高级路由技术网络系统建设课件-第4章 路由引入、路由控制和策略路由

第4章路由引入、路由控制和策略路由学习目标和素质目标掌握BGP的特征和相关术语。了解BGP的报文类型及其作用。掌握BGP邻居关系的建立过程和邻居状态机及其配置实现。掌握BGP路径属性的分类和作用。掌握BGP路由判定规则和路由选择策略的配置实现。掌握BGP路由反射器和联盟的应用场景、作用。了解BGP路由衰减的特征、作用及配置实现。培养学生的辩证思维。提高学生的团队协作精神。形成科学严谨的学习态度。4.1路由引入概述由于采用的路由算法不同，不同的路由协议可以发现不同的路由。当网络规模比较大,且使用多种路由协议时，不同的路由协议间通常需要发布其他路由协议发现的路由，这种在路由协议之间交换路由信息的过程被称为路由引入（RouteImport）。路由引入可能会导致次优路由和路由环路，那么，我们可以采用路由过滤来避免这些问题。另外，路由过滤还可以使我们进行精确的路由引入和路由通告。4.1.1路由引入原理部署不同路由协议的机构合并不同的网络使用不同的协议，并且这些网络需要共享路由信息简单的网络可以使用RIP网络类型复杂的可以选用OSPF大型骨干网络一般选用ISIS网络协议的限制比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适合运行ISIS协议的需要配置静态路由，然后把静态路由引入到ISIS4.1.1路由引入原理路由引入为在同一个互联网络中高效地支持多种路由协议提供了可能。执行路由引入的路由器被称为边界路由器，因为它们位于两个或多个自治系统的边界上。任何路由协议彼此间都可以引入其他的路由协议的路由以及直连和静态路由。一种路由协议在引入其他路由协议时，只引入路由协议在路由表中存在的路由。路由引入时路由度量必须要考虑的，在进行引入时必须指定外部引入进来的路由的初始度量值。路由引入默认的初始度量值如下表。路由协议默认初始度量值默认路由优先级修改初始度量值命令OSPF1,路由类型为210，ASE为150defaultcostIS-IS10，路由类型为Level215defaultcostBGPIGP的度量值255defaultmed4.1.1路由引入原理OSPF路由引入命令import-route

{{bgp

[permit-ibgp]|direct|static|isis

[process-id-isis]|ospf

[process-id-ospf]}[cost

cost|type

type|tag

tag|route-policy

route-policy-name]}配置举例：OSFP进程中引入IS-IS进程1的路由,指定OSPF外部路由类型为类型1，路由标记为2020，开销值为10。[R1-ospf-1]import-routeisis1type1tag2020cost104.1.1路由引入原理IS-IS路由引入命令import-route

{{isis|ospf}[process-id]|static|direct|bgp[permit-ibgp]}[cost-type{external|internal}|costcost|tag

tag|route-policyroute-policy-name|[level-1|level-2|level-1-2]]配置举例：配置IS-IS引入OSPF进程1的路由，并设置引入路由的开销值为20，路由标记为2020，并指定引入路由到Level-2的路由表中。[R1-isis-1]import-routeospf1cost20tag2020level-24.1.1路由引入原理BGP路由引入命令【import-route

protocol

[process-id][med

med|route-policy

route-policy-name]】

BGP引入路由时支持Import和Network两种方式。Import方式是按协议类型，将OSPF、IS-IS等协议的路由引入到BGP路由表中。Network方式是逐条将IP路由表中已经存在的路由引入到BGP路由表中，比Import方式更精确。配置举例：配置BGP引入OSPF进程1的路由，并设置引入路由的开销值为100。[R1-bgp]import-routeospf1med1004.1.2路由引入存在的问题路由引入过程中潜在的问题：路由反馈次优路由路由环路不同路由协议收敛时间的不一致4.1.2路由引入存在的问题10.1.1.0/24OSPFR1R2R3R4IS-IS10.4.4.0/24IS-IS中引入OSPFOSPF中引入IS-IS在边界路由器上把两个路由域的路由相互引入，称之为双向路由重发布。两个路由域存在两个边界路由器，并且都执行双向路由重分发，此时称为双点双向路由重发布。双点双向路由重发布是一种经典的路由模型，因单点的双向路由重发布缺乏冗余性，一旦单点的边界路由器故障，那么两个路由域之间的通信可能就会出现问题，因此在大型网络部署中一般采用双点双向路由重发布。双点双向重路由发布虽然增强了网络的可靠性，但是容易引发：次优路径、路由环路等问题。双点双向路由重发布10.1.1.0/244.1.2路由引入存在的问题次优路径问题发生OSPFR1R2R3R4以10.1.1.0/24为例：R1将直连路由10.1.1.0/24引入到OSPF中。R2、R3执行双向路由重发布，R2先将10.1.1.0/24重发布到IS-IS中，R3将会学习到来自R4的IS-IS路由。对R3而言，IS-IS路由（优先级15）优于OSPF外部路由（优先级150），因此优选来自R4的IS-IS路由。后续R3访问10.1.1.0/24网段的路径为：R3->R4->R2->R1，这是次优路径。IS-IS引入直连22133OSPFLSAIS-ISLSPDestination/MaskProtoPre10.1.1.0/24ISIS15访问流量4.1.2路由引入存在的问题解决次优路径问题Destination/MaskProtoPre10.1.1.0/24OSPF150解决解决方案一：在R3的IS-IS进程内，通过Filter-Policy禁止来自R4的10.1.1.0/24路由加入本地路由表。在R3上执行以下操作：[R3]acl2001[R3-acl-basic-2001]rule5denysource10.1.1.00[R3-acl-basic-2001]rule10permit[R3]isis[R3-isis-1]filter-policy2001import10.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP访问流量4.1.2路由引入存在的问题解决次优路径问题解决方案二：R3通过ACL匹配10.1.1.0/24路由，在Route-Policy中调用该条ACL，将匹配这条ACL的路由的优先级设置为14（优于IS-IS）。在OSPF视图下使用preferencease命令调用Route-Policy修改外部路由的优先级。在R3上执行以下操作：[R3]acl2000 [R3-acl-basic-2000]rulepermitsource10.1.1.00[R3-acl-basic-2000]quit[R3]route-policyhcippermitnode10[R3-route-policy]if-matchacl2000[R3-route-policy]applypreference14[R3-route-policy]quit[R3]ospf1

[R3-ospf-1]preferenceaseroute-policyhcipDestination/MaskProtoPre10.1.1.0/24OSPF1410.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP访问流量4.1.2路由引入存在的问题路由环路问题10.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP44Destination/MaskProtoPre10.1.1.0/24ISIS154.1.2路由引入存在的问题解决路由环路问题解决方案一：在R3的OSPF中引入IS-IS路由时，通过Route-Policy过滤掉10.1.1.0/24路由。在R3上执行以下操作：[R3]acl2001[R3-acl-basic-2001]rule5denysource10.1.1.00[R3-acl-basic-2001]rule10permit[R3]route-policyRPpermitnode10[R3-route-policy]if-match2001[R3-route-policy]quit[R3]ospf[R3-ospf-1]import-routeisis1route-policyRP10.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSPDestination/MaskProtoPre10.1.1.0/24OSPF1504.1.2路由引入存在的问题使用Tag实现有选择性地路由引入解决路由环路问题10.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP使用Route-Policy过滤携带tag200的路由使用Route-Policy为10.1.1.0/24打上tag200[R2]acl2000 [R2-acl-basic-2000]rulepermitsource10.1.1.00[R2-acl-basic-2000]quit[R2]route-policyLOOPpermitnode10[R2-route-policy]if-matchacl2000[R2-route-policy]applytag200[R2-route-policy]quit[R2]isis1[R2-isis-1]import-routeospfroute-policyLOOP[R3]route-policyLOOPdenynode10

[R3-route-policy]if-matchtag200[R3-route-policy]quit[R3]route-policyLOOPpermitnode20[R3]ospf1[R3-ospf-1]import-routeisisroute-policyLOOP4.1.2路由引入存在的问题次优路由、路由反馈和路由环路现象分析：技术背景R1上将业务A、B、C的网段路由引入时希望不引入业务C网段路由，同时R3上将OSPF路由引入到IS-IS中时，同样只希望引入B业务网段路由。此时需要一个工具在引入路由时进行限制。R1R2R3R4GE0/0/210.0.34.3/24GE0/0/310.0.34.4/24GE0/0/210.0.12.1/24GE0/0/310.0.12.2/24GE0/0/210.0.23.2/24GE0/0/310.0.23.3/24业务A172.16.1.0/24OSPFArea0IS-ISArea

49.0001Level-1业务B172.16.2.0/24业务C172.16.3.0/24将到达B业务网段的路由引入不将到达C业务网段的路由引入4.2路由控制路由控制可以通过路由策略（Route-Policy）实现，路由策略应用灵活而广泛，有以下几种常见方式：控制路由的发布：通过路由策略对发布的路由进行过滤，只发布满足条件的路由。控制路由的接收：通过路由策略对接收的路由进行过滤，只接收满足条件的路由。控制路由的引入：通过路由策略控制从其他路由协议引入的路由条目，只有满足条件的路由才会被引入。定义路由特征匹配出要实施路由策略的路由，即定义一组匹配规则进行匹配：可以根据路由信息中的不同属性进行匹配，如目的地址、Tag值等。路由发布路由接收路由引入应用4.2.1前缀列表IP前缀列表（IP-PrefixList）是将路由条目的网络地址、掩码长度作为匹配条件的过滤器，可在各路由协议发布和接收路由时使用。不同于ACL，IP-PrefixList能够同时匹配IP地址前缀长度以及掩码长度，增强了匹配的精确度。[Huawei]ipip-prefixtestindex10permit192.168.1.022greater-equal24less-equal26ip-prefix-name序号动作掩码范围IP网段与掩码1、ip-prefix-name：前缀列表名称2、序号：本匹配项在前缀列表中的序号，匹配时根据序号从小到大进行顺序匹配3、动作：permit/deny，前缀列表的匹配模式为允许/拒绝4、IP网段与掩码：匹配路由的网络地址，以及限定网络地址的前多少位需严格匹配5、掩码范围：匹配路由前缀长度，掩码长度的匹配范围mask-length<=greater-equal-value<=less-equal-value<=324.2.1前缀列表前缀列表的作用类似于访问控制列表，但比ACL更为灵活，且更易于理解。前缀列表的特点如下：编辑方便性。配置前缀列表时，可以指定序号，只要序列号不是连续的，以后就可以方便地插入条目，或者删除针对某个序号的条目，而不是整个前缀列表。执行高效性。在大型列表的加载和路由查找方面比ACL有显著的性能改进。配置灵活性。可以在前缀列表中指定掩码的长度，也可以指明掩码长度的范围。4.2.1前缀列表前缀列表的匹配机制开始分析第一条索引表项待匹配路由在定义的范围内？是否剩余其它索引表项分析下一条索引表项动作是permit还是deny匹配结果为拒绝匹配结果为允许结束是否permitdeny顺序匹配是否唯一匹配默认拒绝4.2.1前缀列表IP-Prefix的匹配示例1.1.1.1/321.1.1.0/271.1.1.0/261.1.1.0/251.1.1.0/241.1.1.0/271.1.1.0/261.1.1.0/251.1.1.0/24ipip-prefixList1index10permit1.1.1.024greater-equal24less-equal27待匹配对象被匹配的路由条目上述IP前缀列表匹配的是网络地址的前24bit与1.1.1.0相同，网络掩码长度大于或等于24且小于或等于27的路由，因此1.1.1.1/32不匹配。IPRouting-tableMatchedRouteEntry4.2.1前缀列表前缀列表示例路由1.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/8ipip-prefixPref1index10permit1.1.1.024greater-equal24less-equal24路由1.1.1.0/244.2.1前缀列表前缀列表示例路由1.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/8ipip-prefixPref1index10permit1.1.0.016greater-equal24路由1.1.1.0/241.1.1.0/254.2.1前缀列表ipip-prefixtest1index5permit0.0.0.0/0greater-equal32ipip-prefixtest2index10permit0.0.0.0/0less-equal32ipip-prefixtest3index15permit0.0.0.0/0greater-equal1ipip-prefixtest4index20permit0.0.0.0/1greater-equal8less-equal8ipip-prefixtest5index25permit128.0.0.0/2greater-equal16less-equal16ipip-prefixtest6index30permit192.0.0.0/3greater-equal24less-equal24ipip-prefixtest7index35permit192.168.0.0/16less-equal20ipip-prefixtest8index40permit192.168.0.0/16greater-equal204.2.2路由策略Route-policy是强大的过滤工具和策略工具。它由一系列if-match子句和Apply子句构成。route-policy

route-policy-name

{permit|deny}

node

nodeif-matchapply一个routingpolicy下可以有多个节点，不同的节点号用seq-number标识。每个节点下可以有多个if-match和apply子句，if-match子句之间是“与”的关系。允许模式：当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的if-match子句，将试图匹配路由策略的下一个节点。拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤，并且不会进行下一个节点的测试。4.2.2路由策略Route-Policy是一个策略工具，用于过滤路由信息，以及为过滤后的路由信息设置路由属性。一个Route-Policy由一个或多个节点（Node）构成，每个节点都可以是一系列条件语句（匹配条件）以及执行语句（执行动作）的集合，这些集合按照编号从小到大的顺序排列。Node1（匹配模式Permit）

条件语句

执行语句Node2（匹配模式Permit）

条件语句

执行语句NodeN（匹配模式Permit）

条件语句

执行语句……自上而下route-policytest节点内的多个条件语句之间的关系为“与”节点之间的关系为“或”4.2.2路由策略一个Route-Policy由一个或多个节点构成，每个节点包括多个if-match和apply子句。permit或deny：指定Route-Policy节点的匹配模式为允许或拒绝。node：指定Route-Policy的节点号。整数形式，取值范围是0～65535。if-match子句：定义该节点的匹配条件。apply子句：定义针对被匹配路由执行的操作。route-policytestpermitnode10if-matchx1if-matchx2

applyy1route-policytestpermitnode20if-matchx3x4applyy2route-policytestpermitnodeNif-matchxnapplyyn……Route-Policy名称节点的匹配模式节点号条件语句执行语句4.2.2路由策略路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。route-policynode10If-matchIf-match……匹配模式applyapply……通过路由策略……nodeNIf-matchIf-match……匹配模式applyapply……通过路由策略拒绝通过拒绝通过拒绝通过全部匹配成功全部匹配成功permitpermitdenydeny未全部匹配成功未全部匹配成功顺序匹配唯一匹配4.2.2路由策略路由策略配置举例：对前缀列表1定义的路由信息设置路由标记[R1]ipip-prefix1index10permit1.1.1.024[R1]route-policyexamplepermitnode10[R1-route-policy]if-matchip-prefix1[R1-route-policy]applytag11114.2.3过滤策略Filter-Policy（过滤-策略）是一个很常用的路由信息过滤工具，能够对接收、发布、引入的路由进行过滤，可应用于IS-IS、OSPF、BGP等协议。BGPR1R2R310.1.1.010.1.2.010.1.3.010.1.1.010.1.2.010.1.3.0Filter-Policy4.2.3过滤策略在距离矢量路由协议中，设备之间传递的是路由信息，如果需要对这种路由信息进行某种过滤，可以使用Filter-Policy实现，出方向和入方向的生效位置。DatabaseIPRouting-TableDatabaseIPRouting-Tablefilter-policyexport路由信息路由信息路由信息filter-policyimportR1R24.2.3过滤策略在链路状态路由协议中，各路由设备之间传递的是LSA信息，然后设备根据LSA汇总成的LSDB信息计算出路由表。但是Filter-Policy只能过滤路由信息，无法过滤LSA。LSDBIPRouting-TableLSDBIPRouting-Tablefilter-policyexportLSALSALSAfilter-policyimport本地始发的5类LSA入方向过滤：不把路由加入到路由表中出方向过滤：过滤路由信息过滤从其他协议引入的路由R1R24.2.3过滤策略Filter-Policy的基础配置命令[Huawei-ospf-100]filter-policy{acl-number|acl-name

acl-name|ip-prefix

ip-prefix-name|route-policy

route-policy-name[secondary]}import按照过滤策略，设置对接收的路由进行过滤。[Huawei-ospf-100]filter-policy

{

acl-number

|

acl-name

acl-name

|

ip-prefix

ip-prefix-name

|

route-policy

route-policy-name

}

export

[

protocol

[

process-id

]]按照过滤策略，设置对引入的路由在向外发布时进行过滤。4.2.3过滤策略R1R2ospf1filter-policy2000importR1R2ospf1import-routestaticfilter-policy2000exportfilter-policyimport命令对接收的路由设置过滤策略，只有通过过滤策略的路由才被添加到路由表中，没有通过过滤策略的路由不会被添加进路由表，但不影响对外发布出去。OSPF通过命令import-route引入外部路由后，为了避免路由环路的产生，通过filter-policyexport命令对引入的路由在发布时进行过滤，只将满足条件的外部路由转换为Type5LSA（AS-external-LSA）并发布出去。filter-policyimportfilter-policyexport链路状态信息LSA1LSA2LSA3LSA4LSA1LSA2LSA3LSA4172.16.1.0/24172.16.2.0/24172.16.3.0/24172.16.1.0/24172.16.2.0/24172.16.3.0/24R1路由表10.1.1.02410.1.2.02410.1.3.02410.1.4.024R2路由表10.1.1.02410.1.2.02410.1.3.024OSPF中使用Filter-Policy图1图24.2.3过滤策略filter-policyimportR1R2isisfilter-policy2000import与OSPF相似，filter-policyimport命令只会对本地的路由表产生影响，不会将匹配的路由加入到路由表，不会影响本地设备的LSP的扩散和LSDB的同步。filter-policyexportLSP1LSP2LSP3LSP4LSP1LSP2LSP3LSP4R1R2Isis1import-routebgpfilter-policy2000exportBGPISISBGPRouting-TableIS-ISRouting-Table当网络中同时部署了IS-IS和其他路由协议时，如果已经在边界设备上引入其他路由协议的路由，缺省情况下，该设备将把引入的全部外部路由发布给IS-IS邻居。如果只希望将引入的部分外部路由发布给邻居，可以使用filter-policyexport命令实现。链路状态信息R1路由表10.1.1.02410.1.2.02410.1.3.02410.1.4.024R2路由表10.1.1.02410.1.2.02410.1.3.024IS-IS中使用Filter-Policy图1图24.2.3过滤策略filter-policyimportR1R2bgp100ipv4-familyunicastfilter-policy2000import使用filter-policyimport命令可以对BGP设备全局接收的路由进行过滤，决定是否将路由添加到BGP路由表中。filter-policyexport使用filter-policyexport命令可以将对外发布的路由进行过滤，只有通过过滤的路由才能加入BGP本地路由表，并被BGP发布。AS100BGPUpdateNLRI：Route-entry1NLRI：Route-entry2BGPUpdateNLRI：Route-entry1R1R2bgp100ipv4-familyunicastfilter-policy2000exportAS100BGPUpdateNLRI：Route-entry1NLRI：Route-entry2BGPUpdateR1路由表10.1.1.02410.1.2.024R2路由表10.1.1.024R1路由表10.1.1.02410.1.2.02410.1.3.024BGP中使用Filter-Policy图1图24.2.3过滤策略过滤策略配置举例，如下图所示，分别在路由器R1、R2和R3上配置过滤策略，在路由器R1的IS-IS进程中引入直连路由，并将172.16开头的第三位为奇数的直连路由过滤，在路由器R2的OSPF进程中引入IS-IS路由时只允许172.16开头的第三位被4整除的路由，在路由器R3的OSPF进程中只允许172.16开头的第三位被8整除的路由进入IP路由表。实现过程如下。4.2.3过滤策略路由器R1的IS-IS进程中引入直连路由时，将172.16开头的第三位为奇数的路由过滤。[R1]aclnumber2000[R1-acl-basic-2000]rule10denysource172.16.1.00.0.254.0[R1-acl-basic-2000]rule20permit[R1]isis1[R1-isis-1]is-levellevel-2[R1-isis-1]network-entity49.0001.1111.1111.1111.00[R1-isis-1]import-routedirect[R1-isis-1]filter-policy2000exportdirect4.2.3过滤策略路由器R2的OSPF进程引入IS-IS路由时只允许172.16开头的第三位被4整除的路由。[R2]aclnumber2000[R2-acl-basic-2000]rule10permitsource172.16.0.00.0.252.0[R2]ospf1[R2-ospf-1]import-routeisis1[R2-ospf-1]filter-policy2000exportisis1[R2]isis1[R2-isis-1]is-levellevel-2[R2-isis-1]network-entity49.0001.2222.2222.2222.00[R2-isis-1]import-routeospf14.2.3过滤策略路由器R3的OSPF进程中只允许172.16开头第三位被8整除的路由进入路由表。[R3]aclnumber2000[R3-acl-basic-2000]rule10permitsource172.16.0.00.0.248.0[R3]ospf1[R3-ospf-1]filter-policy2000import4.2.3过滤策略查看路由器R2的IS-IS路由[R2]displayiprouting-tableprotocolisis

Destination/MaskProtoPreCostFlagsNextHopInterface172.16.0.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/0172.16.2.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/0172.16.4.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/0172.16.6.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/0172.16.8.0/24ISIS-L21574D172.31.12.1GigabitEthernet0/0/04.2.3过滤策略查看路由器R3的OSPF路由表[R3]displayospfrouting

RoutingforASEsDestinationCostTypeTagNextHopAdvRouter172.16.0.0/241Type21172.31.23.12.2.2.2172.16.4.0/241Type21172.31.23.12.2.2.2172.16.8.0/241Type21172.31.23.12.2.2.24.2.3过滤策略查看路由器R3的IP路由表中的OSPF路由[R3]displayiprouting-tableprotocolospf

Destination/MaskProtoPreCostFlagsNextHopInterface172.16.0.0/24O_ASE1501D172.31.23.1GigabitEthernet0/0/1172.16.8.0/24O_ASE1501D172.31.23.1GigabitEthernet0/0/1策略路由技术背景在某些场景中我们希望一些特定用户、特定业务的流量走指定的转发路径，而其余用户或业务的流量则依旧根据路由表进行转发。网段1ISP1ISP2网段2出口示例：双ISP接入的企业，想要实现内网网段1访问Internet通过ISP1、内网网段2访问Internet通过ISP2，该需求无法通过传统的路由技术实现。企业X4.3策略路由概述策略路由（policy-based-route）是一种依据用户制定的策略进行路由选择的机制，与单纯依照IP报文的目的地址查找路由表进行转发不同，可应用于安全、负载分担等目的。策略路由主要是控制报文的转发，即可以不按照路由表进行报文的转发。为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。192.168.1.0/2410.0.12.1/2410.0.13.1/2410.0.12.2/2410.0.13.2/24192.168.1.0/24via10.0.12.2RTARTBRTCPPBR执行点PNetworkRTA上路由表中前往192.168.1.0/24下一跳为10.0.12.2，使用策略路由改变其转发路径。RTA的路由表部署PBR将流量重定向到RTC4.3策略路由概述路由策略与策略路由的区别路由策略策略路由基于控制平面，会影响路由表表项。基于转发平面，不会影响路由表表项，且设备收到报文后，会先查找策略路由进行匹配转发，若匹配失败，则再查找路由表进行转发。只能基于目的地址进行策略制定。可基于源地址、目的地址、协议类型、报文大小等进行策略制定。与路由协议结合使用。需手工逐跳配置，以保证报文按策略进行转发。常用工具：Route-Policy、Filter-Policy等。常用工具：Traffic-Filter、Traffic-Policy、Policy-Based-Route等。4.3.1本地策略路由本地策略路由仅对本设备自身发送的报文（如OSPF、BGP等）进行处理，对转发的报文不起作用。一条本地策略路由可以配置多个策略点，并且这些策略点具有不同的优先级，本机下发报文优先匹配优先级高的策略点。本机下发报文时，根据本地策略路由节点的优先级，依次匹配各节点绑定的匹配规则，本地策略路由支持基于ACL或报文长度的匹配规则。P依据路由表转发PBR转发PBR执行点P4.3.1本地策略路由[Huawei]policy-based-route

policy-name

{

deny

|

permit

}

node

node-id创建PBR创建策略路由和策略点，若策略点已创建则进入本地策略路由视图。[Huawei-policy-based-route-PBR-10]if-matchaclacl-number[Huawei-policy-based-route-PBR-10]if-matchpacket-lengthmin-lengthmax-length设置IP报文的匹配条件缺省情况下，策略路由中未配置匹配条件，可以设置使用ACL匹配IP地址，也可以设置匹配报文长度。[Huawei-policy-based-route-PBR-10]applyoutput-interfaceinterface-typeinterface-number指定PBR中报文的出接口缺省情况下，策略路由中未配置报文出接口。配置成功后，将匹配策略点的报文从指定出接口发送出去。

系统视图下应用PBR[Huawei]iplocalpolicy-based-routepolicy-name4.3.1本地策略路由本地策略路由配置举例，如下图所示，路由器R1和R2之间配置静态路由到达对方的环回接口0。现通过配置本地策略路由实现大小为64-100字节的数据包选择上边的链路，大小为101-500字节的数据包选择下面的链路，所有其他长度的数据包都按基于目的地址的方法进行路由选路。4.3.1本地策略路由路由器R1配置本地策略路由[R1]policy-based-routeLPpermitnode10[R1-policy-based-route-LP-10]if-matchpacket-length64100[R1-policy-based-route-LP-10]applyip-addressnext-hop172.16.12.2[R1]policy-based-routeLPpermitnode20[R1-policy-based-route-LP-20]if-matchpacket-length101500[R1-policy-based-route-LP-20]applyip-addressnext-hop172.16.21.2[R1]iplocalpolicy-based-routeLP生成测试流量，在路由器R1上用如下的2条命令进行测试[R1]ping-a172.16.1.1-s80172.16.2.2[R1]ping-a172.16.1.1-s200172.16.2.24.3.1本地策略路由查看本地策略路由匹配统计信息[R1]displayippolicy-based-routestatisticslocal

Localpolicybasedroutinginformation:policy-based-route:LPpermitnode10applyip-addressnext-hop172.16.12.2Denied:0,

Forwarded:5permitnode20applyip-addressnext-hop172.16.21.2Denied:0,

Forwarded:54.3.2接口策略路由接口策略路由通过在流行为中配置重定向实现。接口PBR只对转发的报文起作用，对本地始发的报文无效。接口PBR调用在接口下，对接口的入方向报文生效。缺省情况下，设备按照路由表的下一跳进行报文转发，如果配置了接口PBR，则设备按照接口PBR指定的下一跳进行转发。PBR执行点1依据路由表转发PBR转发2PP4.3.2接口策略路由接口路由策略配置案例需求ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/010.1.3.254RTA4.3.2接口策略路由接口路由策略配置案例实现ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/010.1.3.254RTA[RTA]aclnumber3000[RTA-acl-adv-3000]rule1denyipsource10.1.1.00.0.0.255destination10.1.3.2540[RTA-acl-adv-3000]rule2permitipsource10.1.1.00.0.0.255destination0.0.0.00配置ACL3000，其中rule1

deny网段1访问服务器的流量，rule2匹配网段1访问Internet的流量。[RTA]aclnumber3001[RTA-acl-adv-3001]rule1denyipsource10.1.2.00.0.0.255destination10.1.3.2540[RTA-acl-adv-3001]rule2permitipsource10.1.2.00.0.0.255destination0.0.0.00配置ACL3001，其中rule1

deny网段2访问服务器的流量，rule2匹配网段2访问Internet的流量。4.3.2接口策略路由接口路由策略配置案例实现ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/010.1.3.254RTA[RTA]policy-based-routePBRpermitnode10[RTA-policy-based-route-hcip-10]if-matchacl3000[RTA-policy-based-route-hcip-10]applyip-addressnext-hop202.1.2.3创建路由策略PBR，创建节点10，调用ACL3000，指定其转发下一跳为202.1.2.3[RTA]policy-based-routePBRpermitnode20[RTA-policy-based-route-hcip-20]if-matchacl3001[RTA-policy-based-route-hcip-20]applyip-addressnext-hop154.1.2.3创建路由策略PBR节点20，调用ACL3001，指向其转发下一跳为154.1.2.3在GE0/0/0接口调用路由策略[RTA]interfaceGigabitEthernet0/0/0 [RTA-GigabitEthernet0/0/0]ippolicy-based-routePBR4.3.2接口策略路由MQC（ModularQoSCommand-LineInterface，模块化QoS命令行）是指通过将具有某类共同特征的数据流划分为一类，并为同一类数据流提供相同的服务，也可以对不同类的数据流提供不同的服务。MQC包含三个要素：流分类（trafficclassifier）、流行为（trafficbehavior）和流策略（trafficpolicy）。MQC的流行为支持重定向报文，因此可以使用MQC实现IP单播策略路由。应用流策略在接口入方向上应用流策略对属于该VLAN并匹配流分类中规则的入方向报文实施策略控制在全局或板卡上应用流策略流分类配置流分类，用于匹配感兴趣数据流。可基于VLANTag、DSCP、ACL规则…..流行为将感兴趣报文进行重定向。可以设置重定向的下一跳IP地址或出接口。流策略流分类--->流行为4.3.2接口策略路由流分类：定义一组流量匹配规则，以对报文进行分类。流分类支持的匹配项如下所示。流行为：用来定义执行的动作，支持报文过滤、重标记优先级、重定向、流量统计等动作。流分类1（trafficclassifier）流行为1（trafficbehavior）三层可匹配项二层可匹配项………目的MAC地址or源MAC地址ACL4000～4999匹配的字段VLAN报文Tag的ID信息………IPv4报文长度IP报文的IP优先级ACL2000～3999匹配的字段其他可匹配项………出接口所有报文入接口流分类1（trafficclassifier）流行为1（trafficbehavior）重新标记报文优先级流量统计为报文添加VLANTag过滤报文………对报文执行策略路由可执行动作4.3.2接口策略路由流策略：将流分类和流行为绑定，对分类后的报文执行对应流行为中定义的动作。一个流策略可以绑定多个流分类和流行为。流策略（trafficpolicy）流分类1（trafficclassifier）流行为1（trafficbehavior）流分类2（trafficclassifier）流行为2（trafficbehavior）流分类n（trafficclassifier）流行为n（trafficbehavior）流策略调用在接口入向SW1Q流策略调用在接口出向SW1Q流策略调用在接口入向4.3.2接口策略路由[Huawei]trafficclassifierclassifier-name[operator{and|or}]创建流分类缺省情况下，流分类中各规则之间的关系为“或”（or）。流分类中的匹配规则配置可查阅产品手册。[Huawei]trafficbehaviorbehavior-name创建流行为根据实际情况定义流行为中的动作，只要各动作不冲突，都可以在同一流行为中配置。流行为具体配置可查阅产品手册。[Huawei]trafficpolicypolicy-name

[Huawei-trafficpolicy-policyname]classifierclassifier-namebehaviorbehavior-name创建流策略，并绑定流分类与流行为4.3.2接口策略路由使用MQC实现策略路由案例需求需求：内网存在两个网段，网段1：10.1.1.0/24，网段2：10.1.2.0/24，在RTA上通过MQC实现策略路由，实现网段1访问Internet通过ISP1、网段2访问Internet通过ISP2。将MQC调用在RTA的GE0/0/0接口ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/0RTA4.3.2接口策略路由使用MQC实现策略路由案例配置[RTA]aclnumber3000[RTA-acl-adv-3000]rule2permitipsource10.1.1.00.0.0.255destination0.0.0.00[RTA]aclnumber3001[RTA-acl-adv-3001]rule2permitipsource10.1.2.00.0.0.255destination0.0.0.00配置ACL3000、3001分别匹配网段1、网段2访问Internet的流量。[RTA]trafficclassifier1[RTA-classifier-1]if-matchacl3000[RTA]trafficclassifier2[RTA-classifier-2]if-matchacl3001创建流分类1、2分别匹配ACL3000、ACL3001。ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/0RTA4.3.2接口策略路由使用MQC实现策略路由案例配置[RTA]trafficbehavior1[RTA-behavior-1]redirectip-nexthop202.1.2.3[RTA-behavior-1]statisticenable[RTA]trafficbehavior2[RTA-behavior-2]redirectip-nexthop154.1.2.3[RTA-behavior-2]statisticenable创建流行为1、2分别执行将报文重定向到202.1.2.3、154.1.2.3的动作。[RTA]trafficpolicyRedirect[RTA-trafficpolicy-Redirect]classifier1behavior1[RTA-trafficpolicy-Redirect]classifier2behavior2创建流策略Redirect，将流分类1、2与流行为1、2一一绑定。[RTA]interfaceGigabitEthernet0/0/0[RTA-GigabitEthernet0/0/0]traffic-policyRedirectinbound在GE0/0/0接口入方向调用流策略RedirectISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/0RTA4.3.2接口策略路由生成测试流量查看接口策略路由匹配统计信息[RTA]displaytrafficpolicystatisticsinterfaceGigabitEthernet0/0/0inboundInterface:GigabitEthernet0/0/0Trafficpolicyinbound:Redirect//接口入向应用策略路由

Rulenumber:2//策略路由定义的策略条目Currentstatus:OK!ItemSum(Packets/Bytes)Rate(pps/bps)--------------------------------------------------------------------------Matched

9/1/882336+--Passed

9/1/8823364.3.3智能策略路由智能策略路由（SmartPolicyRouting，SPR）是基于业务需求的策略路由，通过匹配链路质量和网络业务对链路质量的需求，实现智能选路。探测链路是SPR实现智能选路的基础，每个探测链路都有一个与之相对应的探针，即NQA测试例。如果测试失败，则表示对应的探测链路不可用。探测链路通过探针获取链路参数的质量，SPR根据探测链路的链路质量匹配业务需求，从而实现智能选路的需求。SPR不直接使用探测链路，而是通过链路组的形式使用探测链路。一个探测链路可以加入不同的链路组，同时一个链路组中可以有一条或多条探测链路。SPR的链路角色分为：主用链路组、备用链路组和逃生链路。SPR中业务无法从主用链路组和备用链路组中找到合适的链路传输数据时可以启用逃生链路。SPR中切换周期计时器主要用于链路质量不满足业务需求时控制链路切换。4.3.3智能策略路由智能策略路由配置举例，如下图所示，整个网络配置静态路由实现网络连通性。路由器R1通过两个运营商（ISPA和ISPB）的专线和路由器R4相连，R1希望实现用ISPA的网络作为高速主用链路，用ISPB的网络作为备份链路。4.3.3智能策略路由在路由器R1上配置NQA客户端[R1]nqatest-instanceadminISPA[R1-nqa-admin-ISPA]test-typejitter[R1-nqa-admin-ISPA]destination-addressipv4201.1.1.6[R1-nqa-admin-ISPA]destination-port10000[R1-nqa-admin-ISPA]frequency10[R1-nqa-admin-ISPA]source-interfaceGigabitEthernet0/0/0[R1-nqa-admin-ISPA]startnow[R1]nqatest-instanceadminISPB[R1-nqa-admin-ISPB]test-typejitter[R1-nqa-admin-ISPB]destination-addressipv461.1.1.6[R1-nqa-admin-ISPB]destination-port10001[R1-nqa-admin-ISPB]frequency10[R1-nqa-admin-ISPB]source-interfaceGigabitEthernet0/0/1[R1-nqa-admin-ISPB]startnow4.3.3智能策略路由在路由器R4上配置NQA服务器[R4]nqa-serverudpecho201.1.1.610000[R4]nqa-serverudpecho61.1.1.610001在路由器R1上配置区分业务流的ACL[R1]aclnumber3000[R1-acl-adv-3000]rule10permitipdestination203.1.1.00.0.0.2554.3.3智能策略路由在路由器R1上配置智能策略路由的路由参数[R1]smart-policy-route[R1-smart-policy-route]period50[R1-smart-policy-route]routeflappi