路由策略講義課件

1、1RA-003 IPRA-003 IP路由策略與策略路由路由策略與策略路由ISSUE 2.0日期：杭州華三通信技術有限公司 版權所有，未經(jīng)授權不得使用與傳播n 理解路由策略和策略路由的基本概念理解路由策略和策略路由的基本概念n 掌握應用路由策略的五種過濾工具的掌握應用路由策略的五種過濾工具的使用方法使用方法n 掌握如何利用掌握如何利用Route-policy實現(xiàn)實現(xiàn)IP單單播及播及IP組播策略路由組播策略路由課程目標課程目標學習完本課程，您應該能夠：學習完本課程，您應該能夠：n 路由策略路由策略n 策略路由策略路由目錄目錄4路由策略路由策略l路由策略概述 l訪問控制列表（ACL） l前綴列表（

2、ip-prefix）l自治系統(tǒng)路徑信息訪問列表（as-path list）l團體屬性列表（community-list） lRoute-policy 5路由的發(fā)布、接收和引入路由的發(fā)布、接收和引入 l 如何有選擇性的發(fā)布、接收和引入路由？如何有選擇性的發(fā)布、接收和引入路由？對鄰居發(fā)布路由從鄰居接收路由OSPFBGP不同路由協(xié)議間引入路由6IP路由策略路由策略l 路由器在發(fā)布與接收路由信息時，可能需要實施一路由器在發(fā)布與接收路由信息時，可能需要實施一些策略，以便對路由信息進行過濾，比如只接收或些策略，以便對路由信息進行過濾，比如只接收或發(fā)布一部分滿足給定條件的路由信息；發(fā)布一部分滿足給定條件的路

3、由信息； l 路由器在引入其它路由協(xié)議的路由信息時，可能需路由器在引入其它路由協(xié)議的路由信息時，可能需要只引入一部分滿足條件的路由信息，并對所引入要只引入一部分滿足條件的路由信息，并對所引入的路由信息的某些屬性進行設置或修改，以使其滿的路由信息的某些屬性進行設置或修改，以使其滿足本協(xié)議的要求。足本協(xié)議的要求。 l 為實現(xiàn)路由策略，首先要定義將要實施路由策略的為實現(xiàn)路由策略，首先要定義將要實施路由策略的路由信息的特征，即定義一組匹配規(guī)則，可以以路路由信息的特征，即定義一組匹配規(guī)則，可以以路由信息中的不同屬性作為匹配依據(jù)進行設置，如目由信息中的不同屬性作為匹配依據(jù)進行設置，如目的地址、發(fā)布路由信息

4、的路由器地址等。的地址、發(fā)布路由信息的路由器地址等。 7五種常見的路由過濾方法五種常見的路由過濾方法l訪問控制列表（訪問控制列表（ACL） l前綴列表（前綴列表（ip-prefix） l自治系統(tǒng)路徑信息訪問列表（自治系統(tǒng)路徑信息訪問列表（as-path list） l團體屬性列表（團體屬性列表（community-list） lRoute-policy 8路由策略路由策略l路由策略概述 l訪問控制列表（ACL） l前綴列表（ip-prefix）l自治系統(tǒng)路徑信息訪問列表（as-path list）l團體屬性列表（community-list） lRoute-policy 9訪問控制列表（訪問控

5、制列表（ACL） l 訪問控制列表分為三類：訪問控制列表分為三類： Advanced：表示高級訪問控制列表； Basic：表示基本訪問控制列表；Interface：表示基于接口的訪問控制列表； l 在對路由信息過濾時，一般使用基本訪問列表和在對路由信息過濾時，一般使用基本訪問列表和高級訪問控制列表。高級訪問控制列表。 使用基本訪問控制列表，在定義訪問列表時指定一個源IP地址或子網(wǎng)的范圍，用于匹配路由信息的源地址。 使用高級訪問列表，則可以使用協(xié)議類型、源/目的地址或端口號等多種參數(shù)匹配路由信息。 10利用利用ACL實現(xiàn)路由發(fā)布和接收策略（一）實現(xiàn)路由發(fā)布和接收策略（一）l 在在BGP視圖下，對

6、視圖下，對BGP鄰居（組）發(fā)布或鄰居（組）發(fā)布或接收路由時根據(jù)接收路由時根據(jù)ACL規(guī)則進行路由過濾規(guī)則進行路由過濾peer group-name | peer-address filter-policy acl-number import | export H3Cacl number 2000H3C-acl-basic-2000rule permit source 10.1.0.0 0.0.255.255H3C-acl-basic-2000rule deny source anyH3Cbgp 65400H3C-bgppeer 1.1.1.1 filter-policy 2000 import

7、從鄰居1.1.1.1只接收10.1.0.0/16網(wǎng)段的路由11利用利用ACL實現(xiàn)路由發(fā)布和接收策略（二）實現(xiàn)路由發(fā)布和接收策略（二）l 在在BGP/OSPF/RIP/IS-IS視圖下，利用視圖下，利用filter-policy根據(jù)根據(jù)ACL規(guī)則對發(fā)布或接收的路由進規(guī)則對發(fā)布或接收的路由進行過濾行過濾filter-policy acl-number export routing-protocol filter-policy acl-number import RIP只接收10.1.0.0/16網(wǎng)段的路由RIP只發(fā)布10.2.0.0/16網(wǎng)段的路由H3Cacl number 2000H3C-acl

8、-basic-2000rule permit source 10.1.0.0 0.0.255.255H3C-acl-basic-2000rule deny source anyH3Cacl number 2001H3C-acl-basic-2001rule permit source 10.2.0.0 0.0.255.255H3C-acl-basic-2001rule deny source anyH3CripH3C-ripfilter-policy 2000 importH3C-ripfilter-policy 2001 export12路由策略路由策略l路由策略概述 l訪問控制列表（ACL

9、） l前綴列表（ip-prefix）l自治系統(tǒng)路徑信息訪問列表（as-path list）l團體屬性列表（community-list） lRoute-policy 13前綴列表（前綴列表（ip-prefix）l 前綴列表（前綴列表（ip-prefix）通過）通過IP地址以及掩碼地址以及掩碼長度范圍來定義一定的長度范圍來定義一定的IP前綴范圍。前綴范圍。ip ip-prefix ip-prefix-name index index-number permit | deny network len greater-equal greater-equal | less-equal less-equ

10、al l 注意：注意：地址前綴列表的各表項之間的過濾關系是“或”的關系，即通過一條表項的過濾就意味著通過該地址前綴列表的過濾。若沒有通過任一表項的過濾，則通不過該地址前綴列表的過濾。14前綴列表（前綴列表（ip-prefix）配置舉例（一）配置舉例（一）# 定義一條名稱為定義一條名稱為p1的地址前綴列表，只允許的地址前綴列表，只允許10.0.192.0/8網(wǎng)段的，掩碼長度為網(wǎng)段的，掩碼長度為17或或18的路由通過。的路由通過。 H3C ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18l 上面的掩碼長度上面的掩碼

11、長度8可以看做一個大的范圍，可以看做一個大的范圍，即即10.0.0.0/8；后面的掩碼長度大于；后面的掩碼長度大于17小于小于18則表示一個較小的范圍，因此實際匹配的則表示一個較小的范圍，因此實際匹配的網(wǎng)段為：網(wǎng)段為：10.0.128.0/17或10.0.192.0/1815前綴列表（前綴列表（ip-prefix）配置舉例（二）配置舉例（二）l 實際匹配的掩碼長度范圍實際匹配的掩碼長度范圍817，實際匹配，實際匹配的網(wǎng)段為：的網(wǎng)段為：10.0.0.0/8或10.0.0.0/9或10.0.0.0/16或10.0.128.0/17# 定義一條名稱為定義一條名稱為p1的地址前綴列表，只允許的地址前綴

12、列表，只允許10.0.192.0/8網(wǎng)段的，掩碼長度為小于網(wǎng)段的，掩碼長度為小于17路由通過。路由通過。 H3C ip ip-prefix p1 permit 10.0.192.0 8 less-equal 1716前綴列表（前綴列表（ip-prefix）配置舉例（三）配置舉例（三）l 實際匹配的掩碼長度范圍實際匹配的掩碼長度范圍1832，實際匹配，實際匹配的網(wǎng)段為：的網(wǎng)段為：10.0.192.0/18或10.0.192.0/19或10.0.192.0/31或10.0.192.0/32# 定義一條名稱為定義一條名稱為p1的地址前綴列表，只允許的地址前綴列表，只允許10.0.192.0/8網(wǎng)段的

13、，掩碼長度為大于網(wǎng)段的，掩碼長度為大于18的路由通的路由通過。過。 H3C ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 1817前綴列表（前綴列表（ip-prefix）配置舉例（四）配置舉例（四）l 實際匹配的掩碼長度范圍實際匹配的掩碼長度范圍8，實際匹配的網(wǎng)，實際匹配的網(wǎng)段為：段為：10.0.0.0/8# 定義一條名稱為定義一條名稱為p1的地址前綴列表，只允許的地址前綴列表，只允許10.0.192.0/8網(wǎng)段的路由通過。網(wǎng)段的路由通過。 H3C ip ip-prefix p1 permit 10.0.192.0 8 18利用利用前綴列表

14、實現(xiàn)路由發(fā)布和接收策略（一）前綴列表實現(xiàn)路由發(fā)布和接收策略（一）l 在在BGP視圖下，對視圖下，對BGP鄰居（組）發(fā)布或接收路由鄰居（組）發(fā)布或接收路由時根據(jù)時根據(jù)前綴列表（前綴列表（ip-prefix）規(guī)則進行路由過濾）規(guī)則進行路由過濾peer group-name | peer-address ip-prefix prefixname import | export 從鄰居1.1.1.1只接收10.0.128.0/17或10.0.192.0/18網(wǎng)段的路由（掩碼和前綴必須完全匹配）H3C ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 1

15、7 less-equal 18H3Cbgp 65400H3C-bgppeer 1.1.1.1 ip-prefix p1 import注意：對于單一的BGP鄰居只能對接收的路由（import）進行過濾，對特定的BGP鄰居組則可以對發(fā)布（export）和接收的路由都進行過濾。19利用利用前綴列表實現(xiàn)路由發(fā)布和接收策略（二）前綴列表實現(xiàn)路由發(fā)布和接收策略（二）l 在在BGP/OSPF/RIP/IS-IS視圖下，利用視圖下，利用filter-policy根據(jù)根據(jù)前綴列表（前綴列表（ip-prefix）規(guī)則對發(fā)布或接收的路）規(guī)則對發(fā)布或接收的路由進行過濾由進行過濾只接收來自由前綴列表（ip-prefix

16、）規(guī)則所匹配的特定網(wǎng)關（路由器）的路由filter-policy gateway ip-prefix-name import只發(fā)布或接收由前綴列表（ip-prefix）規(guī)則所匹配的路由filter-policy ip-prefix ip-prefix-name import filter-policy ip-prefix ip-prefix-name export protocol 只接收來自由前綴列表（ip-prefix）規(guī)則所匹配的特定網(wǎng)關（路由器），而且配置一定前綴列表（ip-prefix）規(guī)則的路由filter-policy ip-prefix ip-prefix-name gatew

17、ay ip-prefix-name import20利用利用前綴列表實現(xiàn)路由發(fā)布和接收策略（三）前綴列表實現(xiàn)路由發(fā)布和接收策略（三）只接收來自BGP鄰居10.1.1.1的路由H3C ip ip-prefix p1 permit 10.1.1.1 32 H3Cbgp 65400H3C-bgpfilter-policy gateway p1 import 只發(fā)布和接收10.0.128.0/17或10.0.192.0/18網(wǎng)段的路由H3C ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18H3Cbgp 65400H3C

18、-bgpfilter-policy ip-prefix p1 import H3C-bgpfilter-policy ip-prefix p1 export21利用利用前綴列表實現(xiàn)路由發(fā)布和接收策略（四）前綴列表實現(xiàn)路由發(fā)布和接收策略（四）只接收來自BGP鄰居10.1.1.1，關于10.0.128.0/17或10.0.192.0/18網(wǎng)段的路由H3C ip ip-prefix p1 permit 10.1.1.1 32H3C ip ip-prefix p2 permit 10.0.192.0 8 greater-equal 17 less-equal 18H3Cbgp 65400H3C-bgp

19、filter-policy ip-prefix p2 gateway p1 import22路由策略路由策略l路由策略概述 l訪問控制列表（ACL） l前綴列表（ip-prefix）l自治系統(tǒng)路徑信息訪問列表（as-path list）l團體屬性列表（community-list） lRoute-policy 23自治系統(tǒng)路徑信息訪問列表（自治系統(tǒng)路徑信息訪問列表（as-path list）l AS-path，也就是自治系統(tǒng)路徑信息，是，也就是自治系統(tǒng)路徑信息，是BGP路由的重要路由的重要屬性之一。而自治系統(tǒng)路徑信息訪問列表（屬性之一。而自治系統(tǒng)路徑信息訪問列表（as-path list）則主

20、要利用正則表達式的方式來定義一組用于匹配則主要利用正則表達式的方式來定義一組用于匹配AS-path列表的規(guī)則。列表的規(guī)則。ip as-path-acl aspath-acl-number permit | deny as-regular-expression 正則表達式是按照一定的模板來匹配字符串的公式。 24常見的正則表達式符號常見的正則表達式符號符號符號說明說明匹配一個字符串的開始。如匹配一個字符串的開始。如“200”表示只匹配表示只匹配AS_PATH的第一的第一個值為個值為200（“/b”也可用來表示字符串的開始）也可用來表示字符串的開始）$匹配一個字符串的結束。如匹配一個字符串的結束。

21、如“200$”表示只匹配表示只匹配AS_PATH的最后的最后一個值為一個值為200.匹配任何單個字符，包括空格。但是有些廠商實現(xiàn)的不一樣，匹配任何單個字符，包括空格。但是有些廠商實現(xiàn)的不一樣，比如阿爾卡特的這個字符也可以匹配一個比如阿爾卡特的這個字符也可以匹配一個AS號。號。+匹配前面的一個字符或者一個序列，匹配前面的一個字符或者一個序列，1次或者多次出現(xiàn)。次或者多次出現(xiàn)。_匹配一個符號。如逗號，括號，空格符號等。匹配一個符號。如逗號，括號，空格符號等。*匹配前面的一個字符或者一個序列，可以匹配前面的一個字符或者一個序列，可以0次或者多次出現(xiàn)。次或者多次出現(xiàn)。？匹配前面的一個字符，可以匹配前面

22、的一個字符，可以0次或者多次出現(xiàn)。次或者多次出現(xiàn)。( )匹配的變化的匹配的變化的AS或者一個獨立的匹配，通常和或者一個獨立的匹配，通常和“|”一起使用。一起使用。|邏輯或邏輯或 匹配的一個范圍內(nèi)的匹配的一個范圍內(nèi)的AS，通常和，通常和“-”一起使用一起使用-連接符連接符25正則表達式的用法舉例（一）正則表達式的用法舉例（一）AS70ip as-path-acl 2 deny 70$ （拒絕從（拒絕從AS70始發(fā)的路由）始發(fā)的路由）ip as-path-acl 2 permit .* （允許其他（允許其他AS的路由）的路由）26正則表達式的用法舉例（二）正則表達式的用法舉例（二）AS70AS30

23、OK！ip as-path-acl 2 permit _30 .+ 70$ （接受從（接受從AS70始發(fā)的路由但始發(fā)的路由但是要經(jīng)過是要經(jīng)過AS30） ip as-path-acl 2 permit _30 70$ （有可能（有可能AS30與與AS70直接相連）直接相連）ip as-path-acl 2 deny 70$ （拒絕從（拒絕從AS70始發(fā)的路由）始發(fā)的路由） ip as-path-acl 2 permit .* （允許其他（允許其他AS的路由）的路由） 27問題問題ip as-path-acl 2 permit _30 .+ 70$ ip as-path-acl 2 permit

24、_30 70$ 有必要寫成兩句嗎？有必要寫成兩句嗎？28解答解答實際上寫成一句就可以了實際上寫成一句就可以了ip as-path-acl 2 permit _30（.*） 70$ 29正則表達式的用法舉例（三）正則表達式的用法舉例（三）AS70AS30OK！AS140ip as-path-acl 2 permit _30 .+ (70-9|80-9|90-9|10-30-9|140)$ （接受從（接受從AS70-140始發(fā)的路由但是要經(jīng)過始發(fā)的路由但是要經(jīng)過AS30）ip as-path-acl 2 permit _30 (70-9|80-9|90-9|10-30-9|140)$ （有可能（有

25、可能AS30與與AS70-140直接相連）直接相連）ip as-path-acl 2 deny (70-9|80-9|90-9|10-30-9|140)$ （拒絕從（拒絕從AS70-140始發(fā)的路由）始發(fā)的路由）ip as-path-acl 2 permit .* （允許其他（允許其他AS的路由）的路由） 30問題問題ip as-path-acl 2 permit _30 .+ (70-9|80-9|90-9|10-30-9|140)$ 這條也太長了吧，能簡化？這條也太長了吧，能簡化？31解答解答可以改為可以改為ip as-path-acl 2 permit _30 .+ (7.|8.|9.|

26、10-3.|140)$ (作用與以前的一樣作用與以前的一樣)32利用利用as-path list實現(xiàn)路由發(fā)布和接收策略（一）實現(xiàn)路由發(fā)布和接收策略（一）l 在在BGP視圖下，對視圖下，對BGP鄰居（組）發(fā)布或接收路鄰居（組）發(fā)布或接收路由時根據(jù)自治系統(tǒng)路徑信息訪問列表（由時根據(jù)自治系統(tǒng)路徑信息訪問列表（as-path list）規(guī)則進行路由過濾）規(guī)則進行路由過濾peer group-name | peer-address as-path-acl aspath-acl-number import | export 注意：對于單一的BGP鄰居只能對接收的路由（import）進行過濾，對特定的BGP

27、鄰居組則可以對發(fā)布（export）和接收的路由都進行過濾。33利用利用as-path list實現(xiàn)路由發(fā)布和接收策略實現(xiàn)路由發(fā)布和接收策略（二）（二）AS65400對IBGP鄰居只發(fā)布其他AS的路由；不發(fā)布本地始發(fā)路由H3Cip as-path-acl 100 deny $H3Cip as-path-acl 100 permit .*H3Cbgp 65400H3C-bgpgroup inpeer internalH3C-bgppeer 3.3.3.3 group inpeer H3C-bgppeer inpeer as-path-acl 100 export 34路由策略路由策略l路由策略概述

28、 l訪問控制列表（ACL） l前綴列表（ip-prefix）l自治系統(tǒng)路徑信息訪問列表（as-path list）l團體屬性列表（community-list） lRoute-policy 35團體屬性列表（團體屬性列表（community-list） l 團體屬性是團體屬性是BGP的重要屬性之一，通過定義的重要屬性之一，通過定義團體屬性列表，我們可以很靈活的對一定數(shù)量團體屬性列表，我們可以很靈活的對一定數(shù)量的路由進行操作。的路由進行操作。ip community-list命令則是命令則是用來配置一個用來配置一個BGP團體列表的匹配規(guī)則，以團體列表的匹配規(guī)則，以方便我們對攜帶團體屬性的方便我們

29、對攜帶團體屬性的BGP路由進行過路由進行過濾濾 ip community-list stand-comm-list-number permit | deny aa:nn | internet | no-export-subconfed | no-advertise | no-export ip community-list ext-comm-list-number permit | deny as-regular-expression 36團體屬性列表（團體屬性列表（community-list）參數(shù)介紹）參數(shù)介紹l 團體屬性列表可分為標準以及擴展兩種。團體屬性列表可分為標準以及擴展兩種。l

30、標準團體屬性列表參數(shù)：標準團體屬性列表參數(shù)：aa:nn ：團體號，aa一般為自治系統(tǒng)號，nn為賦值internet ：通告所有路由。（缺省屬性）no-export-subconfed：不向本地自治系統(tǒng)外發(fā)送匹配路由 no-advertise：為不向任何同伴發(fā)送匹配路由 no-export：不向自治系統(tǒng)外部通告路由，但發(fā)布給其它子自治系統(tǒng) l 擴展團體屬性列表參數(shù)：擴展團體屬性列表參數(shù)：as-regular-expression：正則表達式格式的團體屬性 （以正則表達式進行團體屬性值的匹配）37團體屬性列表配置舉例團體屬性列表配置舉例# 定義一個團體屬性列表，匹配團體號定義一個團體屬性列表，匹配

31、團體號65400:10H3Cip community-list 1 permit 65400:10 # 定義一個團體屬性列表，匹配團體號定義一個團體屬性列表，匹配團體號65400:10，不向本地自治系統(tǒng)外通告具有該，不向本地自治系統(tǒng)外通告具有該團體屬性的路由團體屬性的路由 H3Cip community-list 1 permit 65400:10 no-export-subconfed38利用團體屬性列表實現(xiàn)路由發(fā)布和接收策略利用團體屬性列表實現(xiàn)路由發(fā)布和接收策略l 在在BGP鄰居進行接收和發(fā)布路由過濾時，團鄰居進行接收和發(fā)布路由過濾時，團體屬性列表不能像前面介紹的訪問控制列表，體屬性列表不

32、能像前面介紹的訪問控制列表，前綴列表和前綴列表和as-path list一樣單獨使用，而必一樣單獨使用，而必須和須和Route-policy一起使用（作為一起使用（作為Route-policy中的匹配條件）中的匹配條件）l 對特定的對特定的BGP路由賦予團體屬性值，也是路由賦予團體屬性值，也是Route-policy的動作之一。的動作之一。39路由策略路由策略l路由策略概述 l訪問控制列表（ACL） l前綴列表（ip-prefix）l自治系統(tǒng)路徑信息訪問列表（as-path list）l團體屬性列表（community-list） lRoute-policy 40Route-policyl R

33、oute-policy是最強大的路由策略工具，前面是最強大的路由策略工具，前面介紹的訪問控制列表，前綴列表，介紹的訪問控制列表，前綴列表，as-path list和團體屬性列表都可以作為和團體屬性列表都可以作為Route-policy的匹的匹配規(guī)則，以實現(xiàn)靈活的路由匹配和過濾配規(guī)則，以實現(xiàn)靈活的路由匹配和過濾l Route-policy不僅可以實現(xiàn)路由的過濾不僅可以實現(xiàn)路由的過濾（permit or deny），還可以對符合規(guī)則的路），還可以對符合規(guī)則的路由增加或修改相關的路由屬性。由增加或修改相關的路由屬性。l Route-policy可以用于在接收和發(fā)布路由時的可以用于在接收和發(fā)布路由時的

34、路由策略，同時也是唯一的可用于路由引入時路由策略，同時也是唯一的可用于路由引入時的路由策略工具。的路由策略工具。41配置配置Route-policyl 定義定義Route-policy節(jié)點并進入節(jié)點并進入Route-policy 視圖：視圖：route-policy route-policy-name permit | deny node node-number 一個routing policy下可以有多個節(jié)點，不同的節(jié)點號用node-number進行標識，不同node-number各個部分之間的關系是“或”的關系每個節(jié)點下可以有多個if-match和apply子句，if-match子句之間是

35、“與”的關系允許模式：允許模式：當路由項滿足該節(jié)點的所有if-match子句時被允許通過該節(jié)點的過濾并執(zhí)行該節(jié)點的apply子句，如路由項不滿足該節(jié)點的if-match子句，該路由策略的下一個節(jié)點將被測試拒絕模式：拒絕模式：當路由項滿足該節(jié)點的所有if-match子句時被拒絕通過該節(jié)點的過濾，并且不會進行下一個節(jié)點的測試42Route-policy的執(zhí)行規(guī)則的執(zhí)行規(guī)則Route-policyAnode10node20node30Match att1Match att2Match att3Match att4Match att5Match att6根據(jù)node10的apply子句進行屬性設置根據(jù)

36、node20的apply子句進行屬性設置根據(jù)node30的apply子句進行屬性設置通過node10的if-match子句通過node20的if-match子句通過node30的if-match子句通過Route-policy A通過Route-policy A通過Route-policy A通不過Route-policy AYNNNYY43Route-policy用于路由策略的用于路由策略的if-match子句子句操作操作命令命令匹配匹配BGP路由信息的路由信息的AS路徑域路徑域if-match as-path acl-number匹配匹配BGP路由信息的團體屬性路由信息的團體屬性if-ma

37、tch community standard-community-number whole-match | extended-community-number 匹配路由信息的目的地址匹配路由信息的目的地址if-match acl acl-number | ip-prefix ip-prefix-name 匹配路由信息下一跳接口匹配路由信息下一跳接口if-match interface interface-type number 匹配路由信息的下一跳匹配路由信息的下一跳if-match ip next-hop acl acl-number | ip-prefix ip-prefix-name 匹

38、配路由信息的路由權值匹配路由信息的路由權值if-match cost value匹配匹配OSPF路由信息的標記域路由信息的標記域if-match tag value44Route-policy用于路由策略的用于路由策略的apply子句子句操作操作命令命令在在BGP路由信息的路由信息的as-path系列前系列前加入指定的加入指定的AS號號apply as-path as-number-1 as-number-2 as-number-3 . 在在BGP路由信息中設置團體屬性路由信息中設置團體屬性apply community aa:nn | no-export-subconfed | no-adv

39、ertise | no-export additive | additive | none 設置路由信息的下一跳地址設置路由信息的下一跳地址apply ip-address default next-hop ip-address ip-address | acl acl-number 設置引入路由到設置引入路由到IS-IS的級別：的級別：level-1、level-2還是還是level-1-2apply isis level-1 | level-2 | level-1-2 設置設置BGP路由信息的本地優(yōu)先級路由信息的本地優(yōu)先級apply local-preference localpref設置

40、路由信息的路由權值設置路由信息的路由權值apply cost value設置路由信息的路由權類型設置路由信息的路由權類型apply cost-type internal | external 設置設置BGP路由信息的路由源路由信息的路由源apply origin igp | egp as-number | incomplete 設置設置OSPF路由信息的標記域路由信息的標記域apply tag value45利用利用Route-policy實現(xiàn)路由發(fā)布和接收策略（一）實現(xiàn)路由發(fā)布和接收策略（一）l 在在BGP視圖下，對視圖下，對BGP鄰居（組）發(fā)布或接收路鄰居（組）發(fā)布或接收路由時根據(jù)由時根據(jù)

41、Route-policy規(guī)則進行路由過濾規(guī)則進行路由過濾peer group-name | peer-address route-policy route-policy-name import | export 注意：對于單一的BGP鄰居只能對接收的路由（import）進行過濾，對特定的BGP鄰居組則可以對發(fā)布（export）和接收的路由都進行過濾。46利用利用Route-policy實現(xiàn)路由發(fā)布和接收策略（二）實現(xiàn)路由發(fā)布和接收策略（二）AS65400對EBGP鄰居僅僅發(fā)布團體屬性為65400:10的路由，并修改其MED值為77；不發(fā)布其他路由H3Cip community-list 1 p

42、ermit 65400:10H3Croute-policy out permit node 10H3C-route-policyif-match community 1H3C-route-policyapply cost 77H3Cbgp 65400H3C-bgpgroup expeer externalH3C-bgppeer 202.4.1.1 group expeer as-number 65411H3C-bgppeer expeer route-policy out export47問題問題如果上面例子中的要求改為如果上面例子中的要求改為“對對EBGP鄰居發(fā)布路由時將團體屬性為鄰居發(fā)布路

43、由時將團體屬性為65400:10的路由的的路由的MED值修改為值修改為77；對于其；對于其他路由不作修改他路由不作修改”怎么辦怎么辦？48解答解答很簡單，在定義很簡單，在定義Route-policy的時候的時候加上一個空的節(jié)點加上一個空的節(jié)點node 20就可以了：就可以了：H3Croute-policy out permit node 2049利用利用Route-policy實現(xiàn)路由引入時的策略（一）實現(xiàn)路由引入時的策略（一）l 在進行路由引入時實現(xiàn)路由策略，在不同路在進行路由引入時實現(xiàn)路由策略，在不同路由協(xié)議中參數(shù)也有所不同：由協(xié)議中參數(shù)也有所不同：RIP：import-route pro

44、tocol allow-ibgp cost value route-policy route-policy-name OSPF：import-route protocol allow-ibgp cost value type value tag value route-policy route-policy-name BGP：import-route protocol med med-value route-policy route-policy-name network ip-address address-mask route-policy route-policy-name 50利用利用

45、Route-policy實現(xiàn)路由引入時的策略（二）實現(xiàn)路由引入時的策略（二）AS65400在BGP中network本地直連路由網(wǎng)段10.1.1.0/24時對路由打上團體屬性值65400:10，引入OSPF路由時對其中的10.1.2.0/24網(wǎng)段打上團體屬性65400:20 no-export-subconfed，不向自治系統(tǒng)之外進行通告H3Cacl number 2000H3C-acl-basic-2000rule permit source 10.1.2.0 0.0.0.255H3C-acl-basic-2000rule deny source anyH3Croute-policy setc

46、om-1 permit node 10H3C-route-policyapply community 65400:10H3Croute-policy setcom-2 permit node 10H3C-route-policyif-match acl 2000H3C-route-policyapply community 65400:20 no-export-subconfedH3C-route-policyroute-policy setcom-2 permit node 20 H3Cbgp 65400H3C-bgpnetwork 10.1.1.0 255.255.255.0 route-

47、policy setcom-1H3C-bgpimport-route ospf route-policy setcom-2 51小結：路由策略的選擇小結：路由策略的選擇匹配IP地址匹配AS-PATH匹配團體屬性路由接收IP Prefix，ACL， IP Prefix Gateway，route-policy（IP Prefix，ACL）AS-path list，route-policy（AS-path list ）route-policy（community-list）路由發(fā)布IP Prefix，ACL， route-policy（IP Prefix，ACL）AS-path list，rout

48、e-policy（AS-path list ）route-policy（community-list）路由引入route-policy（IP Prefix，ACL）route-policy（AS-path list ）route-policy（community-list）n 路由策略路由策略n 策略路由策略路由目錄目錄53IP策略路由策略路由l 什么是策略路由？什么是策略路由？與單純依照IP報文的目的地址查找路由表進行轉發(fā)不同，策略路由是一種依據(jù)用戶制定的策略進行路由選擇的機制。 l 路由策略和策略路由路由策略和策略路由路由策略路由策略的操作對象是“路由路由”信息，主要通過對路由的過濾和對路

49、由屬性或參數(shù)的設置來間接間接影響數(shù)據(jù)轉發(fā)。策略路由策略路由的操作對象是“數(shù)據(jù)包數(shù)據(jù)包”，主要通過設定的策略直接指導數(shù)據(jù)的轉發(fā)。54兩種兩種IP策略路由策略路由l IP策略路由通常分為兩種：策略路由通常分為兩種：IP單播策略路由IP組播策略路由l 不管是單播還是組播策略路由配置需要做兩方面不管是單播還是組播策略路由配置需要做兩方面的工作，一是定義那些需要使用策略路由的報文，的工作，一是定義那些需要使用策略路由的報文，二是為這些報文指定路由，和路由策略一樣，這二是為這些報文指定路由，和路由策略一樣，這可以通過對一個可以通過對一個Route-policy的定義來實現(xiàn)。的定義來實現(xiàn)。 if-match

50、子句定義了那些需要使用策略路由的報文 當報文滿足route-policy中的if-match子句時，則執(zhí)行策略中的apply子句，以完成報文的轉發(fā) 55IP單播策略路由單播策略路由l IP單播策略路由可以分為接口策略路由和本單播策略路由可以分為接口策略路由和本地策略路由兩種：地策略路由兩種：接口策略路由：接口策略路由：在接口視圖下配置（應用于報文到達的接口上），作用于到達該接口的報文本地策略路由：本地策略路由：在系統(tǒng)視圖下配置，對本機產(chǎn)生的報文進行策略路由。 策略路由可應用于安全、負載分擔等目的。對于一般轉發(fā)和安全等方面的使用需求，大多數(shù)情況下使用的是接口策略路由！56IP單播策略路由的配置單

51、播策略路由的配置 l 創(chuàng)建策略創(chuàng)建策略Route-policyl 定義定義Route-policy的的if-match子句子句l 定義定義Route-policy的的apply子句子句l 使能使能/禁止本地策略路由禁止本地策略路由l 使能使能/禁止接口策略路由禁止接口策略路由 57用于用于IP單播策略路由的單播策略路由的if-match子句子句l IP單播策略路由提供兩種單播策略路由提供兩種if-match子句，子句，if-match packet-length子句和子句和if-match acl子句。一條策略子句。一條策略中可以包含多條中可以包含多條if-match子句，多條子句，多條if-

52、match子子句可以組合使用。句可以組合使用。 操作操作命令命令設置設置IP報文長報文長度匹配條件度匹配條件if-match packet-length min-len max-len設置設置IP地址匹地址匹配條件配條件if-match acl acl-number58用于用于IP單播策略路由的單播策略路由的apply子句子句操作操作命令命令設置報文的優(yōu)先級設置報文的優(yōu)先級apply ip-precedence precedence設置報文的發(fā)送接設置報文的發(fā)送接口口apply output-interface interface-type interface-number . interfa

53、ce-type interface-number 設置報文的下一跳設置報文的下一跳apply ip-address next-hop ip-address . ip address 設置報文缺省發(fā)送設置報文缺省發(fā)送接口接口apply default output-interface interface-type interface-number . interface-type interface-number 設置報文缺省下一設置報文缺省下一跳跳apply ip-address default next-hop ip-address . ip address 59接口策略路由和本地策略路由接

54、口策略路由和本地策略路由l 配置接口策略路由配置接口策略路由操作操作命令命令使能接口策略使能接口策略路由路由ip policy route-policy policy-name操作操作命令命令使能本地策略使能本地策略路由路由ip local policy route-policy policy-namel 配置本地策略路由配置本地策略路由60IP單播策略路由的配置舉例（一）單播策略路由的配置舉例（一）S1/0S1/1E0/0TCP10.1.1.0/24從接口E0/0進入路由器的去往10.1.1.0/24的TCP報文強制走S1/0，對于其他的報文不作策略路由的控制H3Cacl number 30

55、01H3C-acl-adv-3001rule permit tcp destination 10.1.1.0 0.0.0.255H3Croute-policy a1 permit node 10H3C-route-policyif-match acl 3001H3C-route-policyapply output-interface Serial 1/0H3C-route-policyroute-policy a1 permit node 20H3Cinterface Ethernet 0/0H3C-Ethernet0/0ip policy route-policy a161問題問題在上面例

56、子中如果要求實現(xiàn)去往在上面例子中如果要求實現(xiàn)去往10.1.1.0/24的的TCP報文在報文在S1/0和和S1/1端端口上的負載分擔，應該如何配置？口上的負載分擔，應該如何配置？62解答解答很簡單，在定義很簡單，在定義Route-policy的的apply子句的時候加上一個新的接口子句的時候加上一個新的接口就可以了就可以了H3C-route-policyapply output-interface Serial 1/0 Serial 1/1在使用策略路由時，用戶可指定多個下一跳或者設置多個出接口，此時，報文的轉發(fā)將在多個合法參數(shù)中負載分擔，即輪流在每一個下一跳或者出接口上發(fā)送一個報文。以上敘述只

57、對于同種配置的多個參數(shù)有效，如果同時配置了出接口和下一跳，僅在出接口的設置中進行負載分擔。 63IP單播策略路由的配置舉例（二）單播策略路由的配置舉例（二）從接口E0/0進入路由器的64100字節(jié)的報文設置150.1.1.2作為下一轉發(fā)IP地址，大小為1011000字節(jié)的報文設置151.1.1.2作為下一轉發(fā)IP地址。所有其它長度的報文都按基于目的地址的路由方法路由。S1/0S1/1E0/0150.1.1.2151.1.1.2H3Croute-policy a1 permit node 10H3C-route-policyif-match packet-length 64 100H3C-route-policyapply ip-address next-hop 150.1.1.2 H3C-route-policyroute-policy a1 permit node 20H3C-rout