锲而不舍,金石可镂。
文章目录
- 一、策略路由
- 二、路由策略
- 2.1 前缀列表
- 三、拓扑
- 四、策略配置
- 4.1 网络互通
- 4.2 网络优化
- 4.3 网络控制
一、策略路由
(一)策略路由–Policy-Based Routing—PBR
1、什么是策略路由:
对特定数据报文不按照路由表内的条目执行转发,根据需要按照某种策略改变数据报文转发路径。
2、运行机制:
根据的报文的目的地址,报文的源地址,报文的大小和链路质量等属性制定策略路由,改变报文的转发路径。手动配置后基于策略转发,失败后再查找路由表转发。
3、实现方式:
华为设备支持3种策略路由:
本地策略路由
(1)名称:本地策略路由
(2)对象:本设备产生流量
(3)应用:对本机的ICMP,BGP等各种报文需要使用不同的源地址或者不同长度的报文通过不通方式进行发送时。
接口策略路由
(1)名称:接口策略路由
(2)对象:流经本设备的数据
(3)应用:针对用户不同源目地的数据按照流重定向选择下一跳,不按照路由表转发。
智能策略路由(SSR)
(1)名称:智能策略路由
(2)对象:流经本设备的数据,基于链路质量信息为业务数据流选择最佳链路。
(3)应用:对用户不同业务选择不同质量的链路。
(4)注意:SSR的功能需要配合License来使用。
(二)本地策略路由
1、配置本地策略路由的匹配规则:
可以通过ACL匹配到数据或者报文长度来进行对需要策略的数据执行匹配。
2、配置本地策略路由的转发动作:
可以通过接口或者下一跳地址发出。
3、本地应用本地策略路由:
在系统视图ip lcal policy-based-route X-X-----------调用名称为x-x的本地策略路由。
(三)接口策略路由
1、通过ACL匹配需要策略的流量
2、定义流分类
需要执行流策略的流量–即哪些流量需要转发
通过ACL匹配需要策略的流量
3、制定流行为
指定需要执行流策略的动作,即如何转发
4、制定流策略
将流分类(匹配到需要转发的流量)和流行为(具体需要转发的动作)关联起来
5、挂接流策略
接口下在数据的进方向挂接流策略
策略路由----PBR Policy Based Route—基于策略的路由(选址转发)
策略路由----针对数据---------接口
(四)策略路由配置
1、策略路由指定的出接口要优于指定的下一跳
2、策略路由指定的下一跳>路由表>策略部署的默认下一跳。
二、路由策略
路由策略----RP Route policy
路由策略-------针对路由条目----路由协议----route policy
人为的控制或者影响路由协议选路----过滤,cost,引入
路由三要素----前缀----掩码----下一跳
动态三要素----前缀----掩码----cost
路由策略----路由条目
对象:路由条目
策略:过滤;修改路由属性
1、路由匹配工具----抓取路由
同意路由匹配工具
① ACL
② IP-preix----前缀列表
③ route-policy
2、 BGP专属路由匹配工具
① ip murit-fiete----团体属性过滤列表
② ip as-patch-fiter----as路 径属性过滤列表
3、路由策略工具----执行路由动作
过滤
① route-policy
② fiter-policy
属性修改
① route-policy
2.1 前缀列表
greater-equal X 掩码大约等于X
less-equal X 掩码小于等于X
如果只写前缀长度,掩码长度等于前缀长度
如果只写greater-equal X,会自动补全less-equal 32
在Route- policy同时调用ACL和ip-prix时,谁最后调用启用谁(ACL与ip-prix是覆盖关系)
1、匹配任意掩码的路-------0.0.0.0 0 greater-equal x less-equal X
2、匹配默认路----------------0.0.0.0 0 greater-equal 0 less-equal 0
3、匹配所以明细路由-------0.0.0.0 0 greater-equal 1
4、匹配所有的主机路-------0.0.0.0 0 greater-equal 32
三、拓扑
四、策略配置
AR-1的环回口loopback1 1.1.1.1/32模拟外部路由
[AR-1]acl 2010
[AR-1-acl-basic-2010] rule 5 permit source 1.1.1.1 0
[AR-1-acl-basic-2010]rule 10 permit source 1.1.1.2 0
[AR-1]route-policy di permit node 10
[AR-1-route-policy]if-match acl 2010
[AR-1]ospf
[AR-1-ospf-1]import-route direct type 1 route-policy di
4.1 网络互通
在边界路由器完成双点双向路由引入实现全网互通与冗余备份
[AR-3]isis
[AR-3-isis-1]network-entity 49.0001.0000.0000.0003.00
[AR-3-isis-1]cost-style wide
[AR-3-isis-1]quit
[AR-3]int g0/0/0
[AR-3-GigabitEthernet0/0/0]isis enable
[AR-3-GigabitEthernet0/0/0]int l0
[AR-3-LoopBack0]isis enable
[AR-3-LoopBack0]quit
[AR-3]ospf 1 router-id 3.3.3.3
[AR-3-ospf-1]a 0
[AR-3-ospf-1-area-0.0.0.0]net 23.1.1.3 0.0.0.0、
[AR-3]ospf 1
[AR-3-ospf-1]import-route isis
[AR-3-ospf-1]isis
[AR-3-isis-1]import-route ospf
dis ip routing-table
4.2 网络优化
通过路由策略消除存在次优路径与环路问题
AR4:正常双向引入即可
[AR-3]isis
[AR-3-isis-1]undo import-route ospf
[AR-3-isis-1]ospf
[AR-3-ospf-1]undo import-route isis
[AR-3-ospf-1]quit
[AR-3]ospf
[AR-3-ospf-1]import-route isis
[AR-3-ospf-1]quit
[AR-3]isis
[AR-3-isis-1]import-route ospf
[AR-3-isis-1]quit
次优路径
tracert 1.1.1.1
[AR-3]ospf
[AR-3-ospf-1]import-route isis 1 type 1
环路
tracert 1.1.1.1
消除环路
[AR-4]ip ip-prefix ospf index 10 permit 1.1.1.1 32
[AR-4]ip ip-prefix ospf index 20 permit 2.2.2.2 32
[AR-4]ip ip-prefix ospf index 30 permit 3.3.3.3 32
[AR-4]ip ip-prefix ospf index 40 permit 4.4.4.4 32
[AR-4]ip ip-prefix ospf index 50 permit 1.1.1.2 32
[AR-4]route-policy ospf-->isis permit node 20
[AR-4-route-policy]if-match ip-prefix ospf
[AR-4-route-policy]apply tag 100
[AR-4-route-policy]quit
[AR-4]isis
[AR-4-isis-1]import-route ospf 1 route-policy ospf-->isis
[AR-4-isis-1]quit
[AR-3]route-policy isis-->ospf deny node 10 //创建名称为isis-->ospf的路由策略组,此组的节点10执行拒绝路由的过滤动作
[AR-3-route-policy]if-match tag 100 //此节点过滤带有100 tag标记的路由
[AR-3-route-policy]quit
[AR-3]route-policy isis-->ospf permit node 20
[AR-3]ospf
[AR-3-ospf-1]import-route isis route-policy isis-->ospf type 1
//在ospf进程中将isis进程1的路由导入,进入OSPF的IS-IS路由需要经过名称为isis-->ospf 的策略过滤
tracert 1.1.1.1
tracert 1.1.1.1
[AR-3]ip ip-prefix ospf index 10 permit 1.1.1.1 32
[AR-3]ip ip-prefix ospf index 20 permit 2.2.2.2 32
[AR-3]ip ip-prefix ospf index 30 permit 3.3.3.3 32
[AR-3]ip ip-prefix ospf index 40 permit 4.4.4.4 32
[AR-3]ip ip-prefix ospf index 50 permit 1.1.1.2 32
[AR-3]route-policy ospf-->isis permit node 20
[AR-3-route-policy]if-match ip-prefix ospf
[AR-3-route-policy]apply tag 200
[AR-3-route-policy]isis
[AR-3-isis-1]import-route ospf 1 route-policy ospf-->isis
[AR-4]route-policy isis-->ospf deny node 8
[AR-4-route-policy]if-match tag 200
[AR-4-route-policy]quit
[AR-4]route-policy isis-->ospf permit node 20
[AR-4-ospf-1]import-route isis route-policy isis-->ospf type 1
tracert 1.1.1.1
tracert 1.1.1.1
[AR-4]route-policy isis-->ospf permit node 15
[AR-4-route-policy]apply tag 300
[AR-4-route-policy]quit
[AR-4]route-policy ospf-->isis deny node 8
[AR-4-route-policy]if-match tag 400
[AR-3]route-policy ospf-->isis deny node 8
[AR-3-route-policy]if-match tag 300
[AR-3-route-policy]quit
[AR-3]route-policy isis-->ospf permit node 20
[AR-3-route-policy]apply tag 400
消除次优
[AR-4]route-policy isis-->pre permit node 20
[AR-4-route-policy]if-match tag 200
[AR-4-route-policy]apply preference 151
[AR-4-route-policy]quit
[AR-4]isis
[AR-4-isis-1]preference route-policy isis-->pre 15
[AR-3]route-policy isis-->pre permit node 10
[AR-3-route-policy]if-match tag 100
[AR-3-route-policy]apply preference 151
[AR-3-route-policy]isis
[AR-3-isis-1]preference route-policy isis-->pre 15
tracert 1.1.1.1
4.3 网络控制
网络控制(不要修改接口开销)
①修改开销(引入)
②修改优先级(注意匹配策略)
③修改下一跳权值
④静态
⑤过滤
(1)OSPF网络(AR-4除外)去往6.6.6.1的数据走上行线路:R3---->R5---->R6
修改开销
[AR-4]ip ip-prefix 35 permit 35.1.1.0 24
[AR-4]ip ip-prefix 35 permit 6.6.6.1 32
[AR-4]route-policy isis-->ospf permit node 14
[AR-4-route-policy]if-match ip-prefix 35
[AR-4-route-policy] apply cost 20
[AR-4-route-policy] apply tag 200
(2)OSPF网络(AR-3除外)去往6.6.6.2的数据走下行线路:R4---->R5---->R6
修改优先级
[AR-2]ip ip-prefix 23 permit 23.1.1.3 32
[AR-2]ip ip-prefix 62 permit 6.6.6.2 32
[AR-2]route-policy pre permit node 10
[AR-2-route-policy]if-match ip-prefix 62
[AR-2-route-policy]if-match ip next-hop ip-prefix 23
[AR-2-route-policy]apply preference 130
[AR-2-route-policy]quit
[AR-2]ospf
[AR-2-ospf-1]preference ase route-policy pre
dis ip routing-table
(3)IS-IS网络(AR-3除外)去往1.1.1.2的数据走下行线路: R4---->R2---->R1
在AR-3上配置:增加1.1.1.2的开销值
[AR-3]ip ip-prefix 452 permit 1.1.1.2 32
[AR-3]route-policy ospf-->isis permit node 16
[AR-3-route-policy]if-match ip-prefix 452
[AR-3-route-policy]apply tag 100
[AR-3-route-policy]apply cost 200
[AR-3-route-policy]quit
[AR-3]route-policy ospf-->isis permit node 22
[AR-3-route-policy]apply tag 100
dis ip routing-table
(4)IS-IS网络(AR-4除外)去往1.1.1.1的数据走上行线路: R3---->R2---->R1
策略路由----指定数据转发----不查看路由表
①匹配数据
acl
②制定流分类
traffic classifier
③制定流行为
traffic behavior
④策略的组合
traffic policy 数据与策略的组合
⑤挂接流策略
在数据的进站方向挂接
用策略路由写
[AR-5]acl 3010
[AR-5-acl-adv-3010]rule 10 permit ip source any destination 1.1.1.1 0 //匹配内网去往1.1.1.1的流量
[AR-5-acl-adv-3010]quit
[AR-5]traffic classifier host //创建名称为host的流分类(这里匹配的到的数据将执行流动作)
[AR-5-classifier-host]if-match acl 3010 //通过acl3010获得流量需要执行流分类
[AR-5-classifier-host]quit
[AR-5]traffic behavior host //创建名称为host的流行为
[AR-5-behavior-host]redirect ip-nexthop 35.1.1.3 //这个流行为匹配到的流量执行下一跳重定向动作
[AR-5-behavior-host]quit
[AR-5]traffic policy host //创建名称为host的流策略
[AR-5-trafficpolicy-host]classifier host behavior host //将名称为host流分类匹配到数据和名称为host的流行为结合
[AR-5-trafficpolicy-host]quit
[AR-5]int g0/0/2
[AR-5-GigabitEthernet0/0/2]traffic-policy host inbound
//将名称为cl的流策略挂接到此接口的入方向,进入此接口被匹配到数据将安装流策略的规定动作转发,没有匹配到数据按照路由表正常转发
策略优先级高于路由表优先级
tracert 1.1.1.1
本人所有文章都受版权保护,著作权归艺博东所有!未经授权,转载必究或附上其原创链接。
