华为路由器路由策略和策略路由
- 格式:doc
- 大小:96.00 KB
- 文档页数:24
策略路由和路由策略原理知识检测一、单选题1、策略路由,顾名思义,即是根据一定的策略进行报文转发,以下不属于策略路由的是()。
A.根据报文的长度来控制报文转发B.根据源IP来控制报文转发C.根据报文的目的地址查询转发表来实现D. 根据协议类型控制报文转发2、针对单播策略路由和组播策略路由,描述错误的是()。
A.组播策略路由只支持转发的报文B. 单播策略路由不对路由器本机产生的报文进行策略路由C.组播策略路由是设置在接收报文接口而不是发送接口D.单播策略路由只对入口数据包有效3、策略路由的处理流程分为流模式和逐包模式,针对流模式和逐包模式以下描述正确的是()A. 逐包模式对第一个包查路由转发表,如果存在路由,将该路由项以source、dest、tos、入接口等索引放置到cache中,以后同样的流就可以直接查cache 。
B. 流模式每个包都进行查表后才进行转发。
C. 流模式的高中端设备所有操作由CPU+内存处理。
D. 流模式对第一个包查路由转发表,以后同样的流就可以直接查cache。
4、策略路由匹配原则关于匹配项和操作项描述错误的是()A. 可以有多个操作项B. 可以多个匹配项C.所有节点满足匹配后,才不再继续往下匹配。
D.只有满足所有的if-match,才算匹配。
5、单播报文转发接口的优先级从高到低为:()A.路由表中下一跳->策略路由的下一跳->策略路由的缺省下一跳->策略路由的出接口->策略路由的缺省出接口B. 策略路由的出接口->策略路由的下一跳->路由表中下一跳->策略路由的缺省出接口->策略路由的缺省下一跳C. 策略路由的出接口->策略路由的缺省出接口->策略路由的下一跳->策略路由的缺省下一跳->路由表中下一跳D. 策略路由的出接口->策略路由的下一跳->路由表中下一跳->策略路由的缺省下一跳->策略路由的缺省出接口6、按照转发接口的优先级,以下报文匹配的策略描述错误的是()A.如果添加一个节点,没有匹配项,有设置操作项,则所有报文都匹配,根据permit/deny 执行相应的操作,不再继续往下匹配。
ROUTE-POLICY 策略路由规则详解在工程中经常遇到route-policy用于策略路由的情况,下面就对route-polic和ACL间的匹配规则详解如下:一、试验环境A(E0/0)--192.168.1.0--(E0/0)B(S0/0)--10.0.0.0--(S0/0)C(E0/0)--192.168.2.0--(E0/0)D拓扑说明:AB之间的网段为192.168.1.0 。
AB分别通过E0/0口互联。
CD之间的网段为192.168.2.0 。
CD分别通过E0/0口互联。
BC之间分别通过S0/0 中间通过帧中继交换机互联,共配置3个子接口,DLCI分别是100 200 300(两端相同)。
二、测试结论:未做任何策略#interface Ethernet0/0ip address 192.168.1.1 255.255.255.0=在路由器A Tracert路由结果如下:<AR2810-A>dis clock08:48:03 UTC Fri 11/28/2008<AR2810-A>tracert -m 5 -a 192.168.1.2 192.168.2.2traceroute to 192.168.2.2(192.168.2.2) 5 hops max,40 bytes packetPress CTRL_C to break1 192.168.1.1 3 ms 1 ms2 ms2 10.0.0.10 19 ms 18 ms 19 ms3 192.168.2.2 20 ms 21 ms 20 ms由此可得出未做route-policy的时候,是按照全局路由表中的路由条目转发数据流的。
1、permit+permit#interface Ethernet0/0ip address 192.168.1.1 255.255.255.0ip policy route-policy t1#acl number 3000rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255acl number 3001rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255#route-policy t1 permit node 10if-match acl 3000apply ip-address next-hop 10.0.0.2route-policy t1 permit node 20apply ip-address next-hop 10.0.0.6在路由器A Tracert路由结果如下:<AR2810-A>dis clock08:50:33 UTC Fri 11/28/2008<AR2810-A>tracert -m 5 -a 192.168.1.2 192.168.2.2traceroute to 192.168.2.2(192.168.2.2) 5 hops max,40 bytes packetPress CTRL_C to break1 192.168.1.12 ms 2 ms 1 ms2 10.0.0.2 20 ms 20 ms 22 ms3 192.168.2.2 19 ms 20 ms 19 ms由此结果可得出此时数据流匹配了规则node 10 。
华为——修改各路由协议优先级举例在有多个⼚家路由器的⽹络环境中,为保障路由选择⼀致性,往往把所有路由器的路由协议改成⼀样的------这种场景经常出现如下是修改NE40E 各路由优先级:1.bgp[HUAWEI] bgp 100[HUAWEI-bgp] ipv4-family unicast[HUAWEI-bgp-af-ipv4] preference 20 200 200命令格式preference { external internal local | route-policy route-policy-name }undo preference缺省情况下,EBGP外部路由、IBGP内部路由和BGP本地路由的优先级值都是255。
参数说明external EBGP外部路由的协议优先级。
外部路由是从⾃治系统外的对等体学来的最佳路由。
整数形式,取值范围是1~255。
该值越⼩则实际的优先级越⾼。
internal IBGP内部路由的协议优先级。
内部路由是从⾃治系统内的其它对等体学来的路由。
整数形式,取值范围是1~255。
该值越⼩则实际的优先级越⾼。
本地路由是指通过聚合命令(summary automatic⾃动聚合和aggregate⼿动聚合)所聚合的路由。
整数形式,取值范围是local BGP本地路由的协议优先级。
本地路由是指通过聚合命令(1~255。
该值越⼩则实际的优先级越⾼。
route-policy route-policy-name Route-Policy名称。
字符串形式,区分⼤⼩写,不⽀持空格,长度范围是1~40。
2.ospfospf 100 router-id 172.24.103.253preference 110preference ase 110命令功能preference命令⽤来设置OSPF协议路由的优先级。
undo preference命令⽤来恢复OSPF协议路由优先级的缺省值。
华为交换机策略路由配置--产品实现华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口,匹配成功后将从指定接口发出去。
接口不是能以太网等广播类型接口(改为P2P即可),因为多个下一跳可能导致报文转发不成功。
3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳,仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)(关键)flash Set packet precedence to flash(3)(闪速)flash-override Set packet precedence to flash override(4)(疾速)immediate Set packet precedence to immediate(2)(快速)internet Set packet precedence to Internet control(6)(网间)network Set packet precedence to network control(7)(网内)priority Set packet precedence to priority(1)(优先)routine Set packet precedence to routine(0)(普通)3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由(可以创建多条)2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to match dlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。
1.ACL,它使用包过滤技术,在路由器上读取第3层及第4层包头中的信息,如源地址,目的地址,源端口和目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
2.ACL应用与接口上,每个接口的inbound,outbound 两个方向上分别进行过滤。
3.ACL可以应用于诸多方面包过滤防火墙功能:保证合法用户的报文通过及拒绝非法用户的访问。
NAT:通过设置ACL来规定哪些数据包需要地址转换。
QoS:通过ACL实现数据分类,对不同类别的数据提供有差别的服务。
路由策略和过滤:对路由信息进行过滤。
按需拨号:只有发送某类数据时,路由器才会发起PSTN/ISDN拨号。
地址前缀列表1.前缀列表是一组路由信息过滤规则,它可以应用在各种动态路由协议中,对路由协议发布出去和接受到的路由信息进行过滤。
2.前缀列表的优点:♦ 占用较小的CPU资源大容量prefix-list的装入速度和查找速度较快♦ 可以在不删除整个列表的情况下添加删除和插入规则♦ 配置简单直观♦ 使用灵活可以实现强大的过滤功能3.前缀列表中的每一条规则都有一个序列号,匹配的时候根据序列号从小往大的顺序进行匹配。
4.prefix-list的匹配满足一下条件:♦ 一个空的prefix-list允许所有的前缀♦ 所有非空的prefix-list最后有一条隐含的规则禁止所有的前缀♦ 序列号小的规则先匹配路由策略1.路由策略是为了改变网络流量所经过的途径而修改路由信息的技术。
2.Route-policy是实现路由策略的工具,其作用包括:♦路由过滤♦改变路由信息属性3路由策略设定匹配条件,属性匹配后进行配置,由ifmatch和apply语句组成策略路由PBR(基于策略的路由)是一种依据用户制定的策略进行路由选择的机制。
通过合理应用PBR,路由器可以根据到达报文的源地址、地址长度等信息灵活地进行路由选择。
华为路由器怎么设置HG8342R的路由功能路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。
华为路由器怎么设置HG8342R的路由功能?为了能让光猫多个LAN口能够同时上网,我进行了一些探索,下面分享详细的设置过程,图文详细,需要的朋友可以参考下方法步骤1、用网线连接电脑与光猫的任一LAN口,指定电脑的IP、掩码及网关,参数如下:IP:192.168.1.3MASK:255.255.255.0(Windows操作系统)或24(部分*NIX系统)GATEWAY:192.168.1.12、打开Terminal(Windows用户请打开CMD),输入telnet 192.168.1.1并执行。
登录的用户名为root,密码为admin。
注意,Windows 7的telnet是默认关闭的,需要先在控制面板中自行开启。
3、输入get port config portid 1并执行,记下PortVid和PortPri备用。
以下是我得到的输出信息,你得到的输出和我的可能不同:复制内容到剪贴板WAP>get port config portid 1Port Config Info : Enable : 1Mtu : 2000PortVid : 10PortPri : 0NegoMode(0-No, 1-Auto) : 1Speed(0-10M, 1-100M, 2-1000M) : 1Duplex(0-Half, 1-Full) : 1Link(0-Down, 1-Up) : 1PauseEnable : 0PauseLine : 200LoopMode(0-No, 1-MAC Inner, 2-MAC Outer, 3-PHY Inner, 4-PHY Outer) : 0 MirrorEnable : 0DstPort : 14、输入shell并执行。
华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口,匹配成功后将从指定接口发出去。
接口不是能以太网等广播类型接口(改为P2P即可),因为多个下一跳可能导致报文转发不成功。
3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳,仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)(关键)flash Set packet precedence to flash(3)(闪速)flash-override Set packet precedence to flash override(4)(疾速)immediate Set packet precedence to immediate(2)(快速)internet Set packet precedence to Internet control(6)(网间)network Set packet precedence to network control(7)(网内)priority Set packet precedence to priority(1)(优先)routine Set packet precedence to routine(0)(普通)3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)<cr>3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由(可以创建多条)2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to matchdlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。
12策略路由配置关于本章通过配置策略路由,可以用于提高网络的安全性能和负载分担。
12.1 策略路由简介介绍策略路由的定义和作用。
12.2 策略路由原理描述介绍策略路由的实现原理。
12.3 策略路由应用介绍策略路由的应用场景。
12.4 策略路由配置任务概览设备不仅支持基于到达报文的源地址、报文长度等信息进行路由选择的本地策略路由和接口策略路由,还支持基于链路质量信息为业务数据流选择优选链路的智能策略路由SPR(Smart Policy Routing)。
12.5 策略路由配置注意事项介绍策略路由在使用和配置过程中的注意事项。
12.6 配置本地策略路由通过配置本地策略路由,可以控制本机下发的报文通过指定的出口进行发送。
本地策略路由只对主机面下发的数据生效。
12.7 配置接口策略路由配置接口策略路由可以将到达接口的三层报文重定向到指定的下一跳地址。
12.8 配置智能策略路由根据业务对链路质量的需求情况配置智能策略路由SPR(Smart Policy Routing)可以实现随链路质量变化情况动态切换业务数据的传输链路。
12.9 策略路由配置举例配置示例中包括组网需求和配置思路等。
12.1 策略路由简介介绍策略路由的定义和作用。
定义策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制,分为本地策略路由、接口策略路由和智能策略路由SPR(Smart PolicyRouting)。
说明●策略路由与路由策略(Routing Policy)存在以下不同:●策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。
●路由策略的操作对象是路由信息。
路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
路由策略的详细内容请参见10 路由策略配置。
目的传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。
华为路由器设置教程华为路由器设置教程(一)某公司的部门A和部门B相距较远,Router_1和Router_6分别作为这两个部门的出口设备,AS 100内部使用OSPF作为IGP。
现要求:通过部署BGP,使部门A和部门B可以通信。
通过配置路由策略,将Router_2 - Router_3 - Router_4链路作为主链路,负责转发Router_1和Router_6之间的流量;当主链路断开时,自动切换到Router_2 - Router_5 - Router_4这条路径进行通信。
设备接口IP地址设备接口IP地址Router_1GE2/0/110.20.0.1/24Router_4GE2/0/110.2.0.101/24Router_2GE2/0/110.1.0.101/24GE2/0/210.40.1.101/24GE2/0/210.30.0.101/24GE2/0/310.50.0.2/24GE2/0/310.20.0.2/24Router_5GE2/0/110.30.0.102/24Router_3GE2/0/110.1.0.102/24GE2/0/210.40.1.102/24GE2/0/210.2.0.102/24Router_6GE2/0/110.50.0.1/24操作步骤1 Router_1的配置sysname Router_1#interface GigabitEthernet2/0/1ip address 10.20.0.1 255.255.255.0#bgp 200 //启动BGP,指定本地AS号为200,指定BGP路由器的Router ID 为1.1.1.1router-id 1.1.1.1peer 10.20.0.2 as-number 100 //配置Router_1和Router_2建立EBGP 连接#ipv4-family unicastundo synchronizationnetwork 10.20.0.0 255.255.255.0 //在BGP IPv4单播地址族视图下,将本地路由表中到达10.20.0.0/24网段的路由添加到BGP路由表中peer 10.20.0.2 enable#return2 Router_2的配置sysname Router_2#acl number 2000 //创建ACL 2000,允许源IP地址为10.20.0.0/24的报文通过rule 0 permit source 10.20.0.0 0.0.0.255#interface GigabitEthernet2/0/1ip address 10.1.0.101 255.255.255.0#interface GigabitEthernet2/0/2ip address 10.30.0.101 255.255.255.0#interface GigabitEthernet2/0/3ip address 10.20.0.2 255.255.255.0#bgp 100 //启动BGP,指定本地AS号为100,指定BGP路由器的Router ID 为2.2.2.2router-id 2.2.2.2peer 10.2.0.101 as-number 100 //配置Router_2和Router_4建立IBGP 连接peer 10.40.1.101 as-number 100peer 10.20.0.1 as-number 200 //配置Router_2和Router_1建立EBGP 连接#ipv4-family unicastundo synchronizationpreference 255 100 130 //配置EBGP路由优先级为255,配置IBGP路由优先级为100,配置本地路由优先级为130,使IBGP路由优先级优于OSPF路由peer 10.2.0.101 enablepeer 10.2.0.101 route-policy local-pre export //指定向对等体10.2.0.101发布的路由策略为local-prepeer 10.2.0.101 next-hop-local //在BGP IPv4单播地址族视图下,配置向对等体10.2.0.101发布BGP路由时,将下一跳属性修改为自身的地址peer 10.20.0.1 enablepeer 10.40.1.101 enablepeer 10.40.1.101 next-hop-local //在BGP IPv4单播地址族视图下,配置向对等体10.40.1.101发布BGP路由时,将下一跳属性修改为自身的地址#ospf 1import-route directarea 0.0.0.0network 10.1.0.0 0.0.0.255#route-policy local-pre permit node 10 //配置路由策略,将从对等体10.20.0.1学习到的路由发布给对等体10.2.0.101时,设置本地优先级为200if-match ip route-source acl 2000apply local-preference 200#return3 Router_3的配置sysname Router_3#interface GigabitEthernet2/0/1ip address 10.1.0.102 255.255.255.0#interface GigabitEthernet2/0/2ip address 10.2.0.102 255.255.255.0#ospf 1area 0.0.0.0network 10.1.0.0 0.0.0.255#return4 Router_4的配置sysname Router_4#acl number 2000 //创建ACL 2000,允许源IP地址为10.50.0.0/24的报文通过rule 0 permit source 10.50.0.0 0.0.0.255#interface GigabitEthernet2/0/1ip address 10.2.0.101 255.255.255.0#interface GigabitEthernet2/0/2ip address 10.40.1.101 255.255.255.0#interface GigabitEthernet2/0/3ip address 10.50.0.2 255.255.255.0#bgp 100 //启动BGP,指定本地AS号为100,指定BGP路由器的Router ID 为4.4.4.4router-id 4.4.4.4peer 10.1.0.101 as-number 100 //配置Router_4和Router_2建立IBGP 连接peer 10.50.0.1 as-number 300 //配置Router_4和Router_6建立EBGP 连接peer 10.30.0.101 as-number 100 //配置Router_4和Router_2建立IBGP 连接#ipv4-family unicastundo synchronizationpreference 255 100 130 //配置EBGP路由优先级为255,配置IBGP路由优先级为100,配置本地路由优先级为130,使IBGP路由优先级优于OSPF路由peer 10.1.0.101 enablepeer 10.1.0.101 next-hop-local //在BGP IPv4单播地址族视图下,配置向对等体10.1.0.101发布BGP路由时,将下一跳属性修改为自身的地址peer 10.1.0.101 route-policy local-pre exportpeer 10.30.0.101 enablepeer 10.30.0.101 next-hop-local //在BGP IPv4单播地址族视图下,配置向对等体10.30.0.101发布BGP路由时,将下一跳属性修改为自身的地址peer 10.50.0.1 enable#ospf 1import-route directarea 0.0.0.0network 10.2.0.0 0.0.0.255network 10.40.1.0 0.0.0.255#route-policy local-pre permit node 10 //配置路由策略,将从对等体10.50.0.1学习到的路由发布给对等体10.1.0.101时,设置本地优先级为200if-match ip route-source acl 2000apply local-preference 200#return5 Router_5的配置sysname Router_5#interface GigabitEthernet2/0/1ip address 10.30.0.102 255.255.255.0#interface GigabitEthernet2/0/2ip address 10.40.1.102 255.255.255.0#ospf 1area 0.0.0.0network 10.40.1.0 0.0.0.255network 10.30.0.0 0.0.0.255#return6 Router_6的配置sysname Router_6#interface GigabitEthernet2/0/1ip address 10.50.0.1 255.255.255.0#bgp 300 //启动BGP,指定本地AS号为300,指定BGP路由器的Router ID 为6.6.6.6router-id 6.6.6.6peer 10.50.0.2 as-number 100 //配置Router_6和Router_4建立EBGP 连接#ipv4-family unicastundo synchronizationnetwork 10.50.0.0 255.255.255.0 //在BGP IPv4单播地址族视图下,将本地路由表中到达10.50.0.0/24网段的路由添加到BGP路由表中peer 10.50.0.2 enable#return7 验证配置结果# 在Router_1上可以执行ping命令到Router_6的IP地址路由可达,证明Router_1和Router_6可以通信。
路由协议配置目录目录第6章IP路由策略配置........................................................................................................... 6-16.1 IP路由策略简介................................................................................................................. 6-16.2 IP路由策略配置................................................................................................................. 6-36.2.1 IP路由策略配置任务列表........................................................................................ 6-36.2.2 定义Route-map ...................................................................................................... 6-36.2.3 定义Route-map的match子句 .............................................................................. 6-46.2.4 定义Route-map的set子句 ................................................................................... 6-56.2.5 引入其它路由协议发现的路由信息 ......................................................................... 6-66.2.6 定义地址前缀列表................................................................................................... 6-76.2.7 配置路由过滤.......................................................................................................... 6-76.3 IP路由策略的监控与维护................................................................................................... 6-96.4 IP路由策略典型配置举例................................................................................................. 6-106.4.1 配置过滤接收的路由信息...................................................................................... 6-10第6章 IP路由策略配置6.1 IP路由策略简介路由器在发布与接收路由信息时,可能需要实施一些策略,对路由信息进行过滤,比如只希望接收或发布一部分满足给定条件的路由信息;一种路由协议(如RIP)可能需要引入(redistribute)其它的路由协议(如OSPF)发现的路由信息,从而丰富自己的路由知识;在引入其它路由协议的路由信息时,可能需要只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置,以使其满足本协议的要求。
华为路由器学习指南-本地策略路由配置⽰例拓扑图如下,RouterA与RouterB间有两条链路相连。
⽤户希望RouterA在发送不同长度的报⽂时,通过不同的下⼀跳地址进⾏转发。
长度为64~1400字节的报⽂设置150.1.1.2作为下⼀跳地址。
长度为1401~1500字节的报⽂设置1151.1.1.2作为下⼀跳地址。
在RouterA上创建名为lab1的本地策略路由,⽤策略点10和策略点20分别配置两种报⽂长度匹配规则,并分别指定对就策略点的协作,即指定对就的下⼀跳地址。
[RouterA]display policy-based-route lab1policy-based-route : lab1Node 10 permit :if-match packet-length 641400apply ip-address next-hop 150.1.1.2Node 20 permit :if-match packet-length 1401 1500apply ip-address next-hop 151.1.1.2验证配置结果在使能本地策略路由lab1之前重置RuterB接⼝统计信息reset counters interface g0/0/1reset counters interface g0/0/0查看RouterB接⼝统计信息display int g0/0/1GigabitEthernet0/0/1 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:50 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/1 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 150.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a6Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:31:31-08:00Port Mode: FORCE COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 0 bits/sec, 0 packets/secLast 300 seconds output rate 0 bits/sec, 0 packets/secInput peak rate 592 bits/sec,Record time: 2017-06-26 15:21:38Output peak rate 560 bits/sec,Record time: 2017-06-26 15:21:38Input: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%display int g0/0/0GigabitEthernet0/0/0 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:59 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/0 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 151.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a5 Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:31:40-08:00Port Mode: COMMON COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 0 bits/sec, 0 packets/secLast 300 seconds output rate 0 bits/sec, 0 packets/secInput peak rate 720 bits/sec,Record time: 2017-06-26 15:21:53Output peak rate 720 bits/sec,Record time: 2017-06-26 15:21:53Input: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 0 packets, 0 bytesUnicast: 0, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%input为0 packet在RouterA ping -s 80 10.1.2.1display int g0/0/0GigabitEthernet0/0/0 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:59 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/0 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 151.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a5 Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:34:40-08:00Port Mode: COMMON COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 16 bits/sec, 0 packets/secLast 300 seconds output rate 16 bits/sec, 0 packets/secInput peak rate 976 bits/sec,Record time: 2017-06-26 15:34:38Output peak rate 976 bits/sec,Record time: 2017-06-26 15:34:38Input: 5 packets, 610 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 5 packets, 610 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%RoutrB g0/0/0增加了5个packet ——————————————————————————————————————————在使能本地策略路由lab1之后[RouterA]ip local policy-based-route lab1display int g0/0/1GigabitEthernet0/0/1 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:50 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/1 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 150.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a6Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:37:26-08:00Port Mode: FORCE COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 16 bits/sec, 0 packets/secLast 300 seconds output rate 16 bits/sec, 0 packets/secInput peak rate 600 bits/sec,Record time: 2017-06-26 15:37:23Output peak rate 584 bits/sec,Record time: 2017-06-26 15:37:23Input: 5 packets, 630 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 5 packets, 610 bytesUnicast: 5, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%[RouterA]ping -s 1401 10.1.2.1display int g0/0/0GigabitEthernet0/0/0 current state : UPLine protocol current state : UPLast line protocol up time : 2017-06-26 15:20:59 UTC-08:00Description:HUAWEI, AR Series, GigabitEthernet0/0/0 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet Address is 151.1.1.2/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc59-06a5Last physical up time : 2017-06-26 15:17:23 UTC-08:00Last physical down time : 2017-06-26 15:17:06 UTC-08:00Current system time: 2017-06-26 15:38:11-08:00Port Mode: COMMON COPPERSpeed : 1000, Loopback: NONEDuplex: FULL, Negotiation: ENABLEMdi : AUTOLast 300 seconds input rate 208 bits/sec, 0 packets/secLast 300 seconds output rate 208 bits/sec, 0 packets/secInput peak rate 11544 bits/sec,Record time: 2017-06-26 15:38:11 Output peak rate 11544 bits/sec,Record time: 2017-06-26 15:38:11 Input: 10 packets, 7825 bytesUnicast: 10, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0CRC: 0, Giants: 0Jabbers: 0, Throttles: 0Runts: 0, Symbols: 0Ignoreds: 0, Frames: 0Output: 10 packets, 7825 bytesUnicast: 10, Multicast: 0Broadcast: 0, Jumbo: 0Discard: 0, Total Error: 0Collisions: 0, ExcessiveCollisions: 0Late Collisions: 0, Deferreds: 0Input bandwidth utilization threshold : 100.00%Output bandwidth utilization threshold: 100.00%Input bandwidth utilization : 0%Output bandwidth utilization : 0%证明本地策略路由配置成功。
华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示,公司用户通过Switch双归属到外部网络设备。
其中,一条是低速链路,网关为10.1.20.1/24;另外一条是高速链路,网关为10.1.30.1/24。
公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。
2、配置思路1、创建VLAN并配置各接口,实现公司和外部网络设备互连。
2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。
3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。
4、配置流行为,使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。
5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。
3、操作步骤3.1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。
<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk,并加入VLAN100和VLAN200。
[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type trunk[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type trunk[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 2/0/1[Switch-GigabitEthernet2/0/1] port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。
策略路由和常见应用1. 策略路由简介策略路由(Policy-based routing)是一种网络路由技术,它通过基于路由策略选择路由路径,以实现对网络流量进行灵活控制和管理的目的。
相比传统的基于目的地地址的路由技术,策略路由允许根据其他因素(如源地址、服务类型、应用类型等)来决定数据包的转发路径。
这种灵活的路由控制方式,使得策略路由在网络管理和流量调优等方面具有重要应用。
在策略路由中,网络管理员可以设定一系列策略,每个策略定义了一组匹配规则和对应的动作。
当一个数据包到达路由器时,路由器将根据这些匹配规则来选择应用于该数据包的策略。
而每个策略的动作则决定了数据包应该如何进行转发处理。
通过合理配置策略,管理员可以实现对特定流量的优先处理、流量分流以及流量定向等目标。
2. 策略路由的应用场景策略路由在网络管理和流量调优等场景中有着广泛的应用。
以下是常见的几个应用场景:2.1 多路径负载均衡在一些网络环境下,可能存在多条连接到外部网络的出口链路。
为了充分利用这些链路资源,避免单一链路的拥塞,可以使用策略路由实现多路径负载均衡。
通过设定策略规则,使得不同的流量被分发到不同的链路上,实现负载均衡。
这样可以提高网络的带宽利用率,同时降低链路拥塞的风险。
2.2 流量定向在某些情况下,网络管理员希望将特定类型的流量定向到特定的链路上。
例如,将对视频流量的处理优先放到高带宽低延迟的链路上,以提高视频传输的质量。
利用策略路由,可以根据流量的特征来选择合适的链路,实现流量的定向。
2.3 网络流量控制策略路由还可以用于网络流量控制的场景。
通过设定策略规则,可以限制特定类型的流量的带宽使用。
例如,对于一个企业网络,可以限制员工使用互联网的带宽,保障关键业务的传输性能。
策略路由可以根据流量的特征来进行限制,并通过选择不同的路径或者丢弃一部分流量,实现流量的控制。
3. 策略路由的配置和实现策略路由的配置和实现方式根据具体的路由器设备和操作系统会有所差异,下面是一般的配置步骤:1.确定策略路由的实施范围和目标:包括需要控制的流量类型、路由路径选择规则等。
ROUTE-POLICY 策略路由规则详解在工程中经常遇到route-policy用于策略路由的情况,下面就对route-polic和ACL间的匹配规则详解如下:一、试验环境A(E0/0)--192.168.1.0--(E0/0)B(S0/0)--10.0.0.0--(S0/0)C(E0/0)--192.168.2.0--(E0/0)D拓扑说明:AB之间的网段为192.168.1.0 。
AB分别通过E0/0口互联。
CD之间的网段为192.168.2.0 。
CD分别通过E0/0口互联。
BC之间分别通过S0/0 中间通过帧中继交换机互联,共配置3个子接口,DLCI分别是100 200 300(两端相同)。
二、测试结论:未做任何策略#interface Ethernet0/0ip address 192.168.1.1 255.255.255.0=在路由器A Tracert路由结果如下:<AR2810-A>dis clock08:48:03 UTC Fri 11/28/2008<AR2810-A>tracert -m 5 -a 192.168.1.2 192.168.2.2traceroute to 192.168.2.2(192.168.2.2) 5 hops max,40 bytes packetPress CTRL_C to break1 192.168.1.1 3 ms 1 ms2 ms2 10.0.0.10 19 ms 18 ms 19 ms3 192.168.2.2 20 ms 21 ms 20 ms由此可得出未做route-policy的时候,是按照全局路由表中的路由条目转发数据流的。
1、permit+permit#interface Ethernet0/0ip address 192.168.1.1 255.255.255.0ip policy route-policy t1#acl number 3000rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255acl number 3001rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255#route-policy t1 permit node 10if-match acl 3000apply ip-address next-hop 10.0.0.2route-policy t1 permit node 20apply ip-address next-hop 10.0.0.6在路由器A Tracert路由结果如下:<AR2810-A>dis clock08:50:33 UTC Fri 11/28/2008<AR2810-A>tracert -m 5 -a 192.168.1.2 192.168.2.2traceroute to 192.168.2.2(192.168.2.2) 5 hops max,40 bytes packetPress CTRL_C to break1 192.168.1.12 ms 2 ms 1 ms2 10.0.0.2 20 ms 20 ms 22 ms3 192.168.2.2 19 ms 20 ms 19 ms由此结果可得出此时数据流匹配了规则node 10 。
华为路由器设置教程连接两个或多个网络的硬件设备,在网络间起网关的作用,读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。
通常是一个计算机,它能够理解不同的协议,例如某个局域网使用的以太协议,因特网使用的TCP/IP协议。
这样,路由器可以分析各种不同类型网络传来的数据包的目的地址,把非TCP/IP网络的地址转换成TCP/IP地址,或者反之;再根据选定的路由算法把各数据包按最佳路线传送到指定位置。
所以路由器可以把非TCP/ IP网络连接到因特网上。
下面是小编收集整理的华为路由器设置教程范文,欢迎借鉴参考。
华为路由器设置教程(一)连接线缆目前家庭网络分为以下三种,我们对应自家的情况进行网线连接● 光纤入户使用网线将路由器的WAN口,与光猫的任意LAN口连接。
(切勿插入光猫的ITV、IPTV接口,这是无法上网的。
)● 电话线入户使用网线将路由器的WAN网口,与宽带猫的任意LAN口连接。
● 网线入户将入户的网线插入路由器的WAN网口。
最后,将路由器的电源线插好,这时候路由器的指示灯为橙色常亮(部分路由器为红色常亮)。
有线网络连接:使用网线,将路由器LAN口与电脑(或网络电视、电视盒子等其他上网设备)连接。
配置上网使用手机浏览器(或电脑浏览器)就可以轻松设置,下面我以手机为例。
1、手机连接路由器底部的默认Wi-Fi名称,直接连无需密码。
2、打开浏览器,页面自动跳转上网向导(若未跳转,请输入192.168.3.1)。
点击马上体验。
3. 输入宽带账号密码。
请注意是网络开户时运营商提供的哦。
(DHCP用户无需输入账号密码可跳过此步)4、设置新的Wi-Fi名称和密码。
这样,你的华为路由 WS5100将会有属于自己的Wi-Fi名称和密码,你一眼就可以认出来。
备注:华为路由WS5100默认开启5G优选,将为设备自动连接速度更快的5GWi-Fi。
5、点击下一步。
恢复出厂保留关键配置默认打开(华为路由器WS5100没有此功能),Wi-Fi功率默认选择穿墙模式。
路由策略和策略路由一、路由策略简介路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如:1、控制路由的接收和发布只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。
2、控制路由的引入在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。
3、设置特定路由的属性修改通过路由策略过滤的路由的属性,满足自身需要。
路由策略具有以下价值:通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。
、基本原理路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。
在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。
若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
图1路由策略原理图如图1,一个路由策略中包含N(N>=1)个节点(Node)。
路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。
匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。
当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种:permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。
deny:路由将被拒绝通过。
当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。
如果和所有节点都匹配失败,路由信息将被拒绝通过。
过滤器路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。
路由策略与策略路由的区别
路由策略和策略路由的区别
路由策略是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择
的参数而改变路由发现的结果,最终改变的是路由表的内容。
是在路由发现的时候产生作用。
策略路由就是尽管存有当前最优的路由,但是针对某些特别的主机(或应用领域、协议)不采用当前路由表中的留言路径而单独采用别的留言路径。
在数据包转发的时候出现
促进作用、不发生改变路由表中任何内容。
概括一点讲就是,路由策略是路由发现规则,策略路由是数据包转发规则。
其实将
“策略路由”理解为“转发策略”,这样更容易理解与区分。
由于转发在底层,路由在高层,所以转发的优先级比路由的优先级高,这点也能理解的通。
其实路由器中存在两种类
型和层次的表,一个是路由表(routing-table),另一个是转发表(forwording-table)。
转发表是由路由表映射过来的,策略路由直接作用于转发表,路由策略直接作用于路由表
总结:路由策略(操作方式对象就是路由表)就是根据一些规则,发生改变路由表项。
策略路由(操作对象是某些特定的主机的数据包)是不改变路由表,改变某些主机的
数据包转发。
路由策略和策略路由一、路由策略简介路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如:1、控制路由的接收和发布只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。
2、控制路由的引入在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。
3、设置特定路由的属性修改通过路由策略过滤的路由的属性,满足自身需要。
路由策略具有以下价值:通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。
二、基本原理路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。
在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。
若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
图1 路由策略原理图如图1,一个路由策略中包含N(N>=1)个节点(Node)。
路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。
匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。
当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种:permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。
deny:路由将被拒绝通过。
当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。
如果和所有节点都匹配失败,路由信息将被拒绝通过。
过滤器路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。
这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。
1、ACLACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。
在Route-Policy的If-match 子句中只支持基本ACL。
2、地址前缀列表(IP Prefix List)地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。
每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。
路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。
若所有节点都匹配失败,路由信息将被过滤。
根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。
说明:当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit 或Deny。
3、AS路径过滤器(AS_Path Filter)AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。
AS_Path属性记录了BGP路由所经过的所有AS编号。
4、团体属性过滤器(Community Filter)团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。
BGP的团体属性是用来标识一组具有共同性质的路由。
5、扩展团体属性过滤器(Extcommunity Filter)扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN 配置中利用VPN Target区分路由时单独使用。
目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。
VPN Target 属性在BGP/MPLS IP VPN网络中控制VPN路由信息在各Site之间的发布和接收。
6、RD属性过滤器(Route Distinguisher Filter)RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。
VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。
BGP to IGP功能BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path 等私有属性。
在IGP引入BGP路由时,可以应用路由策略。
只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP私有属性作为匹配条件。
如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
三、配置路由策略1、配置过滤器1、配置地址前缀列表当需要根据路由的目的地址控制路由的发布和接收时,配置地址前缀列表。
如果地址前缀列表不与路由策略中if-match语句配合使用,地址前缀列表中至少配置一个节点的匹配模式是permit,否则所有路由将都被过滤。
具体配置[Huawei]ip ip-prefix 1 permit 10.1.0.0 16 ?greater-equal Set the greater-than-or-equal-to value of the mask length#掩码长度可以匹配范围的下限值less-equal Set the less-than-or-equal-to value of the mask length #掩码长度可以匹配范围的上限值<cr>2、配置AS属性过滤器AS路径过滤器是利用BGP路由携带的AS-Path列表对路由进行过滤。
在不希望接收某些AS的路由时,可以利用AS路径过滤器对携带这些AS号的路由进行过滤。
当网络环境比较复杂时,如果利用ACL或者地址前缀列表过滤BGP路由,则需要定义多个ACL 或者前缀列表,配置比较繁琐。
这时也可以使用AS路径过滤器。
具体配置[Huawei]ip as-path-filter 1 deny ?TEXT A regular-expression of 1 to 255 characters for matching AS_Path attributes # 用正则表达式来表示正则表达式的使用见正则表达式章节3、配置团体属性过滤器团体属性可以标识具有相同特征的路由,而不用考虑零散路由前缀和繁多的AS号。
团体属性过滤器与团体属性配合使用,可以在不便使用地址前缀列表和AS属性过滤器时,降低路由管理难度。
例如某公司一国外分部只需要接收国内总部和邻国分部的路由,不需要接收其他国外分部的路由。
此时只需为各国分部分配不同的团体属性,就可以方便的实现路由管理,而不用去考虑每个国家内零散的路由前缀和繁多的AS号。
团体属性过滤器有两种类型:基本团体属性过滤器和高级团体属性过滤器。
高级团体属性过滤器支持正则表达式,比基本团体属性过滤器匹配团体属性更灵活。
具体配置1、基本团体属性过滤[Huawei]ip community-filter basic 1 permit ?INTEGER<0-4294967295> Specify community numberSTRING<3-11> Specify aa<0-65535>:nn<0-65535>internet Internet(well-known community attributes)#缺省情况下所有路由都具有此属性,可以被通告给所有的BGP对等体no-advertise Do not advertise to any peer (well-known community attributes)#具有此属性的路由在收到后不能被通告给任何其他的BGP对等体no-export Do not export to external peers(well-known community attributes)#具有此属性的路由在收到后不能被发布到本地AS之外no-export-subconfed Do not send outside a sub-confederation(well-known community attributes)#具有此属性的路由在收到后不能被发布到本地AS之外,也不能发布到联盟中的其他子AS<cr>2、高级团体属性过滤[Huawei]ip community-filter advanced 1 permit ?TEXT A regular-expression of 1 to 255 characters for matching community attributes #正则表达式4、配置扩展团体属性过滤器当VPN场景中需要根据RT属性进行过滤时,可以使用扩展团体属性过滤器。
[Huawei]ip extcommunity-filter ?INTEGER<1-199> Extended community-filter number (basic)INTEGER<200-399> Extended community-filter number (advanced)advanced Advanced extcommunity-filterbasic Basic extcommunity-filter5、配置RD属性过滤器当VPN场景中需要根据RD属性进行过滤时,可以使用扩展团体属性过滤器。
[Huawei]ip rd-filter 1 ?deny Specify a deny rulepermit Specify a permit rule2、配置路由策略Route-Policy的每个节点由一组if-match子句和apply子句组成。
if-match:定义节点匹配规则,即路由信息通过当前路由策略所需满足的条件。
apply:路由策略动作,即满足if-match子句后所执行的一些属性配置动作,对路由的某些属性进行修改。
1、创建Route-PolicyRoute-Policy中可以包含多个匹配条件和操作动作。
Route-Policy中至少配置一个节点的匹配模式是permit,否则所有路由将都被过滤。
具体配置[Huawei]route-policy 1 permit node ?INTEGER<0-65535> Index of the node2、配置If-match子句(可选)If-match子句用来定义路由策略的匹配条件,匹配对象是路由策略过滤器和路由信息的一些属性。