策略路由说明课件

策略路由说明策略路由说明介绍的内容策略路由介绍不同品牌型号的策略路由配置方法（CISCO、中兴H3C、华为、港湾）ASM策略路由联动配置目前策略路由存在的问题后续研究介绍的内容策略路由介绍2策略路由介绍策略路由只不过是复杂的静态路由。静态路由是基于报文的目的地址，将报文转发到指定的下一跳路由器，但策略路由是基于报文源地址转发报文至指定的下一跳路由器。策略路由还可以链接到扩展IP访问列表，以便路由器可以基于像协议类型和端口号这样的标志进行路由选择。同策略路由一样，策略路由会对路由器的路由选择产生影响，但仅限于那些配置了策略路由的路由器。策略路由只对接口的入方向报文做转发。策略路由介绍策略路由只不过是复杂的静态路由。静态路由是基于报3普通IP报文的三层转发流程DMACSMACDIPSIPDATADIPSIPDATA查路由表，封装入接口DMACSMACDIPSIPDATA解封装出接口普通IP报文的三层转发流程DMACSMACDIPSIPDAT4策略路由的报文处理流程策略路由位于IP层，在做IP转发前，如果报文命中某个策略路由对应的规则，则要进行相应的策略路由的动作(重定向到指定下一跳)，然后根据重定向的下一跳代替报文的目的IP去查FIB表(转发信息表)，做IP转发。匹配策略路由？yes根据用户设置的下一跳查找出接口根据路由表进行转发no入接口下一跳可达？yes出接口no策略路由的报文处理流程策略路由位于IP层，在做IP转发前5策略路由的报文流程(处理前)策略路由的报文流程(处理前)6策略路由的报文流程(处理后)策略路由的报文流程(处理后)7策略路由的效果说明可用在终端电脑上面使用tracert等命令进行路由跟踪来查看实际的路径tracert-d192.168.56.254通过最多30个跃点跟踪到192.168.56.254的路由

14ms2ms2ms192.168.54.12<1毫秒<1毫秒<1毫秒192.168.56.254通过最多30个跃点跟踪到192.168.56.254的路由

12ms1ms1ms192.168.54.123ms1ms1ms192.168.100.131ms1ms1ms192.168.56.254策略路由的效果说明可用在终端电脑上面使用tracert等命令8策略路由与路由策略区别这是两个不同的概念，应用领域不同。策略路由主要是控制报文的转发，即可以不按照路由表进行报文的转发（因为一般报文的转发要通过查找转发表，而配上策略路由后就不用管转发表了，可以随心所欲将报文从转发出去了）。路由策略主要控制路由信息的引入（控制哪些路由信息引到路由协议中，哪些路由器不引入，主要是针对某种路由协议，是否允许其它路由信息引进来）、发布（控制哪些发布出去，哪些不发布出去，通过同一种路由协议发布出去）、接收（控制哪些接收，哪些丢弃，）。策略路由与路由策略区别这是两个不同的概念，应用领域不同。9策略路由的配置过程配置ACL指明要进行策略路由的ip地址信息，只对permit有效配置策略路由指明策略路由的一些信息(主要是下一跳）应用策略路由在接口上面（虚接口或者物理接口上）策略路由的配置过程配置ACL10不同品牌型号的策略路由配置方法华为策略路由的其它用法华为支持使用traffic-redirect进行策略路由华为支持使用traffic-policy进行策略路由华为支持使用routepolicy进行策略路由华为支持使用eacl进行策略路由H3C策略路由的其它用法H3C支持使用traffic-redirect进行策略路由H3C支持使用qospolicy进行策略路由H3C支持使用routepolicy进行策略路由H3C支持使用polcybasedroute进行策略路由CISCO、中兴的策略路由使用方法CISCO、中兴目前已知使用route-map的方法港湾策略路由的配置方法港湾支持使用setrvice-policy进行策略路由不同品牌型号的策略路由配置方法华为策略路由的其它用法11CISCO的配置-route-map例子interfaceVlan54descriptionyangfaipaddress192.168.54.1255.255.255.0ippolicyroute-mappolicy-route!interfaceVlan100descriptionpolicy-vlanipaddress192.168.100.1255.255.255.0!access-list10permitanyroute-mappolicy-routepermit10matchipaddress10setipnext-hop192.168.100.123!CISCO的配置-route-map例子interface12CISCO的配置-查看策略路由信息showroute-map（这条特权级可执行命令显示所配置的路由图。并且可以获知每一路由图定义的策略，同时也显示有多少报文与策略语句匹配)CISCO-3560#showroute-map route-mapp,permit,sequence10 Matchclauses: ipaddress(access-lists):pan Setclauses: ipnext-hop192.168.100.123 Policyroutingmatches:4packets,561bytesCISCO的配置-查看策略路由信息showroute-ma13CISCO的配置-查看策略路由信息showippolicy(这条特权级可执行命令显示在哪些接口应用了哪些路由图)CISCO-3560#showippolicy InterfaceRoutemap Vlan54pdebugippolicy(使用这条命令可以得知正在使用什么策略路由。同时也显示一个报文是否与标准匹配的信息。如果匹配的话，则进一步显示其相应的路由信息。)CISCO-3560#debugippolicyIP:s=192.1.1.11(Ethernet0),d=152.1.1.1,len100,policymatchIP:routemapp,item10,permitIP:s=192.1.1.11(Ethernet0),d=152.1.1.1(serial0),len100,policyroutedIP:Ethernet0toserial0152.1.1.1CISCO的配置-查看策略路由信息showippolic14CISCO的配置-策略路由的说明在CISCOIOS11.0中最先应用基于策略的路由，但未必11.0以后的版本都支持策略路由35系列的交换机的IOS不能是ipbase的版本35系列的交换机要求先开启sdm后sdmpreferroutingexitreload(必须重新启动交换机)CISCO的配置-策略路由的说明在CISCOIOS1115中兴的配置中兴配置策略路由的方法与CISCO类似，同样使用route-map来配置路由图中兴的配置中兴配置策略路由的方法与CISCO类似，同样使用r16H3C的配置-policy-based-route例子aclnumber3040rule0permitpolicy-based-routepolicy-routepermitnode10if-matchacl3040applyip-addressnext-hop172.16.50.123interfaceEthernet0/3.40 ippolicy-based-routepolicy-routeH3C的配置-policy-based-route例子ac17H3C的配置-查看policy-based-route信息可用使用disippolicy-based-route来查看信息[H3C-Router]disippolicy-based-routepolicyNameinterfacepolicy-routeEthernet0/3.40可以使用disippolicy-based-routestatistics看更详细情况[H3C-Router]disippolicy-based-routestatisticsinterfaceEthernet0/3.40InterfaceEthernet0/3.40policybasedroutingstatisticsinformation:policy-based-route:policy-routepermitnode10applyip-addressnext-hop172.16.50.123track1Denied:377,Forwarded:170Totaldenied:377,forwarded:170H3C的配置-查看policy-based-route信息18H3C的配置-查看policy-based-route信息可用使用dispolicy-based-route来查看信息[H3C-Router]dispolicy-based-routepolicy-based-route:policy-routeNode10permit:if-matchacl3040applyip-addressnext-hop172.16.50.123track1H3C的配置-查看policy-based-route信息19H3C的配置-qospolicy例子1、配置ACL策略[H3C7506E]aclnumber3040[H3C7506E-acl-adv-3040]rule10permitipsource203.133.129.160destany[H3C7506E-acl-adv-3040]quit2、配置匹配ACL的流分类1[H3C7506E]trafficclassifier1[H3C7506E-classifier-1]if-matchacl3040[H3C7506E-classifier-1]quit3、配置刚才定义的流分类1的行为，定义如果匹配就下一跳至203.133.131.200[H3C7506E]trafficbehavior1[H3C7506E-behavior-1]redirectnext-hop203.133.131.200[H3C7506E-behavior-1]quit4、将刚才设置的流分类及行为应用至QOS策略中，定义policy1[H3C7506E]qospolicy1[H3C7506E-qospolicy-1]classifier1[H3C7506E-qospolicy-1]behavior1[H3C7506E-qospolicy-1]quit5、在接口上应用定义的QOS策略policy1[H3C7506E]interfaceGigabitEthernet2/0/11[H3C7506E-GigabitEthernet2/0/11]qosapplypolicy1inbound[H3C7506E-GigabitEthernet2/0/11]quitH3C的配置-qospolicy例子1、配置ACL策略20H3C的配置-routepolicy例子#aclnumber3000

rule0permitipsource192.168.1.00.0.0.254

#

interfaceEthernet1/0

ipaddress192.168.1.1255.255.255.0ippolicyroute-policyrouteloadshare

#route-policyrouteloadsharepermitnode1

if-matchacl3000

applyip-addressnext-hop140.1.1.2

#

H3C的配置-routepolicy例子#21H3C的配置-traffic-redirect例子#aclnumber3000rule0permitipsource192.168.3.00.0.0.255#interfaceGigabitEthernet6/1/1traffic-redirectinboundip-group3000rule0next-hop192.168.0.12#H3C的配置-traffic-redirect例子#22华为的配置-traffic-policy例子与H3Cqospolicy类似#aclnumber3000

rule1permit

ipsource

192.168.1.00.0.0.255#trafficclassifier1if-matchacl3000

#trafficbehavior1

redirectip-nexthop100.0.0.1#trafficpolicy1

classifier1behavior1

#

interfaceGigabitEthernet2/0/0

traffic-policy1inbound

#华为的配置-traffic-policy例子与H3Cqo23华为的配置-eacl例子[RouterA]rule-mapintervlanr1ipany15.15.15.00.0.0.255[RouterA]flow-actiona1redirectip30.0.0.5backup[RouterA]eacle1r1a1[RouterA-pos8/0/0]access-grouproutereacle1华为的配置-eacl例子[RouterA]rule-ma24华为的配置-traffic-redirect例子同H3Ctraffic-redirect华为的配置-traffic-redirect例子同H3C25华为的配置-routepolicy例子同H3Croutepolicy华为的配置-routepolicy例子同H3Crout26港湾的配置-setrvice-policy例子class-mapasm-class matchsource-address172.19.150.20255.255.255.0exitpolicy-mapasm-policy matchclass-mapasm-class policy-routenext-hop10.10.10.10 exitexitinterfaceethernet2/5 setrvice-policyinputasm-policyexit港湾的配置-setrvice-policy例子class-27ASM的配置ASM具有两个IP地址，其中一个是管理地址，这个配置在eth2上面，网关也配置在eth2上面。一个地址是路由地址，这个地址配置在eth0上面要求路由地址的网线直接和做策略路由的交换机进行连接，该端口为非trunk口ASM管理页面上设置的下一跳地址为与eth0的交换机地址，然后点击获取下一跳MAC地址。ASM的配置ASM具有两个IP地址，其中一个是管理地址，这个28目前策略路由存在的问题1.第二个下一跳的问题 绍兴银行配置了两个下一跳（都在一个vlan），但是在第一个下一跳出现问题的时候，没有转到第二个下一跳。公司使用3560进行测试的时候是可以的，这里存在的可能原因有 A.IOS的版本不相同 B.交换机的型号不相同 C.绍兴银行是热备，我们这边没有目前策略路由存在的问题1.第二个下一跳的问题29目前策略路由存在的问题2.策略路由失效问题 义乌市政府配置了两个下一跳（都在一个vlan），第一个下一跳失效以后会到第二个下一跳，但是第二个下一跳失效之后不能回到以前的路由。公司使用MSR20进行测试的时候是可以的，这里存在的可能原因有 A.系统的版本不一样 B.交换机的型号不相同目前策略路由存在的问题2.策略路由失效问题30目前策略路由存在的问题3.下一跳存在激活IP的情况 公司测试的时候配置一个下一跳，然后存在一个激活的端口（都在一个vlan），会出现第一个ip失效时候，不回到以前的路由。这里可能存在的原因有 A.对于CISCO，可以采用track进行跟踪，这个要进行测试和用户实际环境的校验，可能会出现IOS版本的问题（绍兴银行） B.对于H3C，可以采用track进行跟踪，这个要进行测试和用户实际环境的校验，可能会出现系统版本的问题 C.对于huawei和其它厂家，目前技术未知且无法进行测试目前策略路由存在的问题3.下一跳存在激活IP的情况31目前策略路由存在的问题4.双机热备的问题 宁波工商存在两个核心交换机，配置策略路由的时候对两个ASM设备划分了两个VLAN，且只在一个交换机上面进行配置，这样会导致这个交换机出现问题时候全网访问不受控制，达不到真正的冗余。目前策略路由存在的问题4.双机热备的问题32目前策略路由存在的问题针对以上几个问题建议将来部署方式：1.如果我们能够研究透第三个问题，且使用第三个问题的研究结果解决问题1和问题2，那么我们将来的部署方式为 A.在两个核心交换机上面划分一个相同的VLAN B.将两个ASM分别接在两个核心交换机上面 C.核心交换机设置两个下一跳（针对网络的来源地址进行一个负载的分担） D.采用问题3的解决方法进行跟踪

该部署方式可以做到真正的冗余且可靠

2.如果问题三的研究结果受到很大的限制（比如交换机不支持），那么我们将来的部署方式为 A.找一个所有报文都汇集的交换机（一般为主核心交换机）上面划分两个不同的VLAN B.两个ASM接在配置的交换机上面的两个不同VLAN C.配置的交换机设置两个下一跳（针对网络的来源地址进行一个负载的分担）该部署方式在主核心交换机出现故障的时候不能进行冗余，且可能存在义乌的策略路由失效问题对于主核心交换机出现故障的时候不能进行冗余，建议通过管理的方法进行弥补（核心交换机都出现问题，导致重大网络事情，我们也没有必要进行网络控制）3.如果出现义乌的策略路由失效问题，则我们按照下面的方法进行部署 A.找一个所有报文都汇集的交换机（一般为主核心交换机）上面划分一个VLAN B.两个ASM接在配置的交换机上面的一个VLAN C.配置的交换机设置两个下一跳 D.将第二个ASM运行模式设置为紧急模式（即容许所有的报文通过）目前策略路由存在的问题针对以上几个问题建议将来部署方式：33后续研究-地址不可达的研究如果网线直接连接（怀疑交换机会判断是否能够将报文交给下一跳，根据mac地址，根据icmp？）拔掉网线时候会检测出来。地址不可达h3c有track技术，cisco也有track技术，华为未知后续研究-地址不可达的研究如果网线直接连接（怀疑交换机会判断34后续研究-CISCO的TrackCisco可以进行track的跟踪，判断是否可以通讯配置的过程是先使用ipsla配置，然后使用track配置，然后在next-hop中指定setipnext-hopverify-availability192.168.3.21track123（交换机和路由器的配置命令好像不一致)

ipslamonitor1typeechoprotocolipIcmpEcho192.168.3.2ipslamonitorschedule1lifeforeverstart-timenowtrack123rtr1reachabilityroute-maptestpermit10matchipaddresslan-erpsetipnext-hopverify-availability192.168.3.21track123后续研究-CISCO的TrackCisco可以进行track35后续研究-H3C的track配置配置nqa配置track修改策略路由配置后续研究-H3C的track配置配置nqa36Nqa配置使用nqa命令进行配置Nqa支持各种类型的检测，我们采用常用的ping检测nqaentryadminpolicyroutetypeicmp-echodestinationip172.16.50.123frequency100reaction1checked-elementprobe-failthreshold-typeconsecutive5action-typetrigger-only启动nqanqascheduleadminpolicyroutestart-timenowlifetimeforeverNqa配置使用nqa命令进行配置37配置track使用track命令将nqa进行应用track1nqaentryadminpolicyroutereaction1配置track使用track命令将nqa进行应用38应用track在policy-based-route的apply指令中增加一个track设置applyip-addressnext-hop172.16.50.123track1应用track在policy-based-route的app39后续研究-Nqa和track的说明使用distrack命令进行track的查看[H3C-Router]distrackallTrackID:1Status:NegativeReferenceobject:NQAentry:adminpolicyrouteReaction:1使用disnqa命令查看nqa的信息[H3C-Router]disnqahistoryNQAentry(adminadmin,tagpolicyroute)historyrecord(s):IndexResponseStatusTime1106973000Timeout2007-01-1021:01:16.81106963000Timeout2007-01-1021:01:13.61106953000Timeout2007-01-1021:01:10.4后续研究-Nqa和track的说明使用distrack命令40谢谢！INFOGO带您进入安全准入世界谢谢！411、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。

2、孤单一人的时间使自己变得优秀，给来的人一个惊喜，也给自己一个好的交代。

3、命运给你一个比别人低的起点是想告诉你，让你用你的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力!

4、心中没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，岂不自在，哪里来的尘埃!

5、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。

6、无论你正遭遇着什么，你都要从落魄中站起来重振旗鼓，要继续保持热忱，要继续保持微笑，就像从未受伤过一样。

7、生命的美丽，永远展现在她的进取之中;就像大树的美丽，是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽，是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽，是展现在它波涛汹涌一泻千里的奔流中。

8、有些事，不可避免地发生，阴晴圆缺皆有规律，我们只能坦然地接受;有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改变它的轨迹。

9、与其埋怨世界，不如改变自己。管好自己的心，做好自己的事，比什么都强。人生无完美，曲折亦风景。别把失去看得过重，放弃是另一种拥有;不要经常艳羡他人，人做到了，心悟到了，相信属于你的风景就在下一个拐弯处。

10、有些事想开了，你就会明白，在世上，你就是你，你痛痛你自己，你累累你自己，就算有人同情你，那又怎样，最后收拾残局的还是要靠你自己。

11、人生的某些障碍，你是逃不掉的。与其费尽周折绕过去，不如勇敢地攀登，或许这会铸就你人生的高点。

12、有些压力总是得自己扛过去，说出来就成了充满负能量的抱怨。寻求安慰也无济于事，还徒增了别人的烦恼。

13、认识到我们的所见所闻都是假象，认识到此生都是虚幻，我们才能真正认识到佛法的真相。钱多了会压死你，你承受得了吗?带，带不走，放，放不下。时时刻刻发悲心，饶益众生为他人。

14、梦想总是跑在我的前面。努力追寻它们，为了那一瞬间的同步，这就是动人的生命奇迹。

15、懒惰不会让你一下子跌倒，但会在不知不觉中减少你的收获;勤奋也不会让你一夜成功，但会在不知不觉中积累你的成果。人生需要挑战，更需要坚持和勤奋!

16、人生在世：可以缺钱，但不能缺德;可以失言，但不能失信;可以倒下，但不能跪下;可以求名，但不能盗名;可以低落，但不能堕落;可以放松，但不能放纵;可以虚荣，但不能虚伪;可以平凡，但不能平庸;可以浪漫，但不能浪荡;可以生气，但不能生事。

17、人生没有笔直路，当你感到迷茫、失落时，找几部这种充满正能量的电影，坐下来静静欣赏，去发现生命中真正重要的东西。

18、在人生的舞台上，当有人愿意在台下陪你度过无数个没有未来的夜时，你就更想展现精彩绝伦的自己。但愿每个被努力支撑的灵魂能吸引更多的人同行。1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你42

1、想要体面生活，又觉得打拼辛苦；想要健康身体，又无法坚持运动。人最失败的，莫过于对自己不负责任，连答应自己的事都办不到，又何必抱怨这个世界都和你作对？人生的道理很简单，你想要什么，就去付出足够的努力。

2、时间是最公平的，活一天就拥有24小时，差别只是珍惜。你若不相信努力和时光，时光一定第一个辜负你。有梦想就立刻行动，因为现在过的每一天，都是余生中最年轻的一天。

3、无论正在经历什么，都请不要轻言放弃，因为从来没有一种坚持会被辜负。谁的人生不是荆棘前行，生活从来不会一蹴而就，也不会永远安稳，只要努力，就能做独一无二平凡可贵的自己。

4、努力本就是年轻人应有的状态，是件充实且美好的事，可一旦有了表演的成分，就会显得廉价，努力，不该是为了朋友圈多获得几个赞，不该是每次长篇赘述后的自我感动，它是一件平凡而自然而然的事，最佳的努力不过是：但行好事，莫问前程。愿努力，成就更好的你！

5、付出努力却没能实现的梦想，爱了很久却没能在一起的人，活得用力却平淡寂寞的青春，遗憾是每一次小的挫折，它磨去最初柔软的心智、让我们懂得累积时间的力量；那些孤独沉寂的时光，让我们学会守候内心的平和与坚定。那些脆弱的不完美，都会在努力和坚持下，改变模样。

6、人生中总会有一段艰难的路，需要自己独自走完，没人帮助，没人陪伴，不必畏惧，昂头走过去就是了，经历所有的挫折与磨难，你会发现，自己远比想象中要强大得多。多走弯路，才会找到捷径，经历也是人生，修炼一颗强大的内心，做更好的自己！

7、“一定要成功”这种内在的推动力是我们生命中最神奇最有趣的东西。一个人要做成大事，绝不能缺少这种力量，因为这种力量能够驱动人不停地提高自己的能力。一个人只有先在心里肯定自己，相信自己，才能成就自己！

8、人生的旅途中，最清晰的脚印，往往印在最泥泞的路上，所以，别畏惧暂时的困顿，即使无人鼓掌，也要全情投入，优雅坚持。真正改变命运的，并不是等来的机遇，而是我们的态度。

9、这世上没有所谓的天才，也没有不劳而获的回报，你所看到的每个光鲜人物，其背后都付出了令人震惊的努力。请相信，你的潜力还远远没有爆发出来，不要给自己的人生设限，你自以为的极限，只是别人的起点。写给渴望突破瓶颈、实现快速跨越的你。

10、生活中，有人给予帮助，那是幸运，没人给予帮助，那是命运。我们要学会在幸运青睐自己的时候学会感恩，在命运磨练自己的时候学会坚韧。这既是对自己的尊重，也是对自己的负责。

11、失败不可怕，可怕的是从来没有努力过，还怡然自得地安慰自己，连一点点的懊悔都被麻木所掩盖下去。不能怕，没什么比自己背叛自己更可怕。

12、跌倒了，一定要爬起来。不爬起来，别人会看不起你，你自己也会失去机会。在人前微笑，在人后落泪，可这是每个人都要学会的成长。

13、要相信，这个世界上永远能够依靠的只有你自己。所以，管别人怎么看，坚持自己的坚持，直到坚持不下去为止。

14、也许你想要的未来在别人眼里不值一提，也许你已经很努力了可还是有人不满意，也许你的理想离你的距离从来没有拉近过......但请你继续向前走，因为别人看不到你的努力，你却始终看得见自己。

15、所有的辉煌和伟大，一定伴随着挫折和跌倒；所有的风光背后，一定都是一串串揉和着泪水和汗水的脚印。

16、成功的反义词不是失败，而是从未行动。有一天你总会明白，遗憾比失败更让你难以面对。

17、没有一件事情可以一下子把你打垮，也不会有一件事情可以让你一步登天，慢慢走，慢慢看，生命是一个慢慢累积的过程。

18、努力也许不等于成功，可是那段追逐梦想的努力，会让你找到一个更好的自己，一个沉默努力充实安静的自己。

19、你相信梦想，梦想才会相信你。有一种落差是，你配不上自己的野心，也辜负了所受的苦难。

20、生活不会按你想要的方式进行，它会给你一段时间，让你孤独、迷茫又沉默忧郁。但如果靠这段时间跟自己独处，多看一本书，去做可以做的事，放下过去的人，等你度过低潮，那些独处的时光必定能照亮你的路，也是这些不堪陪你成熟。所以，现在没那么糟，看似生活对你的亏欠，其实都是祝愿。1、想要体面生活，又觉得打拼辛苦；想要健康身体，又无法坚43策略路由说明策略路由说明介绍的内容策略路由介绍不同品牌型号的策略路由配置方法（CISCO、中兴H3C、华为、港湾）ASM策略路由联动配置目前策略路由存在的问题后续研究介绍的内容策略路由介绍45策略路由介绍策略路由只不过是复杂的静态路由。静态路由是基于报文的目的地址，将报文转发到指定的下一跳路由器，但策略路由是基于报文源地址转发报文至指定的下一跳路由器。策略路由还可以链接到扩展IP访问列表，以便路由器可以基于像协议类型和端口号这样的标志进行路由选择。同策略路由一样，策略路由会对路由器的路由选择产生影响，但仅限于那些配置了策略路由的路由器。策略路由只对接口的入方向报文做转发。策略路由介绍策略路由只不过是复杂的静态路由。静态路由是基于报46普通IP报文的三层转发流程DMACSMACDIPSIPDATADIPSIPDATA查路由表，封装入接口DMACSMACDIPSIPDATA解封装出接口普通IP报文的三层转发流程DMACSMACDIPSIPDAT47策略路由的报文处理流程策略路由位于IP层，在做IP转发前，如果报文命中某个策略路由对应的规则，则要进行相应的策略路由的动作(重定向到指定下一跳)，然后根据重定向的下一跳代替报文的目的IP去查FIB表(转发信息表)，做IP转发。匹配策略路由？yes根据用户设置的下一跳查找出接口根据路由表进行转发no入接口下一跳可达？yes出接口no策略路由的报文处理流程策略路由位于IP层，在做IP转发前48策略路由的报文流程(处理前)策略路由的报文流程(处理前)49策略路由的报文流程(处理后)策略路由的报文流程(处理后)50策略路由的效果说明可用在终端电脑上面使用tracert等命令进行路由跟踪来查看实际的路径tracert-d192.168.56.254通过最多30个跃点跟踪到192.168.56.254的路由

14ms2ms2ms192.168.54.12<1毫秒<1毫秒<1毫秒192.168.56.254通过最多30个跃点跟踪到192.168.56.254的路由

12ms1ms1ms192.168.54.123ms1ms1ms192.168.100.131ms1ms1ms192.168.56.254策略路由的效果说明可用在终端电脑上面使用tracert等命令51策略路由与路由策略区别这是两个不同的概念，应用领域不同。策略路由主要是控制报文的转发，即可以不按照路由表进行报文的转发（因为一般报文的转发要通过查找转发表，而配上策略路由后就不用管转发表了，可以随心所欲将报文从转发出去了）。路由策略主要控制路由信息的引入（控制哪些路由信息引到路由协议中，哪些路由器不引入，主要是针对某种路由协议，是否允许其它路由信息引进来）、发布（控制哪些发布出去，哪些不发布出去，通过同一种路由协议发布出去）、接收（控制哪些接收，哪些丢弃，）。策略路由与路由策略区别这是两个不同的概念，应用领域不同。52策略路由的配置过程配置ACL指明要进行策略路由的ip地址信息，只对permit有效配置策略路由指明策略路由的一些信息(主要是下一跳）应用策略路由在接口上面（虚接口或者物理接口上）策略路由的配置过程配置ACL53不同品牌型号的策略路由配置方法华为策略路由的其它用法华为支持使用traffic-redirect进行策略路由华为支持使用traffic-policy进行策略路由华为支持使用routepolicy进行策略路由华为支持使用eacl进行策略路由H3C策略路由的其它用法H3C支持使用traffic-redirect进行策略路由H3C支持使用qospolicy进行策略路由H3C支持使用routepolicy进行策略路由H3C支持使用polcybasedroute进行策略路由CISCO、中兴的策略路由使用方法CISCO、中兴目前已知使用route-map的方法港湾策略路由的配置方法港湾支持使用setrvice-policy进行策略路由不同品牌型号的策略路由配置方法华为策略路由的其它用法54CISCO的配置-route-map例子interfaceVlan54descriptionyangfaipaddress192.168.54.1255.255.255.0ippolicyroute-mappolicy-route!interfaceVlan100descriptionpolicy-vlanipaddress192.168.100.1255.255.255.0!access-list10permitanyroute-mappolicy-routepermit10matchipaddress10setipnext-hop192.168.100.123!CISCO的配置-route-map例子interface55CISCO的配置-查看策略路由信息showroute-map（这条特权级可执行命令显示所配置的路由图。并且可以获知每一路由图定义的策略，同时也显示有多少报文与策略语句匹配)CISCO-3560#showroute-map route-mapp,permit,sequence10 Matchclauses: ipaddress(access-lists):pan Setclauses: ipnext-hop192.168.100.123 Policyroutingmatches:4packets,561bytesCISCO的配置-查看策略路由信息showroute-ma56CISCO的配置-查看策略路由信息showippolicy(这条特权级可执行命令显示在哪些接口应用了哪些路由图)CISCO-3560#showippolicy InterfaceRoutemap Vlan54pdebugippolicy(使用这条命令可以得知正在使用什么策略路由。同时也显示一个报文是否与标准匹配的信息。如果匹配的话，则进一步显示其相应的路由信息。)CISCO-3560#debugippolicyIP:s=192.1.1.11(Ethernet0),d=152.1.1.1,len100,policymatchIP:routemapp,item10,permitIP:s=192.1.1.11(Ethernet0),d=152.1.1.1(serial0),len100,policyroutedIP:Ethernet0toserial0152.1.1.1CISCO的配置-查看策略路由信息showippolic57CISCO的配置-策略路由的说明在CISCOIOS11.0中最先应用基于策略的路由，但未必11.0以后的版本都支持策略路由35系列的交换机的IOS不能是ipbase的版本35系列的交换机要求先开启sdm后sdmpreferroutingexitreload(必须重新启动交换机)CISCO的配置-策略路由的说明在CISCOIOS1158中兴的配置中兴配置策略路由的方法与CISCO类似，同样使用route-map来配置路由图中兴的配置中兴配置策略路由的方法与CISCO类似，同样使用r59H3C的配置-policy-based-route例子aclnumber3040rule0permitpolicy-based-routepolicy-routepermitnode10if-matchacl3040applyip-addressnext-hop172.16.50.123interfaceEthernet0/3.40 ippolicy-based-routepolicy-routeH3C的配置-policy-based-route例子ac60H3C的配置-查看policy-based-route信息可用使用disippolicy-based-route来查看信息[H3C-Router]disippolicy-based-routepolicyNameinterfacepolicy-routeEthernet0/3.40可以使用disippolicy-based-routestatistics看更详细情况[H3C-Router]disippolicy-based-routestatisticsinterfaceEthernet0/3.40InterfaceEthernet0/3.40policybasedroutingstatisticsinformation:policy-based-route:policy-routepermitnode10applyip-addressnext-hop172.16.50.123track1Denied:377,Forwarded:170Totaldenied:377,forwarded:170H3C的配置-查看policy-based-route信息61H3C的配置-查看policy-based-route信息可用使用dispolicy-based-route来查看信息[H3C-Router]dispolicy-based-routepolicy-based-route:policy-routeNode10permit:if-matchacl3040applyip-addressnext-hop172.16.50.123track1H3C的配置-查看policy-based-route信息62H3C的配置-qospolicy例子1、配置ACL策略[H3C7506E]aclnumber3040[H3C7506E-acl-adv-3040]rule10permitipsource203.133.129.160destany[H3C7506E-acl-adv-3040]quit2、配置匹配ACL的流分类1[H3C7506E]trafficclassifier1[H3C7506E-classifier-1]if-matchacl3040[H3C7506E-classifier-1]quit3、配置刚才定义的流分类1的行为，定义如果匹配就下一跳至203.133.131.200[H3C7506E]trafficbehavior1[H3C7506E-behavior-1]redirectnext-hop203.133.131.200[H3C7506E-behavior-1]quit4、将刚才设置的流分类及行为应用至QOS策略中，定义policy1[H3C7506E]qospolicy1[H3C7506E-qospolicy-1]classifier1[H3C7506E-qospolicy-1]behavior1[H3C7506E-qospolicy-1]quit5、在接口上应用定义的QOS策略policy1[H3C7506E]interfaceGigabitEthernet2/0/11[H3C7506E-GigabitEthernet2/0/11]qosapplypolicy1inbound[H3C7506E-GigabitEthernet2/0/11]quitH3C的配置-qospolicy例子1、配置ACL策略63H3C的配置-routepolicy例子#aclnumber3000

rule0permitipsource192.168.1.00.0.0.254

#

interfaceEthernet1/0

ipaddress192.168.1.1255.255.255.0ippolicyroute-policyrouteloadshare

#route-policyrouteloadsharepermitnode1

if-matchacl3000

applyip-addressnext-hop140.1.1.2

#

H3C的配置-routepolicy例子#64H3C的配置-traffic-redirect例子#aclnumber3000rule0permitipsource192.168.3.00.0.0.255#interfaceGigabitEthernet6/1/1traffic-redirectinboundip-group3000rule0next-hop192.168.0.12#H3C的配置-traffic-redirect例子#65华为的配置-traffic-policy例子与H3Cqospolicy类似#aclnumber3000

rule1permit

ipsource

192.168.1.00.0.0.255#trafficclassifier1if-matchacl3000

#trafficbehavior1

redirectip-nexthop100.0.0.1#trafficpolicy1

classifier1behavior1

#

interfaceGigabitEthernet2/0/0

traffic-policy1inbound

#华为的配置-traffic-policy例子与H3Cqo66华为的配置-eacl例子[RouterA]rule-mapintervlanr1ipany15.15.15.00.0.0.255[RouterA]flow-actiona1redirectip30.0.0.5backup[RouterA]eacle1r1a1[RouterA-pos8/0/0]access-grouproutereacle1华为的配置-eacl例子[RouterA]rule-ma67华为的配置-traffic-redirect例子同H3Ctraffic-redirect华为的配置-traffic-redirect例子同H3C68华为的配置-routepolicy例子同H3Croutepolicy华为的配置-routepolicy例子同H3Crout69港湾的配置-setrvice-policy例子class-mapasm-class matchsource-address172.19.150.20255.255.255.0exitpolicy-mapasm-policy matchclass-mapasm-class policy-routenext-hop10.10.10.10 exitexitinterfaceethernet2/5 setrvice-policyinputasm-policyexit港湾的配置-setrvice-policy例子class-70ASM的配置ASM具有两个IP地址，其中一个是管理地址，这个配置在eth2上面，网关也配置在eth2上面。一个地址是路由地址，这个地址配置在eth0上面要求路由地址的网线直接和做策略路由的交换机进行连接，该端口为非trunk口ASM管理页面上设置的下一跳地址为与eth0的交换机地址，然后点击获取下一跳MAC地址。ASM的配置ASM具有两个IP地址，其中一个是管理地址，这个71目前策略路由存在的问题1.第二个下一跳的问题 绍兴银行配置了两个下一跳（都在一个vlan），但是在第一个下一跳出现问题的时候，没有转到第二个下一跳。公司使用3560进行测试的时候是可以的，这里存在的可能原因有 A.IOS的版本不相同 B.交换机的型号不相同 C.绍兴银行是热备，我们这边没有目前策略路由存在的问题1.第二个下一跳的问题72目前策略路由存在的问题2.策略路由失效问题 义乌市政府配置了两个下一跳（都在一个vlan），第一个下一跳失效以后会到第二个下一跳，但是第二个下一跳失效之后不能回到以前的路由。公司使用MSR20进行测试的时候是可以的，这里存在的可能原因有 A.系统的版本不一样 B.交换机的型号不相同目前策略路由存在的问题2.策略路由失效问题73目前策略路由存在的问题3.下一跳存在激活IP的情况 公司测试的时候配置一个下一跳，然后存在一个激活的端口（都在一个vlan），会出现第一个ip失效时候，不回到以前的路由。这里可能存在的原因有 A.对于CISCO，可以采用track进行跟踪，这个要进行测试和用户实际环境的校验，可能会出现IOS版本的问题（绍兴银行） B.对于H3C，可以采用track进行跟踪，这个要进行测试和用户实际环境的校验，可能会出现系统版本的问题 C.对于huawei和其它厂家，目前技术未知且无法进行测试目前策略路由存在的问题3.下一跳存在激活IP的情况74目前策略路由存在的问题4.双机热备的问题 宁波工商存在两个核心交换机，配置策略路由的时候对两个ASM设备划分了两个VLAN，且只在一个交换机上面进行配置，这样会导致这个交换机出现问题时候全网访问不受控制，达不到真正的冗余。目前策略路由存在的问题4.双机热备的问题75目前策略路由存在的问题针对以上几个问题建议将来部署方式：1.如果我们能够研究透第三个问题，且使用第三个问题的研究结果解决问题1和问题2，那么我们将来的部署方式为 A.在两个核心交换机上面划分一个相同的VLAN B.将两个ASM分别接在两个核心交换机上面 C.核心交换机设置两个下一跳（针对网络的来源地址进行一个负载的分担） D.采用问题3的解决方法进行跟踪

该部署方式可以做到真正的冗余且可靠

2.如果问题三的研究结果受到很大的限制（比如交换机不支持），那么我们将来的部署方式为 A.找一个所有报文都汇集的交换机（一般为主核心交换机）上面划分两个不同的VLAN B.两个ASM接在配置的交换机上面的两个不同VLAN C.配置的交换机设置两个下一跳（针对网络的来源地址进行一个负载的分担）该部署方式在主核心交换机出现故障的时候不能进行冗余，且可能存在义乌的策略路由失效问题对于主核心交换机出现故障的时候不能进行冗余，建议通过管理的方法进行弥补（核心交换机都出现问题，导致重大网络事情，我们也没有必要进行网络控制）3.如果出现义乌的策略路由失效问题，则我们按照下面的方法进行部署 A.找一个所有报文都汇集的交换机（一般为主核心交换机）上面划分一个VLAN B.两个ASM接在配置的交换机上面的一个VLAN C.配置的交换机设置两个下一跳 D.将第二个ASM运行模式设置为紧急模式（即容许所有的报文通过）目前策略路由存在的问题针对以上几个问题建议将来部署方式：76后续研究-地址不可达的研究如果网线直接连接（怀疑交换机会判断是否能够将报文交给下一跳，根据mac地址，根据icmp？）拔掉网线时候会检测出来。地址不可达h3c有track技术，cisco也有track技术，华为未知后续研究-地址不可达的研究如果网线直接连接（怀疑交换机会判断77后续研究-CISCO的TrackCisco可以进行track的跟踪，判断是否可以通讯配置的过程是先使用ipsla配置，然后使用track配置，然后在next-hop中指定setipnext-hopverify-availability192.168.3.21track123（交换机和路由器的配置命令好像不一致)

ipslamonitor1typeechoprotocolipIcmpEcho192.168.3.2ipslamonitorschedule1lifeforeverstart-timenowtrack123rtr1reachabilityroute-maptestpermit10matchipaddresslan-erpsetipnext-hopverify-availability192.168.3.21track123后续研究-CISCO的TrackCisco可以进行track78后续研究-H3C的track配置配置nqa配置track修改策略路由配置后续研究-H3C的track配置配置nqa79Nqa配置使用nqa命令进行配置Nqa支持各种类型的检测，我们采用常用的ping检测nqaentryadminpolicyroutetypeicmp-echodestinationip172.16.50.123frequency100reaction1checked-elementprobe-failthreshold-typeconsecutive5action-typetrigger-only启动nqanqascheduleadminpolicyroutestart-timenowlifetimeforeverNqa配置使用nqa命令进行配置80配置track使用track命令将nqa进行应用track1nqaentryadminpolicyroutereaction1配置track使用track命令将nqa进行应用81应用track在policy-based-route的apply指令中增加一个track设置applyip-addressnext-hop172.16.50.123track1应用track在policy-based-route的app82后续研究-Nqa和track的说明使用distrack命令进行track的查看[H3C-Router]distrackallTrackID:1Status:NegativeReferenceobject:NQAentry:adminpolicyrouteReaction:1使用disnqa命令查看nqa的信息[H3C-Router]disnqahistoryNQAentry(adminadmin,tagpolicyroute)historyrecord(s):IndexResponseStatusTime1106973000Timeout2007-01-1021:01:16.81106963000Timeout2007-01-1021:01:13.61106953000Timeout2007-01-1021:01:10.4后续研究-Nqa和track的说明使用distrack命令83谢谢！INFOGO带您进入安全准入世界谢谢！841、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。

2、孤单一人的时间使自己变得优秀，给来的人一个惊喜，也给自己一个好的交代。

3、命运给你一个比别人低的起点是想告诉你，让你用你的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力!

4、心中没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，岂不自在，哪里来的尘埃!

5、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。

6、无论你正遭遇着什么，你都要从落魄中站起来重振旗鼓，要继续保持热忱，要继续保持微笑，就像从未受