Cisco思科策略路由的概念_原理_配置实例

1、策略路由1策略路由概述 31.1 普通路由的概念 31.2 策略路由的概念 41.2.1 策略路由 41.2.2 路由策略 82策略路由的实现原理 82.1 策略路由的好处 82.2 策略路由的流程 82.3 策略路由的处理流程 92.3.1 流模式和逐包模式 92.3.2 流模式流程图 92.3.3 路由器流模式及逐包模式切换命令 92.4 Route-map原理与执行 92.4.1 Route-map 概念 92.4.3 Route-map 的执行语句 103策略路由的规划设计 123.1 策略路由的适用环境 123.2 策略路由的配置 123.2.1 路由器根本配置 123.2.2 交换

2、机根本配置 173.3 策略路由的验证和调试 194策略路由部署应用案例 204.1 策略路由配置案例一 204.1.1 网络拓扑 204.1.2 功能需求： 204.1.3 配置实现： 214.2 策略路由配置案例二 224.2.1 网络拓扑 224.2.2 功能需求： 224.3.1 网络拓扑 234.3.2 功能需求： 244.3.3 配置实现： 244.3.4 配置优化： 251策略路由概述1.1 普通路由的概念普通路由转发基于路由表进行报文的转发;路由表的建立直联路由、主机路由；静态配置路由条目；动态路由协议学习生成；查看命令show ip route对于同一目的网段,可能存在多条

3、distance不等的路由条目1.2 策略路由的概念1.2.1 策略路由所谓策略路由,顾名思义,即是根据一定的策略进行报文转发,因此策略路由是一种 比目的路由更灵活的路由机制.在路由器转发一个数据报文时,首先根据配置的规那么对报 文进行过滤,匹配成功那么根据一定的转发策略进行报文转发.这种规那么可以是基于标准和扩展访问限制列表,也可以基于报文的长度；而转发策略那么是限制报文根据指定的策略路 由表进行转发,也可以修改报文的IP优先字段.因此,策略路由是对传统IP路由机制的 有效增强.策略路由能满足 基于源IP地址、目的IP址、协议字段,甚至于TCP UDP勺源、目的 端口等多种组合进行选路. 简

4、单点来说,只要IP standard/extended ACLIP 标准/扩展 ACL能设置的,都可以做为策略路由的匹配规那么进行转发.策略路由Policy Route 是指在决定一个IP包的下一跳转发地址或是下一跳缺省 IP地址时,不是简单的根据目的IP地址决定,而是综合考虑多种因素来决定.如可以 根 据DSCP?段、源和目白端口号,源IP地址等来为数据包选择路径. 策略路由可以在一定 程度上实现流量工程,使不同效劳质量的流或者不同性质的数据语音、FTP走不同的路径.基于策略的路由为网络治理者提供了比传统路由协议对报文的转发和存储更强的限制 水平.传统上,路由器用从路由协议派生出来的路由表,

5、根据目的地址进行报文的转发. 基于策略的路由比传统路由水平更强,使用更灵活,它使网络治理者不仅能够根据目的地址而且能够根据协议类型、报文大小、应用或 I P源地址来选择转发路径.策略可以定义 为通过多路由器的负载平衡或根据总流量在各线上进行报文转发的效劳质量Q o S .本交换机所支持的策略路由是与 QOS勺流分类标准相结合的.针对简单流分类和复杂流分类,可以根据到来的数据包的匹配的以下特征,来设定策略路由：802.1p优先级VLAN ID源/目的MAO址源/目的的IP地址包括IP MASK局部TCP/UDFW/目的端口号IP优先级DSCP勺优先级*编辑本词条缺少信息栏、名片图,补充相关内容使

6、词条更完整,还能快速升级,赶紧来编辑吧!DSCP1分效劳彳t码点(Differentiated Services Code Point ), IETF 于 1998 年 12 月发布了 Diff-Serv (Differentiated Service )的QoS分类标准.它在每个数据包IP头 部的效劳类别TOS标识字节中,利用已使用的6比特和未使用的2比特,通过编码值来区 分优先级简介编辑DSC味分效劳彳t码点(Differentiated Services Code Point ), IETF 于 1998 年 12 月发布了 Diff-Serv (Differentiated Servi

7、ce )的QoS分类标准.它在每个数据包IP头 部的效劳类别TOS标识字节中,利用已使用的6比特和未使用的2比特,通过编码值来区 分优先级.DSCP使用6个bit , DSCP勺值得范围为063.DSCP是“IP优先和“效劳类型字段的组合. 为了利用只支持“IP优先的旧跃 由器,会使用DSCP值,由于DSCP值与“IP优先字段兼容.每一个DSCPS码值都被映射到一个已定义的 PHB(Per-Hop-Behavior )标识码.通过键入DSCPfi, 、Windows客户和效劳器等终端设备也可对流量进行标识.支持设备编辑大局部ONU/MDU/OLT备都会支持.四种PHB勺分类编辑1、Defaul

8、t PHB (FIFO,tail drop) DSCP 值为 02、Expedited Forwarding PHB(急速转发,提供延时的保证)主要针对于延时PQDSCP勺默认为前3个bit为101,后3个bit为1103、Assured Forwarding PHB(保证转发,提供带宽保证)保证带宽,用于带宽保证. CBWFQAF1 001 dd 0每个AF的大类中有会分为3个小类,dd中定义的类型,dd为丢弃 概率,值越大丢弃率越高.三个小类为(AF11 01 LOW, AF12 10 Medium, AF13 11 High)4、class-selector(ip precedence)

9、 PHB用于和老的优先级做兼容,后 3个bit都为 0.*IP的协议类型字段可以对匹配以上特征的流,设定以下两种策略路由：下一跳I P地址：这条配置命令标示了那些符合匹配语句的输出报文将进行下一跳IP地址.下一跳缺省I P地址：这条配置命令设定缺省的下一跳.如果路由表中没有明确的路径,那么路由器使用缺省的下一跳.这个过程 经常应用于在两个不同的效劳提供商之间进行 负载平衡.当使用这条命令时,也是首先用路由表进行路由.如果路由表中没有明确的路 径,那么路由器根据制定的策略使用缺省值.策略路由使网络治理者能根据它提供的机制指定一个报文采取的具体路径.而在当今高性能的网络中,这种选择的自由性是很需要

10、的.需要明确策略路由是设置在接收报文接口而不是发送接口.当在接收报文的接口设定了策略路由后,交换机在该接口,检测到来的数据报文,当 检测到有匹配相应流分类特征的数据数据报文经过时,就查找相应的策略路由表项,根据 策略路由表项所指定的下一跳IP地址或是缺省路由IP地址,来选择转发路径.策略路由功能是与流分类和流策略紧密相关的,关于流分类和流策略的根本配置命令 见QO观置局部1.2.2路由策略路由策略通过路由策略限制路由的接收、发布、引入的方法,实现对路由的优化2策略路由的实现原理2.1 策略路由的好处基于源的路由可以使不同的用户选择不同的ISP通过设置IP Precedence或Tos来实现QO

11、S实现负载均衡2.2 策略路由的流程使用Route-map来配置策略路由的流程策略路由只对入口数据包有效.应用策略路由,必须要指定策略路由使用的路由映射,并且要创立路由映射.一个路由映射由很多条策略组成,每个策略都定义了1个或多个的匹配规那么和对应操作.一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由映射任何策略的数 据包将根据通常的路由转发进行处理,符合路由映射中某个策略的数据包就根据该策略中 定义的操作进行处理.策略路由对报文的发送接口、下一跳的配置是基于多转发表实现的2.3 策略路由的处理流程2.3.1 流模式和逐包模式流模式第一个包查路由转发表,如果存在路由,将该路

12、由项以source > dest、tos、入接口等索引放置到cache中,以后同样的流就可以直接查cache对于低端路由器,所有操作由 CP济内存处理对于中高端设备,一般由NP和Asic芯片完成处理逐包模式每个包都进行查表后才进行转发2.3.2 流模式流程图2.3.3 路由器流模式及逐包模式切换命令ip route-cache policy开启快速交换策略路由就是流模式no ip route-cache policy关闭该功能就是逐包模式2.4 Route-map原理与执行2.4.1 Route-map 概念route-map是由一组match字句和set字句构成,他实际上是访问限制列表

13、的一个超 集.当需做策略路由的 报文匹配route-map中的match字句定义的规那么时,将根据set字 旬的配置决定该报文的路由方式,包括设置报文的优先权字段,设置报文的下一跳,设置报文的发送接口2.4.2 理解 Route-map类似于复杂的Access-list自顶向下地处理,一旦有一条匹配,那么马上结束 route-map查找Route-map每个条目都被赋予编号,可以任意地插入或删除条目当使用策略路由时,首先定义重分布路由映射,一个路由映射可以由很多策略组成, 策略按序号大小排列,只要符合了前面策略,就退出路由映射的执行.由于路由映射中每个策略都有其编号,故可以方便的插入或删除.2

14、.4.3 Route-map的执行语句route-map test permit 10match x y zmatch aset bset croute-map test permit 20match qset rdeny all系统隐含If x or y or z and athen set b and celse if qthen set relse set nothingroute-map-name给路由图定义一个便于记忆的名字.Redistribute 重新分配路由进程配置命令是通过该名字引用路由图的.一个路由图可以定义多个路由图策略,一个路由图策略对应一个序号.Permit可选如果定

15、义了 permit关键字,又符合match定义的匹配规那么.那么set命令对重 分布路由进行限制；对于策略路由,set命令将对数据包转发进行限制.并退出路由图的 操作.如果定义了 permit关键字,而不符合match定义的匹配规那么.那么将进入第二个路由图 策略进行操作.直到最终执行了set命令.deny可选如果定义了 deny关键字,又符合match定义的匹配规那么.那么不会执行任何操作,该路由图策略不允许进行路由重分布或策略路由,而且退出路由图操作.如果定义了 deny关键字,而不符合match定义的匹配规那么.那么将进入下一个路由图策略进行操作.直到最终执行了 set命令.sequen

16、ce-number路由图策略对应的序号.低序号的策略优先得到使用,因此需要注意序号的设置.3策略路由的规划设计3.1 策略路由的适用环境多出口情况下校园网internet 网、教育网；企业网双出口上网；旁路组网需要修改报文TOS dscp；3.2 策略路由的配置3.2.1 路由器根本配置 路由器配置步骤1定义重分布路由图,一个路由图可以由好多策略组成,策略按序号大小排列,只要符合了前面策略,就退出路由图的执行;Router(config)#route-map route-map-name permit | deny sequence定义路由图Router(config)#no r

17、oute-map route-map-name permit | deny sequence删除路由图2)定义路由图每个策略的匹配规那么或条件；定义匹配规那么,只有符合规那么的数据包才进行策略路由,如果没有配置匹配规那么,那么所有数据包都符合规那么.要定义策略的匹配规那么,在路由图配置模式中执行以下Route(config-route-map)#match ip address access-list-number匹配访问列表中的地址Route(config-route-map)#match length min-length max-length匹配数据包大小范围3)定义满足匹配规那么后,路

18、由器对符合规那么的数据包进行IP优先值和下一跳的设置.要定义匹配规那么后的操作,在路由图配置模式中执行以下命令：Router(config-route-map)#setdefault interface interface-typeinterface-number设置数据包的输出接口,Router(config-route-map)#set ip default next-hop ip-address设置数据包的下一跳IP地址,Router(config-route-map)#set ip next-hop ip-address设置数据包的下一跳IP地址Router(config-route-

19、map)#set ip precedenceprecedence| critical | flash | flash-override |immediate | internet | network | priority |routine设置数据包IP优先值set ip next-hop 和set ip default next-hop命令十分类似,但是操作的顺序完全不同.set ip next-hop命令使得路由器首先检查策略路由,不符合策略后使用路由表进行数据包转发处理；set ip default next-hop命令使得路由器首先检查路由表,假设发现没有明确路由那么使用策略路由进行数据

20、包转发处理.IP数据包报头优先值的设置,网络流量大时,优先值高的流量可以得到优先处理.缺省情况下,RGNOS不对IP报头的优先值进行修改的,会保持其原有的值.在应用策略路由时,可以对IP报头的优先值进行设置.当这些携带一定优先值的数据 包到达其它路由器时,如果该路由器启用了队列机制,优先值高的数据包会得到优先处理, 其效劳质量就得到了保证.如果没有启用队列机制,优先值将没有任何意义,所有数据包的发送根据FIFO 先进先出的方式进行处理优先值的设置可以用名字或者数字,名字命名来自RFC 791,其对应关系如下0 Routing1 Priority2 Immediate3 Flash4 flash

21、-override5 Critical6 Internet7 Network8 在指定接口中应用路由图.要配置到达路由器接口数据包的策略路由,在接口配置模式中执行以下命令：Routerconfig-if#ip policy route-map route-map在接 口应用策略路由说明路由器本身产生的数据包,通常是不要应用策略路由,如果路由器本身产生的数据包也要应用策略路由,在全局配置模式中执行以下命令:Router(config)#ip local policy route-map route-map应用本地策略路由接口上应用策略时,缺省情况下,IP报文快速转发也支持策略路由转发.如果要关闭

22、 策略路由的快速转发功能,可以有以下命令：Router(config-if)#no ip route-cache policy在接口上关闭策略路由快速转发功能.9 .2.1.2 路由器配置举例 ? ISP A. ? ISP B.RouterA(config)# access-list 1 permit ip 55RouterA(config)# access-list 2 permit ip 55RouterA(config)# route-map access permit 10(序列号从低开始匹

23、配)RouterA(config-route-map)# match ip address 1(匹酉己歹！J表 1)RouterA(config-route-map)# set ip default next-hop (指向下一跳地址)RouterA(config-route-map)# route-map access permit 20RouterA(config-route-map)# match ip address 2RouterA(config-route-map)# set ip default next-hop RouterA(config-rout

24、e-map)# route-map access permit 30RouterA(config-route-map)# set default interface null0(没有匹配 1 和 2 的都丢弃)RouterA(config)# interface ethernet 0RouterA(config-if)# ip address RouterA(config-if)# ip policy route-map accessRouterA(config)# interface serial 0RouterA(config-if)# ip ad

25、dress RouterA(config)# interface serial 1RouterA(config-if)# ip address 3.2.2交换机根本配置 交换机配置步骤1)定义重分布路由图,一个路由图可以由好多策略组成,策略按序号大小排列,只要 符合了前面策略,就退出路由图的执行；2)定义路由图每个策略的匹配规那么或条件；3)定义满足匹配规那么后,路由器对符合规那么的数据包进行IP优先值和下一跳的设置4)在指定接口中应用路由图. 交换机配置举例在f0/0 口上配置策略

26、路由,使得所有进入的报文都转发到下一跳为的设备Ruijie(config)# access-list 1 permit anyRuijie(config)# route-map nameRuijie(config-route-map)# match ip address 1Ruijie(config-route-map)# set ip next-hop Ruijie(config-route-map)# int f 0/0Ruijie(config-if)# ip policy route-map name 交换机配置建议S6000E

27、系列的交换机使用多业务子卡可实现策略路由.一个接口最多只能配置一个路 由图,在同一个接口上屡次配置路由图会相互覆盖.在使用策略路由时,每个子路由图建议只配置一个ACL如果配置的子路由图中只有nexthop而没有配置ACL那么等价于所有报文都匹配；如果子路由图中只有ACL而没有nexthop那么匹配的报文普通转发；如果子路由图中即没有 ACL也没有nexthop,那么等价所有报文普通转发策略路由只支持配置 ACL#,不支持ACL名字配置如果配置了 ACL号但是该ACL不存在,等价所有报文都匹配3.3策略路由的验证和调试显示IP策略应用情况router#show ip policyInterfac

28、eRoute mapFastEthernet2 testDebug ip policyIP:s=(FastEthernet 1/1),d=50(<NULL>),len=60,precedence=0, policy match RouteMap test, item = 10, permitlen=60,IP: s= (FastEthernet 1/1), d=50(FastEthernet1/0),precedence=0, policy routed显示所有或指定路由映射的信息server_r1#show

29、route-map <word>route-map test, permit, sequence 10Match clauses: ip address (access-lists): 1Set clauses: default interface FastEthernet0Policy routing matches: 42 packets, 2520 bytesroute-map test, permit, sequence 20Match clauses:ip address (access-lists): 2Set clauses:ip next-hop 10.10.13.

30、3Policy routing matches: 12 packets, 720 bytes显示所有或指定路由映射的信息4策略路由部署应用案例4.1 策略路由配置案例一4.1.1 网络拓扑4.1.2 功能需求：OICQ应用全走电信出口/24 数据流通过教育网上网/24 访问教育网走教育网非教育网流量走电信4.1.3 配置实现：route-map test permit 10match ip address 103set ip next-hop route-map test permit 20match ip address 10

31、5set ip next-hop ip access-list extended 10310 permit tcp any any eq 800020 permit udp any any eq 8000 /OICQ 端口ip access-list extended 10510 permit ip 55 any省略/.教育网地址段20 permit ip any 5530 permit ip any 55int ge 1/3ip policy route

32、-map test /应用到入接口4.2 策略路由配置案例二4.2.1 网络拓扑4.2.2 功能需求：OICQ应用全走电信出口/24 数据流通过教育网上网/24 访问教育网走教育网非教育网流量走电信4.2.3 配置实现：route-map test permit 10match ip address 103set ip next-hop route-map test permit 20set ip next-hop ip access-list extended 10310 permit tcp any an

33、y eq 800020 permit udp any any eq 8000 /OICQ 端口ip access-list extended 10510 deny ip any 5520 deny ip any 5530 permit ip 55 any40 permit ip any 55省略 /.教育网地址段int range ge 1/3-4ip policy route-map test /应用到入接口4.3 策略路由配置案例三4.3.1 网络拓扑说明：用户使用NBR2000乍为网吧出口路由器,接入线路共 3条,两条电信线路,一 条网通线路.由于NBR200QR有2个WANP,因此两条电信线路通过一台二层交换机连接 到NBR2000勺WAN 0口上,WAN 0口配置两个IP地址其中一个为 second ip , WAN 1 口连接