[计算机]基于策略的路由选择ppt课件

1、补充：使用路由策略2课程内容路由策略综述路由策略综述使用路由策略控制路由引入使用路由策略控制路由引入基于策略的路由选择基于策略的路由选择3路由策略综述路由策略综述4什么是路由策略l路由策略和访问控制列表非常相似，它们都运行路由策略和访问控制列表非常相似，它们都运行“ifthen的程序语句：声明标准，用来判断某个特定的数据包是否的程序语句：声明标准，用来判断某个特定的数据包是否被允许或者制止。被允许或者制止。l它们的区别是：路由策略可以改变实体它们的区别是：路由策略可以改变实体假设一个数据包假设一个数据包匹配了路由策略中给定的标准，就会执行一些操作改变数据匹配了路由策略中给定的标准，就会执行一些

2、操作改变数据包。包。l在一个访问控制列表中，由在一个访问控制列表中，由test condition来匹配数据包，并来匹配数据包，并根据匹配结果断定根据匹配结果断定permit或者或者deny。l在一个路由策略中，由在一个路由策略中，由if-match语句后的语句后的test condition匹配匹配数据包，并根据匹配结果断定是否执行数据包，并根据匹配结果断定是否执行apply语句后的动作。语句后的动作。5路由策略的特点l路由策略具有一系列标准，用路由策略具有一系列标准，用if-match语句声明。语句声明。l路由策略可以用路由策略可以用apply语句改变匹配的数据包或者路由。语句改变匹配的数

3、据包或者路由。l有着一样路由策略名称的路由策略语句集被认为是同一个路由策略。有着一样路由策略名称的路由策略语句集被认为是同一个路由策略。l在同一个路由策略中，每一个路由映射语句都用数字顺序地标注，所以在同一个路由策略中，每一个路由映射语句都用数字顺序地标注，所以可以进展单独编辑。可以进展单独编辑。l路由策略中的一个语句对应着访问列表中的一行，在一个路由策略中指路由策略中的一个语句对应着访问列表中的一行，在一个路由策略中指明匹配条件就像在一个访问列表中指明源地址、目的地址和掩码一样。明匹配条件就像在一个访问列表中指明源地址、目的地址和掩码一样。l在路由策略中的语句用来和路由进展比较，以判断是否存

4、在一个匹配。在路由策略中的语句用来和路由进展比较，以判断是否存在一个匹配。检验语句的顺序就像在访问控制列表中一样，从顶端开场，依次向下。检验语句的顺序就像在访问控制列表中一样，从顶端开场，依次向下。6路由策略的特点contl应用第一个被发现的匹配路由，并且路由策略不会进一步检验。应用第一个被发现的匹配路由，并且路由策略不会进一步检验。lIf-match语句用来定义检验的条件。语句用来定义检验的条件。lApply语句用来定义假设存在一个匹配，将采取何种行动。语句用来定义假设存在一个匹配，将采取何种行动。l单一的单一的if-match语句可以包含多个条件，在语句可以包含多个条件，在if-match

5、语句中至少存在一语句中至少存在一个为个为“真的条件，这是一个逻辑真的条件，这是一个逻辑“或。或。l一个路由策略语句可以包含多个一个路由策略语句可以包含多个if-match语句，路由策略中的所有语句，路由策略中的所有if-mtach语句，对于认为是匹配的路由策略语句，必须认为是语句，对于认为是匹配的路由策略语句，必须认为是“真，这真，这是一个逻辑是一个逻辑“与。与。l序列号用于指明检验条件的顺序。序列号用于指明检验条件的顺序。l在路由策略末尾有一个隐含的在路由策略末尾有一个隐含的“deny any声明，这个声明，这个deny的后继操的后继操作取决于这个路由策略是如何使用的。作取决于这个路由策略是

6、如何使用的。7使用路由策略使用路由策略控制路由引入控制路由引入 2004 richedu TECH8路由策略配置任务l定义路由策略定义路由策略routing policyl定义路由策略的定义路由策略的if-match子句子句l定义路由策略的定义路由策略的apply子句子句9定义路由策略操作命令定义路由策略节点route-policy policy-name permit | deny seq-number 删除路由策略节点undo route-policy policy-name permit | deny seq-number policy-name：这是路由策略的名称，在使用：这是路由策略

7、的名称，在使用import-route命令命令时，该名称用于调用路由策略。时，该名称用于调用路由策略。seq-number：节点号，指明一个具有一样名称的新路由策略：节点号，指明一个具有一样名称的新路由策略在路由策略语句系列中的位置。不同在路由策略语句系列中的位置。不同seq-number各个部分之各个部分之间的关系是间的关系是“或的关系。或的关系。 每个节点下可以有多个每个节点下可以有多个if-match和和apply子句，子句，if-match子句之间子句之间是是“与的关系。与的关系。10定义路由策略cont操作命令定义路由策略节点route-policy policy-name perm

8、it | deny seq-number 删除路由策略节点undo route-policy policy-name permit | deny seq-number permit | deny：假设满足了匹配条件，并指定了假设满足了匹配条件，并指定了permit参数，那么路由就将按照集合行为所参数，那么路由就将按照集合行为所定义的那样重分布。定义的那样重分布。假设匹配标准没有满足，并且指定了假设匹配标准没有满足，并且指定了permit参数，那么接着检验下一个节点。参数，那么接着检验下一个节点。假如路由没有通过任何一个节点的匹配标准，那么这个路由不会被重分布，假如路由没有通过任何一个节点的匹配

9、标准，那么这个路由不会被重分布，因为它遇上了隐含的因为它遇上了隐含的deny any。假如一个路由策略的匹配标准满足了，并且指定了假如一个路由策略的匹配标准满足了，并且指定了deny参数，那么路由将不参数，那么路由将不会重分布，也不会进入下一个节点进展检验。会重分布，也不会进入下一个节点进展检验。11定义路由策略的if-match子句操作命令指定Routing policy中匹配路由信息的原AS路径前的AS序号if-match as-path aspath-list-number指定Routing policy中匹配的路由信息BGP团体的属性if-match community standar

10、d-community-list-number exact-match | extended-community-list-number 指定Routing policy中匹配的路由信息访问控制列表和前缀列表if-match ip address acl-number | ip-prefix prefix-list-name 指定Routing policy中匹配的接口if-match interface type number 指定Routing policy中匹配的路由信息的下一跳if-match ip next-hop acl-number | ip-prefix prefix-list

11、-name 指定Routing policy中匹配的OSPF路由信息的花费if-match cost cost指定Routing policy中匹配的OSPF路由信息的标记域的值if-match tag tag-value指定Routing policy中匹配的路由信息的路由类型if-match route-type internal | external 12定义路由策略的apply子句操作命令指定Routing policy中原AS路径前的AS序号apply as-path aspath-list-number指定Routing policy中设置BGP团体的属性apply communi

12、ty aa:nn no-export-subconfed no-advertise no-export additive | none | additive 设置BGP路由信息的下一跳地址apply ip next-hop ip-address设置BGP路由信息的本地优先级apply local-preference local-preference设置路由信息的路由花费apply cost cost设置BGP路由信息的路由源apply origin igp | egp as-number | incomplete 设置OSPF路由信息的标记域apply tag tag-value指定Rout

13、ing policy中原AS路径前的AS序号apply as-path aspath-list-number13实例1：配置路由策略192.1.0.0/24128.2.0.0/16128.1.0.1128.1.0.0/16校园网校园网地区性网络地区性网络l路由器连接了一所大学的校园网和一个地区性网络。校园网使用路由器连接了一所大学的校园网和一个地区性网络。校园网使用RIP 作作为其内部路由协议，地区性网络使用为其内部路由协议，地区性网络使用OSPF 路由协议，路由器需要将校路由协议，路由器需要将校园网中的某些路由信息在地区性网络中发布。园网中的某些路由信息在地区性网络中发布。l为实现这一功能，

14、路由器上的为实现这一功能，路由器上的OSPF 协议在引入协议在引入RIP 协议路由信息时通协议路由信息时通过对一个路由策略的引用实现路由过滤的功能。过对一个路由策略的引用实现路由过滤的功能。l该路由策略由两个节点组成，实现该路由策略由两个节点组成，实现192.1.0.0/24 和和128.2.0.0/16 的路由信的路由信息以不同的路由权值被息以不同的路由权值被OSPF 协议发布。协议发布。14实例1：配置路由策略l# 定义地址前缀列表定义地址前缀列表Quidwayip ip-prefix p1 permit 192.1.1.0/24Quidwayip ip-prefix p2 permit

15、128.2.0.0/16l# 配置路由策略配置路由策略Quidwayroute-policy r1 permit 10Quidway-route-policyif-match ip address ip-prefix p1Quidway-route-policyroute-policy r1 permit 20Quidway-route-policyif-match ip address ip-prefix p2Quidway-route-policyquitl# 配置配置OSPF 协议协议Quidwayospf enableQuidway-ospfimport-route rip route

16、-policy r1Quidway-ospfinterface ethernet 0Quidway-Ethernet0ip address 128.1.0.1 255.255.255.0Quidway-Ethernet0ospf enable area 015CASEl路由策略各个节点中至少应该有一个节点定义了路由策略各个节点中至少应该有一个节点定义了permit语句。语句。当一个路由策略用于路由信息过滤时，假设某路由信息没有通过当一个路由策略用于路由信息过滤时，假设某路由信息没有通过任一节点的过滤，那么认为该路由信息没有通过该路由策略的过任一节点的过滤，那么认为该路由信息没有通过该路由策略的

17、过滤。滤。当路由策略的所有节点都是当路由策略的所有节点都是deny语句时，所有路由信息都将不会语句时，所有路由信息都将不会通过该路由策略的过滤。通过该路由策略的过滤。l地址前缀列表的各个表项中至少应该有一条地址前缀列表的各个表项中至少应该有一条permit语句。语句。可先定义可先定义deny 语句，以便过先过滤掉那些不符合条件的路由信语句，以便过先过滤掉那些不符合条件的路由信息。息。但假设所有语句都是但假设所有语句都是deny，那么任何路由都不会通过该地址前缀，那么任何路由都不会通过该地址前缀列表的过滤。列表的过滤。16基于策略的路由选择基于策略的路由选择policy-based routin

18、g,PBR 2004 richedu TECH17策略路由综述l策略路由是一种不经过路由表，根据策略发送、转发报文的策略路由是一种不经过路由表，根据策略发送、转发报文的机制，它是比根据数据包的目的地址进展路由更为灵敏。路机制，它是比根据数据包的目的地址进展路由更为灵敏。路由器通过策略路由转发一个数据包时，先通过一个由器通过策略路由转发一个数据包时，先通过一个routing policy 进展过滤，由该进展过滤，由该routing policy 决定哪些包将被转发决定哪些包将被转发和转发的下一跳路由器。和转发的下一跳路由器。l有两种策略路由：接口策略路由和本地策略路由。前者在接有两种策略路由：接

19、口策略路由和本地策略路由。前者在接口视图下配置，对来自该接口的报文进展策略路由；后者在口视图下配置，对来自该接口的报文进展策略路由；后者在系统视图下配置，对本机产生的报文进展策略路由。系统视图下配置，对本机产生的报文进展策略路由。18IP策略路由配置任务l策略策略IP 策略路由配置包括：策略路由配置包括： 创立策略创立策略 定义策略路由的定义策略路由的if-match 子句子句 定义策略路由的定义策略路由的apply 子句子句 使能使能/制止本地策略路由制止本地策略路由 使能使能/禁用接口策略路由禁用接口策略路由19IP策略路由配置l策略路由是由用户配置的，由一组if-match 子句和一组a

20、pply 子句组成，只有IP 报文满足策略路由器中的全部if-match 子句时，才按一定顺序执行策略中的apply 子句，以到达影响报文转发的效果。l目前提供两种的if-match 子句为if-match length 和if-match ip address 。lapply 子句定义策略的动作。目前有5 种apply 子句：apply ip precedence，apply interface，apply ip next-hop，apply default interface，apply ip default next-hop；五个子句按优先顺序执行，直到不能继续为止。20IP策略路由决策

21、进程l基于策略的路由选择应用于到来的数据包，当启用基于策略的路由选择基于策略的路由选择应用于到来的数据包，当启用基于策略的路由选择的接口上接收到一个数据包的时候，这个数据包就要使用这个进程。的接口上接收到一个数据包的时候，这个数据包就要使用这个进程。l假设存在一个匹配，并且其允许这个路由，那么这个路由按照假设存在一个匹配，并且其允许这个路由，那么这个路由按照apply命命令进展策略路由。令进展策略路由。l假设存在一个匹配，并且制止这个路由，那么这个路由就不基于路由策假设存在一个匹配，并且制止这个路由，那么这个路由就不基于路由策略，而是送回动态路由选择的转发引擎。略，而是送回动态路由选择的转发引

22、擎。l假设没有匹配，并且没有为这个时间配置相应的行动，那么默认行为就假设没有匹配，并且没有为这个时间配置相应的行动，那么默认行为就是制止该数据包，数据包将退回到路由选择进程中。是制止该数据包，数据包将退回到路由选择进程中。l假如想把不符合匹配原那么的包丢弃而非按正常情况处理的话假如想把不符合匹配原那么的包丢弃而非按正常情况处理的话,就要在就要在route policy 的最后加上的最后加上1 行行apply 语句语句:把那些包路由到黑洞接口。把那些包路由到黑洞接口。21实例1：配置基于源地址的策略路由E0S1S0Internet10.110.0.0/16l定义策略定义策略aaa，该策略包括两个

23、节点，使所，该策略包括两个节点，使所有有TCP 报文通过串口报文通过串口1 转发，其它报文通过转发，其它报文通过串口串口0 转发。转发。l10 号节点，表示匹配号节点，表示匹配access list 102 的报文的报文将被发往串口将被发往串口serial 0。l20 号节点，表示所有其它报文将被发往串口号节点，表示所有其它报文将被发往串口serial 1。l来自来自Ethernet 0 的报文将依次试图匹配的报文将依次试图匹配10、20 号节点的号节点的if-match子句。假设匹配子句。假设匹配permit 定义的节点，就执行相应的定义的节点，就执行相应的apply 子句；假子句；假设匹配

24、设匹配deny 定义的节点，就退出策略路由处定义的节点，就退出策略路由处理。理。22实例1：配置基于源地址的策略路由l定义访问控制列表定义访问控制列表Quidwayacl 101Quidway-acl-101rule deny tcp source any destination anyQuidway-acl-101acl 102Quidway-acl-102rule permit tcp source any destination anyl定义定义10 号节点，表示匹配号节点，表示匹配access ist 102 的报文将被发往串口的报文将被发往串口serial 1。Quidway-acl

25、-101route-policy aaa permit 10Quidway-route-policyif-match ip address 102Quidway-route-policyapply interface serial 1l定义定义20 号节点，表示所有其它报文将被发往串口号节点，表示所有其它报文将被发往串口serial 0。Quidway-route-policyroute-policy aaa permit 20Quidway-route-policyif-match ip address 101Quidway-route-policyapply interface seria

26、l 0l在以太网口上应用策略在以太网口上应用策略aaaQuidway-route-policyinterface ethernet 0Quidway-Ethernet0ip policy route-policy aaa23实例2：配置基于报文大小的策略路由192.1.1.1 E0Router ARouter BS0 150.1.1.1150.1.1.2 S0S1 151.1.1.1151.1.1.2 S1在在E0上应用策略上应用策略101-1000bytes64-100bytesl路由器路由器A 将大小为将大小为64100 字节的报文从字节的报文从serial 0 发送；而将大小为发送；而将

27、大小为1011000 字节的报文从字节的报文从serial 1 发送；所有其它长度的报文均按正常发送；所有其它长度的报文均按正常方式路由。方式路由。l在路由器在路由器A 的的E0 接口上应用接口上应用IP 策略路由策略路由lab1。这个策略将大小为。这个策略将大小为64100 字节的报文设置字节的报文设置150.1.1.2 作为下一转发作为下一转发IP 地址；而将大小为地址；而将大小为1011000 字节的报文设置字节的报文设置151.1.1.2 作为下一转发作为下一转发IP 地址。所有其它报文都地址。所有其它报文都按基于目的地址的路由方法路由。按基于目的地址的路由方法路由。24实例2：配置基于报文大小的策略路由l配置路由器Router ARouterAinterface ethernet 0RouterA-Eth