在R3上執(zhí)行以下操作：[R3]acl2001[R3-acl-basic-2001]rule5denysource10.1.1.00[R3-acl-basic-2001]rule10permit[R3]isis[R3-isis-1]filter-policy2001import10.1.1.0/24OSPFR1R2R3R4IS-IS引入直連22133OSPFLSAIS-ISLSP訪問流量4.1.2路由引入存在的問題解決次優(yōu)路徑問題解決方案二：R3通過ACL匹配10.1.1.0/24路由，在Route-Policy中調(diào)用該條ACL，將匹配這條ACL的路由的優(yōu)先級設(shè)置為14（優(yōu)于IS-IS）。在OSPF視圖下使用preferencease命令調(diào)用Route-Policy修改外部路由的優(yōu)先級。在R3上執(zhí)行以下操作：[R3]acl2000 [R3-acl-basic-2000]rulepermitsource10.1.1.00[R3-acl-basic-2000]quit[R3]route-policyhcippermitnode10[R3-route-policy]if-matchacl2000[R3-route-policy]applypreference14[R3-route-policy]quit[R3]ospf1

[R3-ospf-1]preferenceaseroute-policyhcipDestination/MaskProtoPre10.1.1.0/24OSPF1410.1.1.0/24OSPFR1R2R3R4IS-IS引入直連22133OSPFLSAIS-ISLSP訪問流量4.1.2路由引入存在的問題路由環(huán)路問題10.1.1.0/24OSPFR1R2R3R4IS-IS引入直連22133OSPFLSAIS-ISLSP44Destination/MaskProtoPre10.1.1.0/24ISIS154.1.2路由引入存在的問題解決路由環(huán)路問題解決方案一：在R3的OSPF中引入IS-IS路由時，通過Route-Policy過濾掉10.1.1.0/24路由。在R3上執(zhí)行以下操作：[R3]acl2001[R3-acl-basic-2001]rule5denysource10.1.1.00[R3-acl-basic-2001]rule10permit[R3]route-policyRPpermitnode10[R3-route-policy]if-match2001[R3-route-policy]quit[R3]ospf[R3-ospf-1]import-routeisis1route-policyRP10.1.1.0/24OSPFR1R2R3R4IS-IS引入直連22133OSPFLSAIS-ISLSPDestination/MaskProtoPre10.1.1.0/24OSPF1504.1.2路由引入存在的問題使用Tag實現(xiàn)有選擇性地路由引入解決路由環(huán)路問題10.1.1.0/24OSPFR1R2R3R4IS-IS引入直連22133OSPFLSAIS-ISLSP使用Route-Policy過濾攜帶tag200的路由使用Route-Policy為10.1.1.0/24打上tag200[R2]acl2000 [R2-acl-basic-2000]rulepermitsource10.1.1.00[R2-acl-basic-2000]quit[R2]route-policyLOOPpermitnode10[R2-route-policy]if-matchacl2000[R2-route-policy]applytag200[R2-route-policy]quit[R2]isis1[R2-isis-1]import-routeospfroute-policyLOOP[R3]route-policyLOOPdenynode10

[R3-route-policy]if-matchtag200[R3-route-policy]quit[R3]route-policyLOOPpermitnode20[R3]ospf1[R3-ospf-1]import-routeisisroute-policyLOOP4.1.2路由引入存在的問題次優(yōu)路由、路由反饋和路由環(huán)路現(xiàn)象分析：技術(shù)背景R1上將業(yè)務(wù)A、B、C的網(wǎng)段路由引入時希望不引入業(yè)務(wù)C網(wǎng)段路由，同時R3上將OSPF路由引入到IS-IS中時，同樣只希望引入B業(yè)務(wù)網(wǎng)段路由。此時需要一個工具在引入路由時進行限制。R1R2R3R4GE0/0/210.0.34.3/24GE0/0/310.0.34.4/24GE0/0/210.0.12.1/24GE0/0/310.0.12.2/24GE0/0/210.0.23.2/24GE0/0/310.0.23.3/24業(yè)務(wù)A172.16.1.0/24OSPFArea0IS-ISArea

49.0001Level-1業(yè)務(wù)B172.16.2.0/24業(yè)務(wù)C172.16.3.0/24將到達B業(yè)務(wù)網(wǎng)段的路由引入不將到達C業(yè)務(wù)網(wǎng)段的路由引入4.2路由控制路由控制可以通過路由策略（Route-Policy）實現(xiàn)，路由策略應(yīng)用靈活而廣泛，有以下幾種常見方式：控制路由的發(fā)布：通過路由策略對發(fā)布的路由進行過濾，只發(fā)布滿足條件的路由?？刂坡酚傻慕邮眨和ㄟ^路由策略對接收的路由進行過濾，只接收滿足條件的路由?？刂坡酚傻囊耄和ㄟ^路由策略控制從其他路由協(xié)議引入的路由條目，只有滿足條件的路由才會被引入。定義路由特征匹配出要實施路由策略的路由，即定義一組匹配規(guī)則進行匹配：可以根據(jù)路由信息中的不同屬性進行匹配，如目的地址、Tag值等。路由發(fā)布路由接收路由引入應(yīng)用4.2.1前綴列表IP前綴列表（IP-PrefixList）是將路由條目的網(wǎng)絡(luò)地址、掩碼長度作為匹配條件的過濾器，可在各路由協(xié)議發(fā)布和接收路由時使用。不同于ACL，IP-PrefixList能夠同時匹配IP地址前綴長度以及掩碼長度，增強了匹配的精確度。[Huawei]ipip-prefixtestindex10permit192.168.1.022greater-equal24less-equal26ip-prefix-name序號動作掩碼范圍IP網(wǎng)段與掩碼1、ip-prefix-name：前綴列表名稱2、序號：本匹配項在前綴列表中的序號，匹配時根據(jù)序號從小到大進行順序匹配3、動作：permit/deny，前綴列表的匹配模式為允許/拒絕4、IP網(wǎng)段與掩碼：匹配路由的網(wǎng)絡(luò)地址，以及限定網(wǎng)絡(luò)地址的前多少位需嚴(yán)格匹配5、掩碼范圍：匹配路由前綴長度，掩碼長度的匹配范圍mask-length<=greater-equal-value<=less-equal-value<=324.2.1前綴列表前綴列表的作用類似于訪問控制列表，但比ACL更為靈活，且更易于理解。前綴列表的特點如下：編輯方便性。配置前綴列表時，可以指定序號，只要序列號不是連續(xù)的，以后就可以方便地插入條目，或者刪除針對某個序號的條目，而不是整個前綴列表。執(zhí)行高效性。在大型列表的加載和路由查找方面比ACL有顯著的性能改進。配置靈活性?？梢栽谇熬Y列表中指定掩碼的長度，也可以指明掩碼長度的范圍。4.2.1前綴列表前綴列表的匹配機制開始分析第一條索引表項待匹配路由在定義的范圍內(nèi)？是否剩余其它索引表項分析下一條索引表項動作是permit還是deny匹配結(jié)果為拒絕匹配結(jié)果為允許結(jié)束是否permitdeny順序匹配是否唯一匹配默認(rèn)拒絕4.2.1前綴列表IP-Prefix的匹配示例1.1.1.1/321.1.1.0/271.1.1.0/261.1.1.0/251.1.1.0/241.1.1.0/271.1.1.0/261.1.1.0/251.1.1.0/24ipip-prefixList1index10permit1.1.1.024greater-equal24less-equal27待匹配對象被匹配的路由條目上述IP前綴列表匹配的是網(wǎng)絡(luò)地址的前24bit與1.1.1.0相同，網(wǎng)絡(luò)掩碼長度大于或等于24且小于或等于27的路由，因此1.1.1.1/32不匹配。IPRouting-tableMatchedRouteEntry4.2.1前綴列表前綴列表示例路由1.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/8ipip-prefixPref1index10permit1.1.1.024greater-equal24less-equal24路由1.1.1.0/244.2.1前綴列表前綴列表示例路由1.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/8ipip-prefixPref1index10permit1.1.0.016greater-equal24路由1.1.1.0/241.1.1.0/254.2.1前綴列表ipip-prefixtest1index5permit0.0.0.0/0greater-equal32ipip-prefixtest2index10permit0.0.0.0/0less-equal32ipip-prefixtest3index15permit0.0.0.0/0greater-equal1ipip-prefixtest4index20permit0.0.0.0/1greater-equal8less-equal8ipip-prefixtest5index25permit128.0.0.0/2greater-equal16less-equal16ipip-prefixtest6index30permit192.0.0.0/3greater-equal24less-equal24ipip-prefixtest7index35permit192.168.0.0/16less-equal20ipip-prefixtest8index40permit192.168.0.0/16greater-equal204.2.2路由策略Route-policy是強大的過濾工具和策略工具。它由一系列if-match子句和Apply子句構(gòu)成。route-policy

route-policy-name

{permit|deny}

node

nodeif-matchapply一個routingpolicy下可以有多個節(jié)點，不同的節(jié)點號用seq-number標(biāo)識。每個節(jié)點下可以有多個if-match和apply子句，if-match子句之間是“與”的關(guān)系。允許模式：當(dāng)路由項滿足該節(jié)點的所有if-match子句時被允許通過該節(jié)點的過濾并執(zhí)行該節(jié)點的apply子句，如路由項不滿足該節(jié)點的if-match子句，將試圖匹配路由策略的下一個節(jié)點。拒絕模式：當(dāng)路由項滿足該節(jié)點的所有if-match子句時被拒絕通過該節(jié)點的過濾，并且不會進行下一個節(jié)點的測試。4.2.2路由策略Route-Policy是一個策略工具，用于過濾路由信息，以及為過濾后的路由信息設(shè)置路由屬性。一個Route-Policy由一個或多個節(jié)點（Node）構(gòu)成，每個節(jié)點都可以是一系列條件語句（匹配條件）以及執(zhí)行語句（執(zhí)行動作）的集合，這些集合按照編號從小到大的順序排列。Node1（匹配模式Permit）

條件語句

執(zhí)行語句Node2（匹配模式Permit）

條件語句

執(zhí)行語句NodeN（匹配模式Permit）

條件語句

執(zhí)行語句……自上而下route-policytest節(jié)點內(nèi)的多個條件語句之間的關(guān)系為“與”節(jié)點之間的關(guān)系為“或”4.2.2路由策略一個Route-Policy由一個或多個節(jié)點構(gòu)成，每個節(jié)點包括多個if-match和apply子句。permit或deny：指定Route-Policy節(jié)點的匹配模式為允許或拒絕。node：指定Route-Policy的節(jié)點號。整數(shù)形式，取值范圍是0～65535。if-match子句：定義該節(jié)點的匹配條件。apply子句：定義針對被匹配路由執(zhí)行的操作。route-policytestpermitnode10if-matchx1if-matchx2

applyy1route-policytestpermitnode20if-matchx3x4applyy2route-policytestpermitnodeNif-matchxnapplyyn……Route-Policy名稱節(jié)點的匹配模式節(jié)點號條件語句執(zhí)行語句4.2.2路由策略路由策略使用不同的匹配條件和匹配模式選擇路由和改變路由屬性。route-policynode10If-matchIf-match……匹配模式applyapply……通過路由策略……nodeNIf-matchIf-match……匹配模式applyapply……通過路由策略拒絕通過拒絕通過拒絕通過全部匹配成功全部匹配成功permitpermitdenydeny未全部匹配成功未全部匹配成功順序匹配唯一匹配4.2.2路由策略路由策略配置舉例：對前綴列表1定義的路由信息設(shè)置路由標(biāo)記[R1]ipip-prefix1index10permit1.1.1.024[R1]route-policyexamplepermitnode10[R1-route-policy]if-matchip-prefix1[R1-route-policy]applytag11114.2.3過濾策略Filter-Policy（過濾-策略）是一個很常用的路由信息過濾工具，能夠?qū)邮?、發(fā)布、引入的路由進行過濾，可應(yīng)用于IS-IS、OSPF、BGP等協(xié)議。BGPR1R2R310.1.1.010.1.2.010.1.3.010.1.1.010.1.2.010.1.3.0Filter-Policy4.2.3過濾策略在距離矢量路由協(xié)議中，設(shè)備之間傳遞的是路由信息，如果需要對這種路由信息進行某種過濾，可以使用Filter-Policy實現(xiàn)，出方向和入方向的生效位置。DatabaseIPRouting-TableDatabaseIPRouting-Tablefilter-policyexport路由信息路由信息路由信息filter-policyimportR1R24.2.3過濾策略在鏈路狀態(tài)路由協(xié)議中，各路由設(shè)備之間傳遞的是LSA信息，然后設(shè)備根據(jù)LSA匯總成的LSDB信息計算出路由表。但是Filter-Policy只能過濾路由信息，無法過濾LSA。LSDBIPRouting-TableLSDBIPRouting-Tablefilter-policyexportLSALSALSAfilter-policyimport本地始發(fā)的5類LSA入方向過濾：不把路由加入到路由表中出方向過濾：過濾路由信息過濾從其他協(xié)議引入的路由R1R24.2.3過濾策略Filter-Policy的基礎(chǔ)配置命令[Huawei-ospf-100]filter-policy{acl-number|acl-name

acl-name|ip-prefix

ip-prefix-name|route-policy

route-policy-name[secondary]}import按照過濾策略，設(shè)置對接收的路由進行過濾。[Huawei-ospf-100]filter-policy

{

acl-number

|

acl-name

acl-name

|

ip-prefix

ip-prefix-name

|

route-policy

route-policy-name

}

export

[

protocol

[

process-id

]]按照過濾策略，設(shè)置對引入的路由在向外發(fā)布時進行過濾。4.2.3過濾策略R1R2ospf1filter-policy2000importR1R2ospf1import-routestaticfilter-policy2000exportfilter-policyimport命令對接收的路由設(shè)置過濾策略，只有通過過濾策略的路由才被添加到路由表中，沒有通過過濾策略的路由不會被添加進路由表，但不影響對外發(fā)布出去。OSPF通過命令import-route引入外部路由后，為了避免路由環(huán)路的產(chǎn)生，通過filter-policyexport命令對引入的路由在發(fā)布時進行過濾，只將滿足條件的外部路由轉(zhuǎn)換為Type5LSA（AS-external-LSA）并發(fā)布出去。filter-policyimportfilter-policyexport鏈路狀態(tài)信息LSA1LSA2LSA3LSA4LSA1LSA2LSA3LSA4172.16.1.0/24172.16.2.0/24172.16.3.0/24172.16.1.0/24172.16.2.0/24172.16.3.0/24R1路由表10.1.1.02410.1.2.02410.1.3.02410.1.4.024R2路由表10.1.1.02410.1.2.02410.1.3.024OSPF中使用Filter-Policy圖1圖24.2.3過濾策略filter-policyimportR1R2isisfilter-policy2000import與OSPF相似，filter-policyimport命令只會對本地的路由表產(chǎn)生影響，不會將匹配的路由加入到路由表，不會影響本地設(shè)備的LSP的擴散和LSDB的同步。filter-policyexportLSP1LSP2LSP3LSP4LSP1LSP2LSP3LSP4R1R2Isis1import-routebgpfilter-policy2000exportBGPISISBGPRouting-TableIS-ISRouting-Table當(dāng)網(wǎng)絡(luò)中同時部署了IS-IS和其他路由協(xié)議時，如果已經(jīng)在邊界設(shè)備上引入其他路由協(xié)議的路由，缺省情況下，該設(shè)備將把引入的全部外部路由發(fā)布給IS-IS鄰居。如果只希望將引入的部分外部路由發(fā)布給鄰居，可以使用filter-policyexport命令實現(xiàn)。鏈路狀態(tài)信息R1路由表10.1.1.02410.1.2.02410.1.3.02410.1.4.024R2路由表10.1.1.02410.1.2.02410.1.3.024IS-IS中使用Filter-Policy圖1圖24.2.3過濾策略filter-policyimportR1R2bgp100ipv4-familyunicastfilter-policy2000import使用filter-policyimport命令可以對BGP設(shè)備全局接收的路由進行過濾，決定是否將路由添加到BGP路由表中。filter-policyexport使用filter-policyexport命令可以將對外發(fā)布的路由進行過濾，只有通過過濾的路由才能加入BGP本地路由表，并被BGP發(fā)布。AS100BGPUpdateNLRI：Route-entry1NLRI：Route-entry2BGPUpdateNLRI：Route-entry1R1R2bgp100ipv4-familyunicastfilter-policy2000exportAS100BGPUpdateNLRI：Route-entry1NLRI：Route-entry2BGPUpdateR1路由表10.1.1.02410.1.2.024R2路由表10.1.1.024R1路由表10.1.1.02410.1.2.02410.1.3.024BGP中使用Filter-Policy圖1圖24.2.3過濾策略過濾策略配置舉例，如下圖所示，分別在路由器R1、R2和R3上配置過濾策略，在路由器R1的IS-IS進程中引入直連路由，并將172.16開頭的第三位為奇數(shù)的直連路由過濾，在路由器R2的OSPF進程中引入IS-IS路由時只允許172.16開頭的第三位被4整除的路由，在路由器R3的OSPF進程中只允許172.16開頭的第三位被8整除的路由進入IP路由表。實現(xiàn)過程如下。4.2.3過濾策略路由器R1的IS-IS進程中引入直連路由時，將172.16開頭的第三位為奇數(shù)的路由過濾。[R1]aclnumber2000[R1-acl-basic-2000]rule10denysource172.16.1.00.0.254.0[R1-acl-basic-2000]rule20permit[R1]isis1[R1-isis-1]is-levellevel-2[R1-isis-1]network-entity49.0001.1111.1111.1111.00[R1-isis-1]import-routedirect[R1-isis-1]filter-policy2000exportdirect4.2.3過濾策略路由器R2的OSPF進程引入IS-IS路由時只允許172.16開頭的第三位被4整除的路由。[R2]aclnumber2000[R2-acl-basic-2000]rule10permitsource172.16.0.00.0.252.0[R2]ospf1[R2-ospf-1]import-routeisis1[R2-ospf-1]filter-policy2000exportisis1[R2]isis1[R2-isis-1]is-levellevel-2[R2-isis-1]network-entity49.0001.2222.2222.2222.00[R2-isis-1]import-routeospf14.2.3過濾策略路由器R3的OSPF進程中只允許172.16開頭第三位被8整除的路由進入路由表。[R3]aclnumber2000[R3-acl-basic-2000]rule10permitsource172.16.0.00.0.248.0[R3]ospf1[R3-ospf-1]filter-policy2000import4.2.3過濾策略查看路由器R2的IS-IS路由[R2]displayiprouting-tableprotocolisis

Destination/MaskProtoPreCostFlagsNextHopInterface172.16.0.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/0172.16.2.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/0172.16.4.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/0172.16.6.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/0172.16.8.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/04.2.3過濾策略查看路由器R3的OSPF路由表[R3]displayospfrouting

RoutingforASEsDestinationCostTypeTagNextHopAdvRouter172.16.0.0/241Type21172.31.23.12.2.2.2172.16.4.0/241Type21172.31.23.12.2.2.2172.16.8.0/241Type21172.31.23.12.2.2.24.2.3過濾策略查看路由器R3的IP路由表中的OSPF路由[R3]displayiprouting-tableprotocolospf

Destination/MaskProtoPreCostFlagsNextHopInterface172.16.0.0/24O_ASE1501D172.31.23.1GigabitEthernet0/0/1172.16.8.0/24O_ASE1501D172.31.23.1GigabitEthernet0/0/1策略路由技術(shù)背景在某些場景中我們希望一些特定用戶、特定業(yè)務(wù)的流量走指定的轉(zhuǎn)發(fā)路徑，而其余用戶或業(yè)務(wù)的流量則依舊根據(jù)路由表進行轉(zhuǎn)發(fā)。網(wǎng)段1ISP1ISP2網(wǎng)段2出口示例：雙ISP接入的企業(yè)，想要實現(xiàn)內(nèi)網(wǎng)網(wǎng)段1訪問Internet通過ISP1、內(nèi)網(wǎng)網(wǎng)段2訪問Internet通過ISP2，該需求無法通過傳統(tǒng)的路由技術(shù)實現(xiàn)。企業(yè)X4.3策略路由概述策略路由（policy-based-route）是一種依據(jù)用戶制定的策略進行路由選擇的機制，與單純依照IP報文的目的地址查找路由表進行轉(zhuǎn)發(fā)不同，可應(yīng)用于安全、負載分擔(dān)等目的。策略路由主要是控制報文的轉(zhuǎn)發(fā)，即可以不按照路由表進行報文的轉(zhuǎn)發(fā)。為網(wǎng)絡(luò)管理者提供了比傳統(tǒng)路由協(xié)議對報文的轉(zhuǎn)發(fā)和存儲更強的控制能力。192.168.1.0/2410.0.12.1/2410.0.13.1/2410.0.12.2/2410.0.13.2/24192.168.1.0/24via10.0.12.2RTARTBRTCPPBR執(zhí)行點PNetworkRTA上路由表中前往192.168.1.0/24下一跳為10.0.12.2，使用策略路由改變其轉(zhuǎn)發(fā)路徑。RTA的路由表部署PBR將流量重定向到RTC4.3策略路由概述路由策略與策略路由的區(qū)別路由策略策略路由基于控制平面，會影響路由表表項?；谵D(zhuǎn)發(fā)平面，不會影響路由表表項，且設(shè)備收到報文后，會先查找策略路由進行匹配轉(zhuǎn)發(fā)，若匹配失敗，則再查找路由表進行轉(zhuǎn)發(fā)。只能基于目的地址進行策略制定?？苫谠吹刂?、目的地址、協(xié)議類型、報文大小等進行策略制定。與路由協(xié)議結(jié)合使用。需手工逐跳配置，以保證報文按策略進行轉(zhuǎn)發(fā)。常用工具：Route-Policy、Filter-Policy等。常用工具：Traffic-Filter、Traffic-Policy、Policy-Based-Route等。4.3.1本地策略路由本地策略路由僅對本設(shè)備自身發(fā)送的報文（如OSPF、BGP等）進行處理，對轉(zhuǎn)發(fā)的報文不起作用。一條本地策略路由可以配置多個策略點，并且這些策略點具有不同的優(yōu)先級，本機下發(fā)報文優(yōu)先匹配優(yōu)先級高的策略點。本機下發(fā)報文時，根據(jù)本地策略路由節(jié)點的優(yōu)先級，依次匹配各節(jié)點綁定的匹配規(guī)則，本地策略路由支持基于ACL或報文長度的匹配規(guī)則。P依據(jù)路由表轉(zhuǎn)發(fā)PBR轉(zhuǎn)發(fā)PBR執(zhí)行點P4.3.1本地策略路由[Huawei]policy-based-route

policy-name

{

deny

|

permit

}

node

node-id創(chuàng)建PBR創(chuàng)建策略路由和策略點，若策略點已創(chuàng)建則進入本地策略路由視圖。[Huawei-policy-based-route-PBR-10]if-matchaclacl-number[Huawei-policy-based-route-PBR-10]if-matchpacket-lengthmin-lengthmax-length設(shè)置IP報文的匹配條件缺省情況下，策略路由中未配置匹配條件，可以設(shè)置使用ACL匹配IP地址，也可以設(shè)置匹配報文長度。[Huawei-policy-based-route-PBR-10]applyoutput-interfaceinterface-typeinterface-number指定PBR中報文的出接口缺省情況下，策略路由中未配置報文出接口。配置成功后，將匹配策略點的報文從指定出接口發(fā)送出去。

系統(tǒng)視圖下應(yīng)用PBR[Huawei]iplocalpolicy-based-routepolicy-name4.3.1本地策略路由本地策略路由配置舉例，如下圖所示，路由器R1和R2之間配置靜態(tài)路由到達對方的環(huán)回接口0。現(xiàn)通過配置本地策略路由實現(xiàn)大小為64-100字節(jié)的數(shù)據(jù)包選擇上邊的鏈路，大小為101-500字節(jié)的數(shù)據(jù)包選擇下面的鏈路，所有其他長度的數(shù)據(jù)包都按基于目的地址的方法進行路由選路。4.3.1本地策略路由路由器R1配置本地策略路由[R1]policy-based-routeLPpermitnode10[R1-policy-based-route-LP-10]if-matchpacket-length64100[R1-policy-based-route-LP-10]applyip-addressnext-hop172.16.12.2[R1]policy-based-routeLPpermitnode20[R1-policy-based-route-LP-20]if-matchpacket-length101500[R1-policy-based-route-LP-20]applyip-addressnext-hop172.16.21.2[R1]iplocalpolicy-based-routeLP生成測試流量，在路由器R1上用如下的2條命令進行測試[R1]ping-a172.16.1.1-s80172.16.2.2[R1]ping-a172.16.1.1-s200172.16.2.24.3.1本地策略路由查看本地策略路由匹配統(tǒng)計信息[R1]displayippolicy-based-routestatisticslocal

Localpolicybasedroutinginformation:policy-based-route:LPpermitnode10applyip-addressnext-hop172.16.12.2Denied:0,

Forwarded:5permitnode20applyip-addressnext-hop172.16.21.2Denied:0,

Forwarded:54.3.2接口策略路由接口策略路由通過在流行為中配置重定向?qū)崿F(xiàn)。接口PBR只對轉(zhuǎn)發(fā)的報文起作用，對本地始發(fā)的報文無效。接口PBR調(diào)用在接口下，對接口的入方向報文生效。缺省情況下，設(shè)備按照路由表的下一跳進行報文轉(zhuǎn)發(fā)，如果配置了接口PBR，則設(shè)備按照接口PBR指定的下一跳進行轉(zhuǎn)發(fā)。PBR執(zhí)行點1依據(jù)路由表轉(zhuǎn)發(fā)PBR轉(zhuǎn)發(fā)2PP4.3.2接口策略路由接口路由策略配置案例需求ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/010.1.3.254RTA4.3.2接口策略路由接口路由策略配置案例實現(xiàn)ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/010.1.3.254RTA[RTA]aclnumber3000[RTA-acl-adv-3000]rule1denyipsource10.1.1.00.0.0.255destination10.1.3.2540[RTA-acl-adv-3000]rule2permitipsource10.1.1.00.0.0.255destination0.0.0.00配置ACL3000，其中rule1

deny網(wǎng)段1訪問服務(wù)器的流量，rule2匹配網(wǎng)段1訪問Internet的流量。[RTA]aclnumber3001[RTA-acl-adv-3001]rule1denyipsource10.1.2.00.0.0.255destination10.1.3.2540[RTA-acl-adv-3001]rule2permitipsource10.1.2.00.0.0.255destination0.0.0.00配置ACL3001，其中rule1

deny網(wǎng)段2訪問服務(wù)器的流量，rule2匹配網(wǎng)段2訪問Internet的流量。4.3.2接口策略路由接口路由策略配置案例實現(xiàn)ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/010.1.3.254RTA[RTA]policy-based-routePBRpermitnode10[RTA-policy-based-route-hcip-10]if-matchacl3000[RTA-policy-based-route-hcip-10]applyip-addressnext-hop202.1.2.3創(chuàng)建路由策略PBR，創(chuàng)建節(jié)點10，調(diào)用ACL3000，指定其轉(zhuǎn)發(fā)下一跳為202.1.2.3[RTA]policy-based-routePBRpermitnode20[RTA-policy-based-route-hcip-20]if-matchacl3001[RTA-policy-based-route-hcip-20]applyip-addressnext-hop154.1.2.3創(chuàng)建路由策略PBR節(jié)點20，調(diào)用ACL3001，指向其轉(zhuǎn)發(fā)下一跳為154.1.2.3在GE0/0/0接口調(diào)用路由策略[RTA]interfaceGigabitEthernet0/0/0 [RTA-GigabitEthernet0/0/0]ippolicy-based-routePBR4.3.2接口策略路由MQC（ModularQoSCommand-LineInterface，模塊化QoS命令行）是指通過將具有某類共同特征的數(shù)據(jù)流劃分為一類，并為同一類數(shù)據(jù)流提供相同的服務(wù)，也可以對不同類的數(shù)據(jù)流提供不同的服務(wù)。MQC包含三個要素：流分類（trafficclassifier）、流行為（trafficbehavior）和流策略（trafficpolicy）。MQC的流行為支持重定向報文，因此可以使用MQC實現(xiàn)IP單播策略路由。應(yīng)用流策略在接口入方向上應(yīng)用流策略對屬于該VLAN并匹配流分類中規(guī)則的入方向報文實施策略控制在全局或板卡上應(yīng)用流策略流分類配置流分類，用于匹配感興趣數(shù)據(jù)流?？苫赩LANTag、DSCP、ACL規(guī)則…..流行為將感興趣報文進行重定向?？梢栽O(shè)置重定向的下一跳IP地址或出接口。流策略流分類--->流行為4.3.2接口策略路由流分類：定義一組流量匹配規(guī)則，以對報文進行分類。流分類支持的匹配項如下所示。流行為：用來定義執(zhí)行的動作，支持報文過濾、重標(biāo)記優(yōu)先級、重定向、流量統(tǒng)計等動作。流分類1（trafficclassifier）流行為1（trafficbehavior）三層可匹配項二層可匹配項………目的MAC地址or源MAC地址ACL4000～4999匹配的字段VLAN報文Tag的ID信息………IPv4報文長度IP報文的IP優(yōu)先級ACL2000～3999匹配的字段其他可匹配項………出接口所有報文入接口流分類1（trafficclassifier）流行為1（trafficbehavior）重新標(biāo)記報文優(yōu)先級流量統(tǒng)計為報文添加VLANTag過濾報文………對報文執(zhí)行策略路由可執(zhí)行動作4.3.2接口策略路由流策略：將流分類和流行為綁定，對分類后的報文執(zhí)行對應(yīng)流行為中定義的動作。一個流策略可以綁定多個流分類和流行為。流策略（trafficpolicy）流分類1（trafficclassifier）流行為1（trafficbehavior）流分類2（trafficclassifier）流行為2（trafficbehavior）流分類n（trafficclassifier）流行為n（trafficbehavior）流策略調(diào)用在接口入向SW1Q流策略調(diào)用在接口出向SW1Q流策略調(diào)用在接口入向4.3.2接口策略路由[Huawei]trafficclassifierclassifier-name[operator{and|or}]創(chuàng)建流分類缺省情況下，流分類中各規(guī)則之間的關(guān)系為“或”（or）。流分類中的匹配規(guī)則配置可查閱產(chǎn)品手冊。[Huawei]trafficbehaviorbehavior-name創(chuàng)建流行為根據(jù)實際情況定義流行為中的動作，只要各動作不沖突，都可以在同一流行為中配置。流行為具體配置可查閱產(chǎn)品手冊。[Huawei]trafficpolicypolicy-name

[Huawei-trafficpolicy-policyname]classifierclassifier-namebehaviorbehavior-name創(chuàng)建流策略，并綁定流分類與流行為4.3.2接口策略路由使用MQC實現(xiàn)策略路由案例需求需求：內(nèi)網(wǎng)存在兩個網(wǎng)段，網(wǎng)段1：10.1.1.0/24，網(wǎng)段2：10.1.2.0/24，在RTA上通過MQC實現(xiàn)策略路由，實現(xiàn)網(wǎng)段1訪問Internet通過ISP1、網(wǎng)段2訪問Internet通過ISP2。將MQC調(diào)用在RTA的GE0/0/0接口ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/0RTA4.3.2接口策略路由使用MQC實現(xiàn)策略路由案例配置[RTA]aclnumber3000[RTA-acl-adv-3000]rule2permitipsource10.1.1.00.0.0.255destination0.0.0.00[RTA]aclnumber3001[RTA-acl-adv-3001]rule2permitipsource10.1.2.00.0.0.255destination0.0.0.00配置ACL3000、3001分別匹配網(wǎng)段1、網(wǎng)段2訪問Internet的流量。[RTA]trafficclassifier1[RTA-classifier-1]if-matchacl3000[RTA]trafficclassifier2[RTA-classifier-2]if-matchacl3001創(chuàng)建流分類1、2分別匹配ACL3000、ACL3001。ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/0RTA4.3.2接口策略路由使用MQC實現(xiàn)策略路由案例配置[RTA]trafficbehavior1[RTA-behavior-1]redirectip-nexthop202.1.2.3[RTA-behavior-1]statisticenable[RTA]trafficbehavior2[RTA-behavior-2]redirectip-nexthop154.1.2.3[RTA-behavior-2]statisticenable創(chuàng)建流行為1、2分別執(zhí)行將報文重定向到202.1.2.3、154.1.2.3的動作。[RTA]trafficpolicyRedirect[RTA-trafficpolicy-Redirect]classifier1behavior1[RTA-trafficpolicy-Redirect]classifier2behavior2創(chuàng)建流策略Redirect，將流分類1、2與流行為1、2一一綁定。[RTA]interfaceGigabitEthernet0/0/0[RTA-GigabitEthernet0/0/0]traffic-policyRedirectinbound在GE0/0/0接口入方向調(diào)用流策略RedirectISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/0RTA4.3.2接口策略路由生成測試流量查看接口策略路由匹配統(tǒng)計信息[RTA]displaytrafficpolicystatisticsinterfaceGigabitEthernet0/0/0inboundInterface:GigabitEthernet0/0/0Trafficpolicyinbound:Redirect//接口入向應(yīng)用策略路由

Rulenumber:2//策略路由定義的策略條目Currentstatus:OK!ItemSum(Packets/Bytes)Rate(pps/bps)--------------------------------------------------------------------------Matched

9/1/882336+--Passed

9/1/8823364.3.3智能策略路由智能策略路由（SmartPolicyRouting，SPR）是基于業(yè)務(wù)需求的策略路由，通過匹配鏈路質(zhì)量和網(wǎng)絡(luò)業(yè)務(wù)對鏈路質(zhì)量的需求，實現(xiàn)智能選路。探測鏈路是SPR實現(xiàn)智能選路的基礎(chǔ)，每個探測鏈路都有一個與之相對應(yīng)的探針，即NQA測試?yán)?。如果測試失敗，則表示對應(yīng)的探測鏈路不可用。探測鏈路通過探針獲取鏈路參數(shù)的質(zhì)量，SPR根據(jù)探測鏈路的鏈路質(zhì)量匹配業(yè)務(wù)需求，從而實現(xiàn)智能選路的需求。SPR不直接使用探測鏈路，而是通過鏈路組的形式使用探測鏈路。一個探測鏈路可以加入不同的鏈路組，同時一個鏈路組中可以有一條或多條探測鏈路。SPR的鏈路角色分為：主用鏈路組、備用鏈路組和逃生鏈路。SPR中業(yè)務(wù)無法從主用鏈路組和備用鏈路組中找到合適的鏈路傳輸數(shù)據(jù)時可以啟用逃生鏈路。SPR中切換周期計時器主要用于鏈路質(zhì)量不滿足業(yè)務(wù)需求時控制鏈路切換。4.3.3智能策略路由智能策略路由配置舉例，如下圖所示，整個網(wǎng)絡(luò)配置靜態(tài)路由實現(xiàn)網(wǎng)絡(luò)連通性。路由器R1通過兩個運營商（ISPA和ISPB）的專線和路由器R4相連，R1希望實現(xiàn)用ISPA的網(wǎng)絡(luò)作為高速主用鏈路，用ISPB的網(wǎng)絡(luò)作為備份鏈路。4.3.3智能策略路由在路由器R1上配置NQA客戶端[R1]nqatest-instanceadminISPA[R1-nqa-admin-ISPA]test-typejitter[R1-nqa-admin-ISPA]destination-addressipv4201.1.1.6[R1-nqa-admin-ISPA]destination-port10000[R1-nqa-admin-ISPA]frequency10[R1-nqa-admin-ISPA]source-interfaceGigabitEthernet0/0/0[R1-nqa-admin-ISPA]startnow[R1]nqatest-instanceadminISPB[R1-nqa-admin-ISPB]test-typejitter[R1-nqa-admin-ISPB]destination-addressipv461.1.1.6[R1-nqa-admin-ISPB]destination-port10001[R1-nqa-admin-ISPB]frequency10[R1-nqa-admin-ISPB]source-interfaceGigabitEthernet0/0/1[R1-nqa-admin-ISPB]startnow4.3.3智能策略路由在路由器R4上配置NQA服務(wù)器[R4]nqa-serverudpecho201.1.1.610000[R4]nqa-serverudpecho61.1.1.610001在路由器R1上配置區(qū)分業(yè)務(wù)流的ACL[R1]aclnumber3000[R1-acl-adv-3000]rule10permitipdestination203.1.1.00.0.0.2554.3.3智能策略路由在路由器R1上配置智能策略路由的路由參數(shù)[R1]smart-policy-route[R1-smart-policy-route]period50[R1-smart-policy-route]routeflappi