策略路由的概念、原理、配置实例

1、策略路由 TOC o 1-5 h z HYPERLINK l bookmark15 o Current Document 1策略路由概述2 HYPERLINK l bookmark18 o Current Document 1.1普通路由的概念2 HYPERLINK l bookmark21 o Current Document 1.2策略路由的概念2 HYPERLINK l bookmark24 o Current Document 策略路由2 HYPERLINK l bookmark27 o Current Document 1.2.2路由策略5 HYPERLINK l bookmark3

2、0 o Current Document 2策略路由的实现原理5 HYPERLINK l bookmark33 o Current Document 2.1策略路由的好处5 HYPERLINK l bookmark36 o Current Document 2.2策略路由的流程5 HYPERLINK l bookmark42 o Current Document 2.3策略路由的处理流程6 HYPERLINK l bookmark45 o Current Document 2.3.1流模式和逐包模式6 HYPERLINK l bookmark48 o Current Document 2.3.

3、2流模式流程图62.3.2路由器流模式及逐包模式切换命令72.4 Route-map 原理与执彳亍7Route-map 概念7 HYPERLINK l bookmark56 o Current Document 理解 Route-map7 HYPERLINK l bookmark60 o Current Document Route-map 的执行语句8 HYPERLINK l bookmark64 o Current Document 3策略路由的规划设计9 HYPERLINK l bookmark67 o Current Document 3.1策略路由的适用环境9 HYPERLINK l

4、 bookmark113 o Current Document 3.2策略路由的配置10 HYPERLINK l bookmark85 o Current Document 3.2.1路由器基本配置10 HYPERLINK l bookmark88 o Current Document 3.2.2交换机基本配置14 HYPERLINK l bookmark95 o Current Document 3.3策略路由的验证和调试15 HYPERLINK l bookmark98 o Current Document 4策略路由部署应用案例17 HYPERLINK l bookmark101 o C

5、urrent Document 4.1策略路由配置案例一17 HYPERLINK l bookmark104 o Current Document 4.1.1网络拓扑17 HYPERLINK l bookmark107 o Current Document 4.1.2功能需求： 17 HYPERLINK l bookmark110 o Current Document 配置实现：18 HYPERLINK l bookmark125 o Current Document 4.2策略路由配置案例二18 HYPERLINK l bookmark128 o Current Document 网络拓扑1

6、8 HYPERLINK l bookmark119 o Current Document 功能需求：19 HYPERLINK l bookmark122 o Current Document 配置实现：194.3策略路由配置案例三20 HYPERLINK l bookmark116 o Current Document 网络拓扑20 HYPERLINK l bookmark131 o Current Document 功能需求：21 HYPERLINK l bookmark134 o Current Document 配置实现：21 HYPERLINK l bookmark137 o Curr

7、ent Document 4.3.4配置优化：231策略路由概述1.1普通路由的概念普通路由转发基于路由表进行报文的转发；路由表的建立直联路由、主机路由；静态配置路由条目；动态路由协议学习生成；查看命令show ip route对于同一目的网段，可能存在多条distance不等的路由条目1.2策略路由的概念1.2.1策略路由所谓策略路由，顾名思义，即是根据一定的策略进行报文转发，因此策略路 由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时，首先根 据配置的规则对报文进行过滤，匹配成功则按照一定的转发策略进行报文转发。 这种规则可以是基于标准和扩展访问控制列表，也可以基于报文的长度

8、；而转发 策略则是控制报文按照指定的策略路由表进行转发，也可以修改报文的ip优先 字段。因此，策略路由是对传统ip路由机制的有效增强。策略路由能满足基于源IP地址、目的IP址、协议字段，甚至于TCP、UDP 的源、目的端口等多种组合进行选路。简单点来说，只要IP standard/extended ACL 能设置的，都可以做为策略路由的匹配规则进行转发。策略路由（Policy Route）是指在决定一个IP包的下一跳转发地址或是下一 跳缺省IP地址时，不是简单的根据目的IP地址决定，而是综合考虑多种因素来 决定。如可以根据DSCP字段、源和目的端口号，源IP地址等来为数据包选择 路径。策略路由

9、可以在一定程度上实现流量工程，使不同服务质量的流或者不同 性质的数据（语音、FTP）走不同的路径。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储 更强的控制能力。传统上，路由器用从路由协议派生出来的路由表，根据目的地 址进行报文的转发。基于策略的路由比传统路由能力更强，使用更灵活，它使网 络管理者不仅能够根据目的地址而且能够根据协议类型、报文大小、应用或IP 源地址来选择转发路径。策略可以定义为通过多路由器的负载平衡或根据总流量 在各线上进行报文转发的服务质量（Q o S）。本交换机所支持的策略路由是与QOS的流分类标准相结合的。针对简单流分类和复杂流分类，可以根据到来的数据

10、包的匹配的以下特征，来设定策略路由:.802.1p优先级. VLAN ID. 源/目的MAC地址. 源/目的的IP地址（包括IP MASK部分）.TCP/UDP源/目的端口号.IP优先级. DSCP的优先级.IP的协议类型字段可以对匹配以上特征的流，设定以下两种策略路由：下一跳I P地址：这条配置命令标示了那些符合匹配语句的输出报文将进行 下一跳I P地址。下一跳缺省IP地址：这条配置命令设定缺省的下一跳。如果路由表中没有 明确的路径，则路由器使用缺省的下一跳。这个过程经常应用于在两个不同的服 务提供商之间进行负载平衡。当使用这条命令时，也是首先用路由表进行路由。 如果路由表中没有明确的路径，

11、则路由器根据制定的策略使用缺省值。策略路由使网络管理者能根据它提供的机制指定一个报文采取的具体路径。 而在当今高性能的网络中，这种选择的自由性是很需要的。需要明确策略路由是 设置在接收报文接口而不是发送接口。当在接收报文的接口设定了策略路由后，交换机在该接口，检测到来的数据 报文，当检测到有匹配相应流分类特征的数据数据报文经过时，就查找相应的策 略路由表项，按照策略路由表项所指定的下一跳IP地址或是缺省路由IP地址， 来选择转发路径。策略路由功能是与流分类和流策略紧密相关的，关于流分类和流策略的基本 配置命令见QOS配置部分。1.2.2路由策略路由策略通过路由策略控制路由的接收、发布、引入的方

12、法，实现对路由的优化2策略路由的实现原理2.1策略路由的好处基于源的路由可以使不同的用户选择不同的ISP通过设置IP Precedence或Tos来实现QOS实现负载均衡2.2策略路由的流程正常路由（基于目标）使用Route-map来配置策略路由的流程策略路由只对入口数据包有效。应用策略路由，必须要指定策略路由使用的路由映射，并且要创建路由映射。 一个路由映射由很多条策略组成，每个策略都定义了 1个或多个的匹配规则和对 应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符 合路由映射任何策略的数据包将按照通常的路由转发进行处理，符合路由映射中 某个策略的数据包就按照该策略中定

13、义的操作进行处理。策略路由对报文的发送接口、下一跳的配置是基于多转发表实现的。2.3策略路由的处理流程2.3.1流模式和逐包模式流模式第一个包查路由转发表，如果存在路由，将该路由项以source dest、tos、 入接口等索引放置到cache中，以后同样的流就可以直接查cache对于低端路由器，所有操作由CPU+内存处理对于中高端设备，一般由NP和Asic芯片完成处理逐包模式每个包都进行查表后才进行转发2.3.2流模式流程图2.3.2路由器流模式及逐包模式切换命令ip route-cache policy开启快速交换策略路由就是流模式no ip route-cache policy关闭该功能

14、就是逐包模式2.4 Route-map原理与执行Route-map 概念route-map是由一组match字句和set字句构成，他实际上是访问控制列表的 一个超集。当需做策略路由的报文匹配route-map中的match字句定义的规则时， 将按照set字句的配置决定该报文的路由方式，包括设置报文的优先权字段，设 置报文的下一跳，设置报文的发送接口理解 Route-map类似于复杂的Access-list自顶向下地处理，一旦有一条匹配，则立刻结束route-map查找Route-map每个条目都被赋予编号，可以任意地插入或删除条目当使用策略路由时，首先定义重分布路由映射，一个路由映射可以由很多

15、策 略组成，策略按序号大小排列，只要符合了前面策略，就退出路由映射的执行。由于路由映射中每个策略都有其编号，故可以方便的插入或删除。Route-map的执行语句route-map test permit 10match x y zmatch aset bset croute-map test permit 20match qset rdeny all (系统隐含)If (x or y or z) and athen set (b and c)else if qthen set relse set nothingroute-map-name给路由图定义一个便于记忆的名字o redistribut

16、e路由进程配置命令是通过该名字引用路由图的。一个路由图可以定义多个路由图策略，一个路由图策略对应 一个序号。permit（可选）如果定义了 permit关键字，又符合match定义的匹配规则。则set 命令对重分布路由进行控制；对于策略路由，set命令将对数据包转发进行控制。 并退出路由图的操作。如果定义了 permit关键字，而不符合match定义的匹配规则。则将进入第二 个路由图策略进行操作。直到最终执行了 set命令。deny（可选）如果定义了 deny关键字，又符合match定义的匹配规则。则不会 执行任何操作，该路由图策略不允许进行路由重分布或策略路由，而且退出路由 图操作。如果定义

17、了 deny关键字，而不符合match定义的匹配规则。则将进入下一 个路由图策略进行操作。直到最终执行了 set命令。sequence-number路由图策略对应的序号。低序号的策略优先得到使用，因此需要注意序号的 设置。3策略路由的规划设计3.1策略路由的适用环境多出口情况下校园网（internet网、教育网）；企业网（双出口上网）；旁路组网需要修改报文TOS、dscp；3.2策略路由的配置3.2.1路由器基本配置321.1路由器配置步骤定义重分布路由图，一个路由图可以由好多策略组成，策略按序号大小 排列，只要符合了前面策略，就退出路由图的执行；Router(config)#route-ma

18、p route-map-name permit I deny sequence 定义路 由图Router(config)#no route-map route-map-name permit | deny sequence 册。 除路由图定义路由图每个策略的匹配规则或条件；定义匹配规则，只有符合规则的数据包才进行策略路由，如果没有配置匹配 规则，则所有数据包都符合规则。要定义策略的匹配规则，在路由图配置模式中执行以下Route(config-route-map)#match ip address access-list-number匹配访问列表中的地址Route(config-route-ma

19、p)#match length min-length max-length匹配数据包大小范围定义满足匹配规则后，路由器对符合规则的数据包进行IP优先值和下一 跳的设置。要定义匹配规则后的操作，在路由图配置模式中执行以下命令：Router(config-route-map)#set default interface interface-type interface-number设置数据包的输出接口，Router(config-route-map)#set ip default next-hop ip-address设置数据包的下一跳IP地址，Router(config-route-map)#s

20、et ip next-hop ip-address设置数据包的下一跳IP地址Router(config-route-map)#set ip precedenceprecedence! critical | flash | flash-override |immediate I internet I network I priority Iroutine设置数据包IP优先值set ip next-hop和set ip default next-hop命令十分类似，但是操作的顺序完全 不同。set ip next-hop命令使得路由器首先检查策略路由，不符合策略后使用路 由表进行数据包转发处理；s

21、et ip default next-hop命令使得路由器首先检查路由 表，若发现没有明确路由则使用策略路由进行数据包转发处理。匹配策略路由匹配策略路由set ip next-hopset ip default next-hop按策略路由路由按路由表路由按路由表路由按策略路由路由目的路由目的路由IP数据包报头优先值的设置，网络流量大时，优先值高的流量可以得到优 先处理。缺省情况下，RGNOS是不对IP报头的优先值进行修改的，会保持其原有的 值。在应用策略路由时，可以对IP报头的优先值进行设置。当这些携带一定优 先值的数据包到达其它路由器时，如果该路由器启用了队列机制，优先值高的数 据包会得到优

22、先处理，其服务质量就得到了保证。如果没有启用队列机制，优先 值将没有任何意义，所有数据包的发送按照FIFO (先进先出)的方式进行处理。优先值的设置可以用名字或者数字，名字命名来自RFC 791，其对应关系如下0 RoutingPriorityImmediateFlashflash-overrideCriticalInternetNetwork在指定接口中应用路由图。要配置到达路由器接口数据包的策略路由，在接口配置模式中执行以下命令：Router(config-if)#ip policy route-map route-map 在接口应用策略路由说明路由器本身产生的数据包，通常是不要应用策略路

23、由，如果路由器本身产生 的数据包也要应用策略路由，在全局配置模式中执行以下命令：Router(config)#ip local policy route-map route-map 应用本地策略路由接口上应用策略时，缺省情况下，IP报文快速转发也支持策略路由转发。如果要关闭策略路由的快速转发功能，可以有以下命令：Router(config-if)#no ip route-cache policy在接口上关闭策略路由快速转发功能。路由器配置举例 0 ISP A. 0 ISP B.RouterA(config)# access-list 1 permit ip 55RouterA(config)#

24、 access-list 2 permit ip 55RouterA(config)# route-map access permit 10RouterA(config-route-map)# match ip address 1RouterA(config-route-map)# set ip default next-hop RouterA(config-route-map)# route-map access permit 20RouterA(config-route-map)# match ip address 2RouterA(config-route-map)# set ip de

25、fault next-hop RouterA(config-route-map)# route-map access permit 30RouterA(config-route-map)# set default interface null0RouterA(config)# interface ethernet 0RouterA(config-if)# ip address RouterA(config-if)# ip policy route-map accessRouterA(config)# interface serial 0RouterA(config-if)# ip addres

26、s RouterA(config)# interface serial 1RouterA(config-if)# ip address 3.2.2交换机基本配置交换机配置步骤定义重分布路由图，一个路由图可以由好多策略组成，策略按序号大小 排列，只要符合了前面策略，就退出路由图的执行；定义路由图每个策略的匹配规则或条件；定义满足匹配规则后，路由器对符合规则的数据包进行IP优先值和下一 跳的设置在指定接口中应用路由图。3.2.22交换机配置举例在f 0/0 口上配置策略路由，使得所有进入的报文都转发到下一跳为 的设备Ruijie(config)# access-list 1 permit anyR

27、uijie(config)# route-map nameRuijie(config-route-map)# match ip address 1Ruijie(config-route-map)# set ip next-hop Ruijie(config-route-map)# int f 0/0Ruijie(config-if)# ip policy route-map name3.2.23交换机配置建议S6000E系列的交换机使用多业务子卡可实现策略路由。一个接口最多只能配置一个路由图，在同一个接口上多次配置路由图会相互覆盖。在使用策略路由时，每个子路由图建议只配置一个ACL；如果配置的

28、子路由图中只有nexthop而没有配置ACL，则等价于所有报文都 匹配；如果子路由图中只有ACL而没有nexthop则匹配的报文普通转发；如果子路由图中即没有ACL也没有nexthop，则等价所有报文普通转发。策略路由只支持配置ACL号,不支持ACL名字配置如果配置了 ACL号但是该ACL不存在，等价所有报文都匹配3.3策略路由的验证和调试显示ip策略应用情况router#show ip policyInterfaceRoute mapFastEthernet2testDebug ip policyIP: s= (FastEthernet 1/1), d=50(), len=60, prece

29、dence。，policy match RouteMap test, item = 10, permitIP: s= (FastEthernet 1/1), d=50(FastEthernet 1/0), len=60, precedence=0, policy routed显示所有或指定路由映射的信息server_r1#show route-map route-map test, permit, sequence 10Match clauses:ip address (access-lists): 1Set clauses:default interface FastEthernet0Pol

30、icy routing matches: 42 packets, 2520 bytes route-map test, permit, sequence 20Match clauses:ip address (access-lists): 2Set clauses:ip next-hop Policy routing matches: 12 packets, 720 bytes 显示所有或指定路由映射的信息4策略路由部署应用案例4.1策略路由配置案例一4.1.1网络拓扑4.1.2功能需求:OICQ应用全走电信出口/24数据流通过教育网上网/24访问教育网走教育网非教育网流量走电信4.1.3配置

31、实现：route-map test permit 10match ip address 103set ip next-hop route-map test permit 20match ip address 105set ip next-hop ip access-list extended 10310 permit tcp any any eq 800020 permit udp any any eq 8000 /OICQ 端口ip access-list extended 10510 permit ip 55 any20 permit ip any 5530 permit ip any 5

32、5 省略/.教育网地址段int ge 1/3ip policy route-map test应用到入接口4.2策略路由配置案例二4.2.1网络拓扑4.2.2功能需求：OICQ应用全走电信出口/24数据流通过教育网上网/24访问教育网走教育网非教育网流量走电信4.2.3配置实现：route-map test permit 10match ip address 103set ip next-hop route-map test permit 20match ip address 105set ip next-hop ip access-list extended 10310 permit tcp any any eq 800020 permit udp any any eq 8000 /OICQ 端口ip access-list extended 10510 deny ip any 5520 deny ip any 5530 permit ip 55 any40 pe