华为公司使用路由策略bnfb.pptx

补充：使用路由策略补充：使用路由策略补充：使用路由策略补充：使用路由策略2课程内容课程内容课程内容课程内容路由策略综述路由策略综述使用路由策略控制路由引入使用路由策略控制路由引入基于策略的路由选择基于策略的路由选择3路由策略综述路由策略综述路由策略综述路由策略综述 2004 richedu TECH4什么是路由策略什么是路由策略什么是路由策略什么是路由策略l路路 由由 策策 略略 和和 访访 问问 控控 制制 列列 表表 非非 常常 相相 似似，它它 们们 都都 运运 行行“ifthen”的的程程序序语语句句：声声明明标标准准，用用来来判判断断某某个个特特定定的的数据包是否被允许或者禁止。数据包是否被允许或者禁止。l它它们们的的区区别别是是：路路由由策策略略可可以以改改变变实实体体假假如如一一个个数数据据包包匹匹配了路由策略中给定的标准，就会执行一些操作改变数据包。配了路由策略中给定的标准，就会执行一些操作改变数据包。l在在一一个个访访问问控控制制列列表表中中，由由test condition来来匹匹配配数数据据包包，并并根据匹配结果决定根据匹配结果决定permit或者或者deny。l在在一一个个路路由由策策略略中中，由由if-match语语句句后后的的test condition匹匹配配数据包，并根据匹配结果决定是否执行数据包，并根据匹配结果决定是否执行apply语句后的动作。语句后的动作。5路由策略的特点路由策略的特点路由策略的特点路由策略的特点l路由策略具有一系列标准，用路由策略具有一系列标准，用if-match语句声明。语句声明。l路由策略可以用路由策略可以用apply语句改变匹配的数据包或者路由。语句改变匹配的数据包或者路由。l有着相同路由策略名称的路由策略语句集被认为是同一个路由策略。有着相同路由策略名称的路由策略语句集被认为是同一个路由策略。l在在同同一一个个路路由由策策略略中中，每每一一个个路路由由映映射射语语句句都都用用数数字字顺顺序序地地标标注注，所所以以可以进行单独编辑。可以进行单独编辑。l路路由由策策略略中中的的一一个个语语句句对对应应着着访访问问列列表表中中的的一一行行，在在一一个个路路由由策策略略中中指指明匹配条件就像在一个访问列表中指明源地址、目标地址和掩码一样。明匹配条件就像在一个访问列表中指明源地址、目标地址和掩码一样。l在在路路由由策策略略中中的的语语句句用用来来和和路路由由进进行行比比较较，以以判判断断是是否否存存在在一一个个匹匹配配。检验语句的顺序就像在访问控制列表中一样，从顶端开始，依次向下。检验语句的顺序就像在访问控制列表中一样，从顶端开始，依次向下。6路由策略的特点（路由策略的特点（路由策略的特点（路由策略的特点（contcont）l应用第一个被发现的匹配路由，并且路由策略不会进一步检验。应用第一个被发现的匹配路由，并且路由策略不会进一步检验。lIf-match语句用来定义检验的条件。语句用来定义检验的条件。lApply语句用来定义假如存在一个匹配，将采取何种行动。语句用来定义假如存在一个匹配，将采取何种行动。l单单一一的的if-match语语句句可可以以包包含含多多个个条条件件，在在if-match语语句句中中至至少少存存在在一一个为个为“真真”的条件，这是一个逻辑的条件，这是一个逻辑“或或”。l一一个个路路由由策策略略语语句句可可以以包包含含多多个个if-match语语句句，路路由由策策略略中中的的所所有有if-mtach语语句句，对对于于认认为为是是匹匹配配的的路路由由策策略略语语句句，必必须须认认为为是是“真真”，这这是一个逻辑是一个逻辑“与与”。l序列号用于指明检验条件的顺序。序列号用于指明检验条件的顺序。l在在路路由由策策略略末末尾尾有有一一个个隐隐含含的的“deny any”声声明明，这这个个deny的的后后继继操操作作取决于这个路由策略是如何使用的。取决于这个路由策略是如何使用的。7使用路由策略使用路由策略使用路由策略使用路由策略控制路由引入控制路由引入控制路由引入控制路由引入 2004 richedu TECH8路由策略配置任务路由策略配置任务路由策略配置任务路由策略配置任务l定义路由策略（定义路由策略（routing policy）l定义路由策略的定义路由策略的if-match子句子句l定义路由策略的定义路由策略的apply子句子句9定义路由策略定义路由策略定义路由策略定义路由策略lpolicy-name：这这是是路路由由策策略略的的名名称称，在在使使用用import-route命命令时，该名称用于调用路由策略。令时，该名称用于调用路由策略。lseq-number：节节点点号号，指指明明一一个个具具有有相相同同名名称称的的新新路路由由策策略略在在路路由由策策略略语语句句系系列列中中的的位位置置。不不同同seq-number各各个个部部分分之之间的关系是间的关系是“或或”的关系。的关系。每每个个节节点点下下可可以以有有多多个个if-match和和apply子子句句，if-match子子句句之之间间是是“与与”的关系。的关系。10定义路由策略（定义路由策略（定义路由策略（定义路由策略（contcont）lpermit|deny：假假如如满满足足了了匹匹配配条条件件，并并指指定定了了permit参参数数，那那么么路路由由就就将将按按照照集集合合行行为为所所定定义的那样重分布。义的那样重分布。假如匹配标准没有满足，并且指定了假如匹配标准没有满足，并且指定了permit参数，那么接着检验下一个节点。参数，那么接着检验下一个节点。如如果果路路由由没没有有通通过过任任何何一一个个节节点点的的匹匹配配标标准准，那那么么这这个个路路由由不不会会被被重重分分布布，因因为它遇上了隐含的为它遇上了隐含的deny any。如如果果一一个个路路由由策策略略的的匹匹配配标标准准满满足足了了，并并且且指指定定了了deny参参数数，那那么么路路由由将将不不会重分布，也不会进入下一个节点进行检验。会重分布，也不会进入下一个节点进行检验。11定义路由策略的定义路由策略的定义路由策略的定义路由策略的if-matchif-match子句子句子句子句12定义路由策略的定义路由策略的定义路由策略的定义路由策略的applyapply子句子句子句子句13实例实例实例实例1 1：配置路由策略：配置路由策略：配置路由策略：配置路由策略192.1.0.0/24128.2.0.0/16128.1.0.1128.1.0.0/16校园网校园网地区性网络地区性网络l路路由由器器连连接接了了一一所所大大学学的的校校园园网网和和一一个个地地区区性性网网络络。校校园园网网使使用用RIP 作作为为其其内内部部路路由由协协议议，地地区区性性网网络络使使用用OSPF 路路由由协协议议，路路由由器器需需要要将将校校园园网网中的某些路由信息在地区性网络中发布。中的某些路由信息在地区性网络中发布。l为为实实现现这这一一功功能能，路路由由器器上上的的OSPF 协协议议在在引引入入RIP 协协议议路路由由信信息息时时通通过过对一个路由策略的引用实现路由过滤的功能。对一个路由策略的引用实现路由过滤的功能。l该该路路由由策策略略由由两两个个节节点点组组成成，实实现现192.1.0.0/24 和和128.2.0.0/16 的的路路由由信信息以不同的路由权值被息以不同的路由权值被OSPF 协议发布。协议发布。14实例实例实例实例1 1：配置路由策略：配置路由策略：配置路由策略：配置路由策略l#定义地址前缀列表定义地址前缀列表Quidwayip ip-prefix p1 permit 192.1.1.0/24Quidwayip ip-prefix p2 permit 128.2.0.0/16l#配置路由策略配置路由策略Quidwayroute-policy r1 permit 10Quidway-route-policyif-match ip address ip-prefix p1Quidway-route-policyroute-policy r1 permit 20Quidway-route-policyif-match ip address ip-prefix p2Quidway-route-policyquitl#配置配置OSPF 协议协议Quidwayospf enableQuidway-ospfimport-route rip route-policy r1Quidway-ospfinterface ethernet 0Quidway-Ethernet0ip address 128.1.0.1 255.255.255.0Quidway-Ethernet0ospf enable area 015CASECASEl路由策略各个节点中至少应该有一个节点定义了路由策略各个节点中至少应该有一个节点定义了permit语句。语句。当当一一个个路路由由策策略略用用于于路路由由信信息息过过滤滤时时，若若某某路路由由信信息息没没有有通通过过任任一节点的过滤，则认为该路由信息没有通过该路由策略的过滤。一节点的过滤，则认为该路由信息没有通过该路由策略的过滤。当当路路由由策策略略的的所所有有节节点点都都是是deny语语句句时时，所所有有路路由由信信息息都都将将不不会会通过该路由策略的过滤。通过该路由策略的过滤。l地址前缀列表的各个表项中至少应该有一条地址前缀列表的各个表项中至少应该有一条permit语句。语句。可先定义可先定义deny 语句，以便过先过滤掉那些不符合条件的路由信息。语句，以便过先过滤掉那些不符合条件的路由信息。但但若若所所有有语语句句都都是是deny，则则任任何何路路由由都都不不会会通通过过该该地地址址前前缀缀列列表表的过滤。的过滤。16基于策略的路由选择基于策略的路由选择基于策略的路由选择基于策略的路由选择policy-based routing,PBRpolicy-based routing,PBR 2004 richedu TECH17策略路由综述策略路由综述策略路由综述策略路由综述l策策略略路路由由是是一一种种不不经经过过路路由由表表，根根据据策策略略发发送送、转转发发报报文文的的机机制制，它它是是比比根根据据数数据据包包的的目目的的地地址址进进行行路路由由更更为为灵灵活活。路路由由器器通通过过策策略略路路由由转转发发一一个个数数据据包包时时，先先通通过过一一个个routing policy 进进行行过过滤滤，由由该该routing policy 决决定定哪哪些些包包将将被被转转发发和和转转发发的的下一跳路由器。下一跳路由器。l有有两两种种策策略略路路由由：接接口口策策略略路路由由和和本本地地策策略略路路由由。前前者者在在接接口口视视图图下下配配置置，对对来来自自该该接接口口的的报报文文进进行行策策略略路路由由；后后者者在在系系统统视图下配置，对本机产生的报文进行策略路由。视图下配置，对本机产生的报文进行策略路由。18IPIP策略路由配置任务策略路由配置任务策略路由配置任务策略路由配置任务l策略策略IP 策略路由配置包括：策略路由配置包括：创建策略创建策略 定义策略路由的定义策略路由的if-match 子句子句 定义策略路由的定义策略路由的apply 子句子句 使能使能/禁止本地策略路由禁止本地策略路由 使能使能/禁用接口策略路由禁用接口策略路由19IPIP策略路由配置策略路由配置策略路由配置策略路由配置l策略路由是由用户配置的，由一组if-match 子句和一组apply 子句组成，只有IP 报文满足策略路由器中的全部if-match 子句时，才按一定顺序执行策略中的apply 子句，以达到影响报文转发的效果。l目前提供两种的if-match 子句为if-match length 和if-match ip address。lapply 子句定义策略的动作。目前有5 种apply 子句：apply ip precedence，apply interface，apply ip next-hop，apply default interface，apply ip default next-hop；五个子句按优先顺序执行，直到不能继续为止。20IPIP策略路由决策进程策略路由决策进程策略路由决策进程策略路由决策进程l基基于于策策略略的的路路由由选选择择应应用用于于到到来来的的数数据据包包，当当启启用用基基于于策策略略的的路路由由选选择择的接口上接收到一个数据包的时候，这个数据包就要使用这个进程。的接口上接收到一个数据包的时候，这个数据包就要使用这个进程。l假假如如存存在在一一个个匹匹配配，并并且且其其允允许许这这个个路路由由，那那么么这这个个路路由由按按照照apply命命令令进行策略路由。进行策略路由。l假假如如存存在在一一个个匹匹配配，并并且且禁禁止止这这个个路路由由，那那么么这这个个路路由由就就不不基基于于路路由由策策略，而是送回动态路由选择的转发引擎。略，而是送回动态路由选择的转发引擎。l假假如如没没有有匹匹配配，并并且且没没有有为为这这个个时时间间配配置置相相应应的的行行动动，那那么么默默认认行行为为就就是禁止该数据包，数据包将退回到路由选择进程中。是禁止该数据包，数据包将退回到路由选择进程中。l如如果果想想把把不不符符合合匹匹配配原原则则的的包包丢丢弃弃而而非非按按正正常常情情况况处处理理的的话话,就就要要在在route policy 的最后加上的最后加上1 行行apply 语句语句:把那些包路由到黑洞接口。把那些包路由到黑洞接口。21实例实例实例实例1 1：配置基于源地址的策略路由：配置基于源地址的策略路由：配置基于源地址的策略路由：配置基于源地址的策略路由E0S1S0Internet10.110.0.0/16l定定义义策策略略aaa，该该策策略略包包括括两两个个节节点点，使使所所有有TCP 报报文文通通过过串串口口1 转转发发，其其它它报报文文通通过过串串口口0 转发。转发。l10 号号节节点点，表表示示匹匹配配access list 102 的的报报文文将被发往串口将被发往串口serial 0。l20 号号节节点点，表表示示所所有有其其它它报报文文将将被被发发往往串串口口serial 1。l来来自自Ethernet 0 的的报报文文将将依依次次试试图图匹匹配配10、20 号号节节点点的的if-match子子句句。若若匹匹配配permit 定定义义的的节节点点，就就执执行行相相应应的的apply 子子句句；若若匹匹配配deny 定义的节点，就退出策略路由处理。定义的节点，就退出策略路由处理。22l定义访问控制列表定义访问控制列表Quidwayacl 101Quidway-acl-101rule deny tcp source any destination anyQuidway-acl-101acl 102Quidway-acl-102rule permit tcp source any destination anyl定义定义10 号节点，表示匹配号节点，表示匹配access ist 102 的报文将被发往串口的报文将被发往串口serial 1。Quidway-acl-101route-policy aaa permit 10Quidway-route-policyif-match ip address 102Quidway-route-policyapply interface serial 1l定义定义20 号节点，表示所有其它报文将被发往串口号节点，表示所有其它报文将被发往串口serial 0。Quidway-route-policyroute-policy aaa permit 20Quidway-route-policyif-match ip address 101Quidway-route-policyapply interface serial 0l在以太网口上应用策略在以太网口上应用策略aaaQuidway-route-policyinterface ethernet 0Quidway-Ethernet0ip policy route-policy aaa实例实例实例实例1 1：配置基于源地址的策略路由：配置基于源地址的策略路由：配置基于源地址的策略路由：配置基于源地址的策略路由23实例实例实例实例2 2：配置基于报文大小的策略路由：配置基于报文大小的策略路由：配置基于报文大小的策略路由：配置基于报文大小的策略路由192.1.1.1 E0Router ARouter BS0 150.1.1.1150.1.1.2 S0S1 151.1.1.1151.1.1.2 S1在在E0上应用策略上应用策略101-1000bytes64-100bytesl路路由由器器A 将将大大小小为为64100 字字节节的的报报文文从从serial 0 发发送送；而而将将大大小小为为1011000 字字节节的的报报文文从从serial 1 发发送送；所所有有其其它它长长度度的的报报文文均均按按正正常常方方式式路由。路由。l在在路路由由器器A 的的E0 接接口口上上应应用用IP 策策略略路路由由lab1。这这个个策策略略将将大大小小为为64100 字字节节的的报报文文设设置置150.1.1.2 作作为为下下一一转转发发IP 地地址址；而而将将大大小小为为1011000 字字节节的的报报文文设设置置151.1.1.2 作作为为下下一一转转发发IP 地地址址。所所有有其其它它报报文文都都按基于目的地址的路由方法路由。按基于目的地址的路由方法路由。24实例实例实例实例2 2：配置基于报文大小的策略路由：配置基于报文大小的策略路由：配置基于报文大小的策略路由：配置基于报文大小的策略路由l配置路由器Router ARouterAinterface ethernet 0RouterA-Ethernet0ip address 192.1.1.1 255.255.255.0RouterA-Ethernet0ip policy route-policy lab1RouterA-Ethernet0interface serial 0RouterA-Serial0ip address 150.1.1.1 255.255.255.0RouterA-Serial0interface serial 1RouterA-Serial1ip address 151.1.1.1 255.255.255.0RouterA-Serial1quitRouterAripRouterA-ripnetwork 192.1.1.0RouterA-rip network 150.1.1.0RouterA-rip network 151.1.1.0RouterA-riproute-policy lab1 permit 10RouterA-route-policy if-match length 64 100RouterA-route-policy apply ip next-hop 150.1.1.2RouterA-route-policyroute-policy lab1 permit 20RouterA-route-policyif-match length 101 1000RouterA-route-policyapply ip next-hop 151.1.1.225实例实例实例实例2 2：配置基于报文大小的策略路由：配置基于报文大小的策略路由：配置基于报文大小的策略路由：配置基于报文大小的策略路由l配置路由器Router BRouterBinterface serial 0RouterB-Serial0ip address 150.1.1.2 255.255.255.0RouterB-Serial0interface serial 1RouterB-Serial1ip address 151.1.1.2 255.255.255.0RouterB-Serial1quitRouterBripRouterB-ripnetwork 150.1.1.0RouterB-ripnetwork 151.1.1.0华为3Com技术有限公司华为3Com公司网址:.huawei-华为3Com技术论坛网址:forum.huawei-9、静夜四无邻，荒居旧业贫。5月-235月-23Tuesday,May 16,202310、雨中黄叶树，灯下白头人。18:25:1218:25:1218:255/16/2023 6:25:12 PM11、以我独沈久，愧君相见频。5月-2318:25:1218:25May-2316-May-2312、故人江海别，几度隔山川。18:25:1218:25:1218:25Tuesday,May 16,202313、乍见翻疑梦，相悲各问年。5月-235月-2318:25:1218:25:12May 16,202314、他乡生白发，旧国见青山。16 五月 20236:25:12 下午18:25:125月-2315、比不了得就不比，得不到的就不要。五月 236:25 下午5月-2318:25May 16,202316、行动出成果，工作出财富。2023/5/16 18:25:1218:25:1216 May 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。6:25:12 下午6:25 下午18:25:125月-239、没有失败，只有暂时停止成功！。5月-235月-23Tuesday,May 16,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。18:25:1218:25:1218:255/16/2023 6:25:12 PM11、成功就是日复一日那一点点小小努力的积累。5月-2318:25:1218:25May-2316-May-2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。18:25:1218:25:1218:25Tuesday,May 16,202313、不知香积寺，数里入云峰。5月-235月-2318:25:1218:25:12May 16,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。16 五月 20236:25:12 下午18:25:125月-2315、楚塞三湘接，荆门九派通。五月 236:25 下午5月-2318:25May 16,202316、少年十五二十时，步行夺得胡马骑。2023/5/16 18:25:1218:25:1216 May 202317、空山新雨后，天气晚来秋。6:25:12 下午6:25 下午18:25:125月-239、杨柳散和风，青山澹吾虑。5月-235月-23Tuesday,May 16,202310、阅读一切好书如同和过去最杰出的人谈话。18:25:1218:25:1218:255/16/2023 6:25:12 PM11、越是没有本领的就越加自命不凡。5月-2318:25:1318:25May-2316-May-2312、越是无能的人，越喜欢挑剔别人的错儿。18:25:1318:25:1318:25Tuesday,May 16,202313、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2318:25:1318:25:13May 16,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。16 五月 20236:25:13 下午18:25:135月-2315、最具挑战性的挑战莫过于提升自我。五月 236:25 下午5月-2318:25May 16,202316、业余生活要有意义，不要越轨。2023/5/16 18:25:1318:25:1316 May 202317、一个人即使已登上顶峰，也仍要自强不息。6:25:13 下午6:25 下午18:25:135月-23MOMODA POWERPOINTLorem ipsum dolor sit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis amet,consectetur adipiscing elit.Fusce id urna blanditut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉