11路由策略配置文档格式.docx
- 文档编号:297372
- 上传时间:2023-04-28
- 格式:DOCX
- 页数:46
- 大小:127.88KB
11路由策略配置文档格式.docx
《11路由策略配置文档格式.docx》由会员分享,可在线阅读,更多相关《11路由策略配置文档格式.docx(46页珍藏版)》请在冰点文库上搜索。
本节介绍配置路由策略所需要理解的知识,具体包括:
●路由策略
●路由策略与策略路由的区别
●过滤器
●路由策略的应用
●FRR原理
●路由表
10.1.1路由策略
路由策略
路由策略(RoutingPolicy)是为了改变网络流量所经过的途径而对路由信息采用的方法。
主要通过改变路由属性(包括可达性)来实现。
路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤。
例如:
●只接收或发布一部分满足条件的路由信息;
●一种路由协议(如RIPng)可能需要引入其它路由协议发现的路由信息,从而丰富自己的路由知识;
路由器在引入其它路由协议的路由信息时,可能需要只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置,以使其满足本协议的要求。
为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则,可以用路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。
匹配规则可以预先设置好,然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。
路由策略与策略路由的区别
策略路由PBR(PolicyBasedRouting)与单纯依照IP报文的目的地址查找路由表进行转发不同,是在路由表查找之前的IP转发流程。
PBR支持基于到达报文的源地址、报文长度等信息,依据用户制定的策略进行路由选择,可应用于安全、负载分担等目的。
路由策略与策略路由是两种不同的机制,主要区别如表10-1。
表10-1路由策略与策略路由的区别
策略路由
基于目的地址按路由表转发
基于策略的转发,失败后再查找路由表转发
基于控制平面,为路由协议和路由表服务
基于转发平面,为转发策略服务
与路由协议结合完成策略
需要手工逐跳配置,以保证报文按策略转发
应用命令route-policy
应用命令policy-based-route
10.1.2过滤器
在VRP中,提供了访问控制列表、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器、RD属性过滤器和Route-Policy几种过滤器供路由协议引用。
下面对各种过滤器逐个进行介绍。
访问控制列表ACL
访问控制列表包括针对IPv4报文的ACL(AccessControlList),和针对IPv6报文的ACL6。
用户在定义ACL时可以指定IP地址和子网范围用于匹配路由信息的目的网段地址或下一跳地址。
ACL和ACL6的有关配置请参见《VRP配置指南IP业务》中的描述。
地址前缀列表(ip-prefixlist)
地址前缀列表包括IPv4地址前缀列表和IPv6地址前缀列表,作用比较灵活。
一个地址前缀列表由前缀列表名标识。
每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号来标识,索引号指明了进行匹配检查的顺序。
在匹配的过程中,路由器按升序依次检查由index-number标识的各个表项。
只要有某一表项满足条件,就意味着本次匹配过程结束,而不再进行下一个表项的匹配。
AS路径过滤器(as-path-filter)
BGP的路由信息中,包含一个自治系统路径域。
as-path-filter就是针对自治系统路径域指定匹配条件。
团体属性过滤器(community-filter)
团体属性过滤器仅用于BGP。
BGP的路由信息中,包含一个community属性域,用来标识一个团体。
community-filter就是针对团体属性域指定匹配条件。
扩展团体属性过滤器(extcommunity-filter)
扩展团体属性过滤器仅用于BGP。
BGP的扩展团体有两种,一种是用于VPN的RT(Route-Target)扩展团体,另一种则是SOO(SourceofOrigin)扩展团体。
扩展团体属性过滤器就是针对这两种扩展团体属性指定匹配条件。
VRP目前版本可以实现对RT扩展团体属性的匹配,但不能识别SOO扩展团体属性。
RD属性过滤器(routedistinguisher-filter)
VPN实例通过路由标识符RD(RouteDistinguisher)实现地址空间独立,区分使用相同地址空间的IPv4前缀。
RD属性过滤器针对不同RD指定匹配条件。
RD属性过滤器的配置请参见《VRP配置指南VPN》中的描述。
Route-Policy
Route-Policy是一种比较复杂的过滤器,它不仅可以匹配给定路由信息的某些属性,还可以在条件满足时改变路由信息的属性。
Route-Policy可以使用前面几种过滤器定义自己的匹配规则。
一个Route-Policy可以由多个节点(node)构成,不同节点之间是“或”的关系。
系统按节点序号依次检查各个节点,如果通过了其中一节点,就意味着通过该策略,不再对其他节点进行匹配。
每个节点可以由一组if-match和apply子句组成。
if-match子句定义匹配规则,匹配对象是路由信息的一些属性。
同一节点中的不同if-match子句是“与”的关系,只有满足节点内所有if-match子句指定的匹配条件,才能通过该节点的匹配。
apply子句指定动作,也就是在通过节点的匹配后,对路由信息的一些属性进行设置。
10.1.3路由策略的应用
路由策略主要有两种应用方式:
●路由协议在引入其它路由协议发现的路由时,通过应用路由过滤器只引入满足条件的路由信息。
●路由协议在发布或接收本路由协议发现的路由时,通过应用路由过滤器对信息进行过滤,只接收或发布满足给定条件的路由信息。
各协议路由策略应用的具体配置请参考相关的路由协议配置。
10.1.4FRR原理
在传统的IP网络中,从路由器等转发设备检测到底层链路故障的时候到路由系统完成路由收敛(重新选择了一条可用的路由)之间,要经历几秒钟的时间。
对于网络中某些对延时、丢包等非常敏感的业务来说,秒级的收敛时间是不能忍受的,这将导致当前业务的中断。
比如VoIP业务,它所能容忍的网络中断时间最大为50ms左右。
因此,如果要保证链路出现故障的情况下,此类业务不会受到严重影响,必须保证转发系统能够快速地对于这种故障进行检测并采取措施,尽快地恢复受影响的业务流。
FRR(FastReRoute)是指当物理层或链路层检测到故障时将此消息上报上层路由系统,同时立即开始采取措施,使用一条备份的链路将报文转发出去,从而将链路故障对于承载业务的影响降低到最小限度。
根据应用的位置不同,FRR可以分为IPFRR和VPNFRR。
其中IPFRR又分为公网IPFRR和私网IPFRR。
●公网IPFRR:
用于保护公网路由器
●私网IPFRR:
用于保护CE路由器
●VPNFRR:
用于保护PE路由器
私网IPFRR和VPNFRR的配置请参见《VRP配置指南VPN》中的描述。
VRP的FRR功能可以为直连路由、静态路由、动态路由(RIP、OSPF、IS-IS、BGP)提供备份。
IPFRR支持直连路由特性主要针对与UMG8900设备联合使用时,为直连路由提供备份。
10.1.5路由表
每台路由器中都保存着一张本地核心(管理)路由表,同时各个路由协议也维护着自己的路由表。
●协议路由表
协议路由表中存放着该协议发现的路由。
当运行某一种路由协议的路由器需要通告其它方式发现的路由。
例如,在路由器上运行OSPF协议,如果需要使用OSPF协议通告直连路由、静态路由、或者IS-IS路由,就需要将这些路由引入到OSPF协议的路由表中。
●本地核心路由表
路由器使用本地核心路由表进行转发。
这张路由表依据各种路由协议的优先级和度量值来选取路由。
对于支持L3VPN的路由器,每一个VPN-Instance拥有一个自己的管理路由表。
●本节只描述地址前缀列表的配置。
●AS路径过滤器、团体属性过滤器及扩展团体属性过滤器的配置请参见“08BGP配置”。
10.2.1建立配置任务
应用环境
在应用路由策略之前,必须先设置好匹配规则,即过滤器。
地址前缀列表的作用类似ACL,比较灵活。
地址前缀列表在应用于路由信息的过滤时,其匹配对象为路由信息的目的地址域。
前置任务
无
数据准备
在配置地址前缀列表之前,根据情况需要准备以下数据。
序号
数据
1
地址前缀列表名称
2
匹配的地址范围
配置过程
要完成配置地址前缀列表的任务,需要选择执行如下的配置过程。
过程
配置IPv4地址前缀列表
配置IPv6地址前缀列表
3
检查配置结果
10.2.2配置IPv4地址前缀列表
请在需要应用地址前缀列表的路由器上进行如下配置。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令ipip-prefixip-prefix-name[indexindex-number]{permit|deny}ip-addressmask-length[greater-equalgreater-equal-value][less-equalless-equal-value],配置IPv4地址前缀列表。
----结束
掩码长度范围可以表示为mask-length<
=greater-equal-value<
=less-equal-value<
=32。
如果只指定了greater-equal,前缀范围为[greater-equal-value,32];
如果只指定了less-equal,前缀范围为[mask-length,less-equal-value]。
IPv4地址前缀列表由列表名标识,每个前缀列表可以包含多个表项。
各表项可以独立指定一个网络前缀形式的匹配范围,并使用索引号标识。
比如下面这个名称为abcd的IPv4地址前缀列表:
#
ipip-prefixabcdindex10permit1.0.0.08
ipip-prefixabcdindex20permit2.0.0.08
在匹配过程中,系统按索引号升序依次检查各个表项,只要有一个表项满足条件,就认为通过该过滤列表,不再去匹配其他表项。
VRP5.30默认所有未匹配的路由将被拒绝通过过滤列表。
如果所有表项都配置成deny模式,则任何路由都不能通过该过滤列表。
因此,需要在多条deny模式的表项后定义一条permit0.0.0.00less-equal32表项,允许其它所有IPv4路由信息通过。
如果定义了一个以上的前缀列表表项,则至少应该有一个表项的匹配模式为permit模式。
10.2.3配置IPv6地址前缀列表
步骤2执行命令ipipv6-prefixipv6-prefix-name[indexindex-number]{permit|deny}ipv6-addressprefix-length[greater-equalgreater-equal-value][less-equalless-equal-value],配置IPv6地址前缀列表。
IPv6地址前缀列表由列表名标识,每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号标识。
比如下面这个名称为abcd的IPv6地址前缀列表:
ipipv6-prefixabcdindex10permit1:
:
64
ipipv6-prefixabcdindex20permit2:
在匹配的过程中,系统按索引号升序依次检查各个表项,只要有某一表项满足条件,就认为通过该过滤列表,不再去匹配其他表项。
因此,需要在多条deny模式的表项后定义一条permit:
0less-equal128的表项,以允许其它所有IPv6路由信息通过。
如果定义了一个以上的前缀列表表项,则至少应该有一个表项的匹配模式是permit模式。
10.2.4检查配置结果
完成上述配置后,请执行下面的命令检查配置结果。
操作
命令
查看IPv4地址前缀列表信息
displayipip-prefix[ip-prefix-name]
查看IPv6地址前缀列表信息
displayipipv6-prefix[ipv6-prefix-name]
执行命令displayipip-prefixp1命令,可以看到名称为p1的地址前缀列表的相关信息。
<
Quidway>
displayipip-prefixp1
Prefix-listpl
Permitted5
Denied2
index:
10permit192.168.0.0/16ge17le18
10.3.1建立配置任务
Route-Policy用来匹配给定的路由信息或者路由信息的某些属性,并在条件满足时改变这些路由信息的属性。
匹配条件可以使用前面几种过滤器。
一个Route-Policy可由多个节点构成,每个节点又分为:
●If-match子句:
定义匹配规则,即路由信息通过当前Route-Policy所需满足的条件,匹配对象是路由信息的某些属性。
●Apply子句:
指定动作,也就是在满足由if-match子句指定的过滤条件后所执行的一些配置命令,对路由的一些属性进行修改。
在配置Route-Policy之前,需完成以下任务。
●配置地址前缀列表
●配置路由协议
在配置Route-Policy之前,需要准备以下数据。
Route-Policy的名称、节点序号
匹配条件
要修改的路由属性值
要完成配置Route-Policy的任务,需要执行如下的配置过程。
创建Route-Policy
配置If-match子句(可选)
配置Apply子句(可选)
4
检查配置结果(可选)
10.3.2创建Route-Policy
请在需要应用Route-Policy的路由器上进行如下配置。
步骤2执行命令route-policyroute-policy-name{permit|deny}nodenode,创建Route-Policy的节点,并进入Route-Policy视图。
permit指定节点的匹配模式为允许。
当路由项通过该节点的过滤后,将执行该节点的apply子句,不进入下一个节点的测试;
如果路由项没有通过该节点过滤,将进入下一个节点继续测试。
deny指定节点的匹配模式为拒绝,这时apply子句不会被执行。
当路由项满足该节点的所有if-match子句时,将被拒绝通过该节点,不进入下一个节点;
如果路由项不满足该节点的if-match子句,将进入下一个节点继续测试。
如果Route-Policy中定义了一个以上的节点,则各节点中至少应该有一个节点的匹配模式是permit。
当Route-Policy用于路由信息过滤时,如果某路由信息没有通过任一节点,则认为该路由信息没有通过该Route-Policy。
如果Route-Policy的所有节点都是deny模式,则没有路由信息能通过该Route-Policy。
10.3.3配置If-match子句
步骤2执行命令route-policyroute-policy-name{permit|deny}nodenode,进入Route-Policy视图。
步骤3选择执行下列命令,配置Route-Policy中的If-match子句。
●匹配ACL:
if-matchaclacl-number
●匹配路由信息的路由权值:
if-matchcostcost
●匹配路由信息的出接口:
if-matchinterfaceinterface-typeinterface-number
●匹配IPv4的路由信息(下一跳或源地址):
if-matchip{next-hop|route-source}{aclacl-number|ip-prefixip-prefix-name}
●匹配地址前缀列表:
if-matchip-prefixip-prefix-name
对于同一个Route-Policy节点,命令if-matchacl和命令if-matchip-prefix不能同时配置,后配置的命令会覆盖先配置的命令。
●匹配IPv6的路由信息:
if-matchipv6{address|next-hop|route-source}prefix-listipv6-prefix-name
●匹配路由信息的类型
−匹配OSPF各类型路由信息:
if-matchroute-type{external-type1|external-type1or2|external-type2|internal|nssa-external-type1|nssa-external-type1or2|nssa-external-type2}
−匹配IS-IS各level路由信息:
if-matchroute-type{is-is-level-1|is-is-level-2}
●匹配OSPF路由信息的标记域:
if-matchtagtag
步骤3中各命令之间无顺序关系。
在一个节点中,可以没有if-math子句,也可以有多个if-match子句。
●对于同一个Route-Policy节点,在匹配的过程中,各个if-match子句间是“与”的关系,即路由信息必须同时满足所有匹配条件,才可以执行apply子句的动作。
但命令if-matchroute-type和if-matchinterface除外,这两个命令的各自if-match子句间是“或”的关系,与其它命令的if-match子句间仍是“与”的关系。
●如不指定if-match子句,则所有路由信息都会通过该节点的过滤。
10.3.4配置Apply子句
步骤3选择执行下列命令,配置Route-Policy中的apply子句。
●设置备份出接口:
applybackup-interfaceinterface-typeinterface-number
●设置备份下一跳:
applybackup-nexthop{ip-address|auto}
●设置路由信息的开销值:
applycost[+|-]cost
●设置路由信息的开销类型
−设置IS-IS的开销类型:
applycost-type{external|internal}
−设置OSPF的开销类型:
applycost-type{type-1|type-2}
●设置IPv4路由信息的下一跳地址:
applyip-addressnext-hopipv4-address
●设置IPv6路由信息的下一跳地址:
applyipv6next-hopipv6-address
●设置IS-IS的路由级别:
applyisis{level-1|level-1-2|level-2}
●设置OSPF路由信息的区域:
applyospf{backbone|stub-area}
●设置路由协议的优先级:
applypreferencepreference
●设置路由信息的标记域:
applytagtag
步骤3各命令之间没有顺序关系。
10.3.5检查配置结果
查看Route-Policy
displayroute-policy[route-policy-name]
10.4.1建立配置任务
在定义了路由策略相关的过滤器(地址前缀列表、ACL、Route-Policy等)后,需要在协议中引入这些过滤器。
路由过滤器通常应用在下面几种情况:
●对接收和发布的路由进行过滤
应用各协议中的filter-policy命令引用ACL和地址前缀列表,对接收和发布的路由进行过滤,仅接收或发布满足条件的部分路由。
−过滤接收路由:
fiter-policyimport
−过滤发布路由:
fiter-policyexport
对于距离矢量协议和链路状态协议,filter-policy命令的操作过程是不同的:
−距离矢量协议
距离矢量协议是基于路由表生成路由的。
因此过滤器会影响从邻居接收的路由和向邻居发布的路由。
−链路状态协议
链路状态路由协议是基于链路状态数据库来生成路由的,filter-policy不影响链路状态通告或链路状态数据库的完整性,因此在接收和发布时的影响是不同的。
在接收路由时,filter-policy只能决定哪些路由从协议路由表安装到本地核心路由表,即只影响本地核心路由表,不影响协议路由表;
在发布路由时,filter-policy可以用来控制是否发布协议引入路由(如引入的RIP路由),但不影响向其他路由器发布的链路状态通告。
●引入外部路由时应用策略
−应用各协议中的import-route命令,在各个协议中引入所需的外部路由,同时可以使用Rout
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 11 路由 策略 配置