通过配置策略路由,可以用于提高网络的安全性能和负载分担。
策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制。
策略路由与路由策略(Routing Policy)存在以下不同:
策略路由的操作对象是数据包。
在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。
路由策略的操作对象是路由信息。
路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。
策略路由具有如下优点:
可以根据用户实际需求制定策略进行路由选择,增强路由选择的灵活性和可控性。
可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。
在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务的成本。
一、配置策略路由
配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。
通过配置重定向,设备将符合流分类规则的报文重定向到指定的下一跳地址。
包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。
华为AR系列支持三种策略路由:
1、本地策略路由
本地策略路由是指仅对本地发送的报文有效的策略路由,对转发的报文不起作用。
一条本地策略路由可以配置多个策略点,并且这些策略的具有不同的优先级,本机发送的报文优先匹配优先级高的策略点。
本地策略路由支持acl或报文长度匹配规则。
本地路由策略会根据本地策略路由节点的优先级依次匹配各个节点绑定的匹配规则发送报文,如果没有找到本地策略路由节点,则按照IP报文的一般流程根据目的地址查找路由。
本地策略路由节点优先级顺序为(高到低):报文优先级-出接口-下一跳-缺省出接口。
2、接口策略路由
仅对转发的报文生效,对本地发送的报文不起作用,且只对接口入方向的报文生效。
接口策略路由是通过在流行为中配置重定向实现的。
3、智能策略路由(SPR)
此功能需要购买华为license授权。
智能策略路由是基于业务需求的策略路由,通过匹配链路质量和网络业务对链路质量的需求,实现智能选路。
产生背景
智能策略路由SPR(Smart Policy Routing)可以主动探测链路质量并匹配业务的需求,从而选择一条最优链路转发业务数据,可以有效的避免网络黑洞、网络震荡等问题。
1、业务区分
SPR支持通过以下属性对业务进行区分:
根据协议类型区分:IP,TCP,UDP,GRE,IGMP,IPINIP,OSPF,ICMP。
根据报文应用区分:DSCP,TOS,IP Precedence,Fragment,VPN,TCP-flag。
根据报文信息区分:Source IP Address,Destination IP Address,Protocol,Source Port,Destination Port,Source IP Prefix,Destination IP Prefix。
不同的业务对链路的时延D(Delay)、抖动时间J(Jitter)、丢包率L(Loss)以及综合度量指标CMI(Composite Measure Indicator)有不同的要求,如果业务对链路的某一项质量参数没有要求,就不需要配置该参数的阈值。
2、探测链路和链路组
探测链路是SPR实现智能选路的基础,每个探测链路都有一个与之相对应的探针,即NQA(Network Quality Analysis)测试例。如果测试失败,则表示对应的探测链路不可用。探测链路通过探针获取链路参数的质量,SPR根据探测链路的链路质量匹配业务需求,从而实现智能选路的需求。
SPR不直接使用探测链路,而是通过链路组的形式使用探测链路。一个探测链路可以加入不同的链路组,同时一个链路组中可以有一条或多条探测链路。
SPR的链路角色分为:主用链路组、备用链路组和逃生链路。SPR中业务无法从主用链路组和备用链路组中找到合适的链路传输数据时可以启用逃生链路。
同一个链路组可以被不同的业务绑定,如链路组1可以作为业务1的主用链路组,同时也可以作为业务2的备用链路组。
3、业务选路
SPR根据NQA探测结果进行业务选路。
在业务选路时,如果当前链路上已经部属了业务,则该链路的选择指数将降低,即选择的机率变小,这样宏观上可以达到负载均衡的效果。
4、切换周期
SPR中切换周期计时器主要用于链路质量不满足业务需求时控制链路切换。
SPR根据NQA探测结果判断链路是否满足业务需求,SPR会定期获取NQA的探测结果,如果某次获取的NQA探测结果不满足业务需求,则切换周期计时器开始计时。
在开始计时后切换周期到达之前,如果某次获取的探测结果满足了业务需求,则切换周期计时器清零,直到下次获取到不满足业务需求的探测结果时会再次开始计时。如果计时器开始计时后,在切换周期内获取到的探测结果都不能满足业务需求,则SPR切换链路。
5、振荡抑制周期
某些情况下,网络会出现时好时坏的情况,从而导致SPR频繁切换链路,严重影响业务体验。SPR的抑制振荡功能可以有效的避免此类情况产生。
振荡抑制周期默认情况下不生效,周期值由用户自己配置。
SPR切换链路后,振荡抑制周期计时器开始计时,如果业务驻留链路的时间没有达到振荡抑制周期的时间,则SPR不会执行链路切换。振荡抑制周期超时后,如果在一个切换周期内链路还是不满足业务需求,则SPR将切换链路;如果在一个切换周期内链路质量变好,满足业务需求,则SPR不会切换链路。
二、策略路由具体配置
1、本地策略路由具体配置
1、创建策略路由和策略点
[Huawei]policy-based-route 1 deny node 1
2、设置本地策略匹配规则
[Huawei-policy-based-route-1-1]if-match ?
acl Access control list #根据IP报文中的acl匹配
packet-length Match packet length #根据IP报文长度匹配
-----------
[Huawei-policy-based-route-1-1]if-match packet-length ?
INTEGER<0-65535> Minimum packet length #最短报文长度
[Huawei-policy-based-route-1-1]if-match packet-length 100 ?
INTEGER<1-65535> Maximum packet length#最长报文长度
3、设置本地路由策略动作
3.1、设置报文的出接口
[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口
Serial Serial interface
--------
[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口
Serial Serial interface
#报文的出接口,匹配成功后将从指定接口发出去。接口不是能以太网等广播类型接口(改为P2P即可),因为多个下一跳可能导致报文转发不成功。
3.2、设置报文的下一跳
[Huawei-policy-based-route-1-1]apply ip-address ?
default Set default information #缺省下一跳,仅对在路由表中未查到的路由报文起作用
next-hop Next hop address# 直接设定下一跳
3.3、设置VPN转发实例
[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?
STRING<1-31> VPN instance name
3.4设置IP报文优先级
[Huawei-policy-based-route-1-1]apply ip-precedence ?
INTEGER<0-7> IP precedence value
critical Set packet precedence to critical(5)(关键)
flash Set packet precedence to flash(3)(闪速)
flash-override Set packet precedence to flash override(4)(疾速)
immediate Set packet precedence to immediate(2)(快速)
internet Set packet precedence to Internet control(6)(网间)
network Set packet precedence to network control(7)(网内)
priority Set packet precedence to priority(1)(优先)
routine Set packet precedence to routine(0)(普通)
3.5设置本地策略路由刷新LSP信息时间间隔
[Huawei]ip policy-based-route refresh-time ?
INTEGER<1000-65535> Refresh time value (ms)
<cr>
3.6应用本地策略路由
[Huawei]ip local policy-based-route ?
STRING<1-19> Policy name
#一台路由器只能使能一个本地策略路由(可以创建多条)
2、接口策略路由具体配置
1、设置流分类
[Huawei]traffic classifier test1 operator ?#逻辑运算符
and Rule of matching all of the statements #与 关系
or Rule of matching one of the statements # 或关系
2.1、设置分类匹配规则
[Huawei-classifier-test1]if-match ?
8021p Specify vlan 802.1p to match
acl Specify ACL to match
any Specify any data packet to match
app-protocol Specify app-protocol to match
cvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.
cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则
destination-mac Specify destination MAC address to match
dlci Specify a DLCI to match
dscp Specify DSCP (DiffServ CodePoint) to match
fr-de Specify FR DE to match.
inbound-interface Specify an inbound interface to match
ip-precedence Specify IP precedence to match
ipv6 Specify IPv6
l2-protocol Specify layer-2 protocol to match
mpls-exp Specify MPLS EXP value to match
protocol Specify ipv4 or ipv6 packets to match
protocol-group Specify protocol-group to match
pvc Specify a PVC to match
rtp Specify RTP port to match
source-mac Specify source MAC address to match
tcp Specify TCP parameters to match
vlan-id Specify a vlan id to match #基于外出VLAN ID
3、设置流重定向
将符合流分类规则的报文重定向到指定的下一跳或指定接口。只能在接口的入方向应用。
3.1、设置流行为名
[Huawei]traffic behavior test2
[Huawei-behavior-test2]
3.2、重定向符合流分类的报文
[Huawei-behavior-test2]redirect ?
interface Status and configuration about the traffic on the interface # 重定向到指定接口(3G 或dialer)
ip-nexthop Redirect packets to nexthop # 重定向到下一跳
ipv6-nexthop Redirect packets to ipv6 nexthop
-----------
[Huawei-behavior-test2]redirect ip-nexthop 10.1.1.1 ?
post-nat Post nat
track Track nqa #支持与NQA联动
<cr> Please press ENTER to execute command
4、应用流策略
1、设置流策略名
[Huawei]traffic policy test3
2、关联流分类和流行为
[Huawei-trafficpolicy-test3]classifier test1 behavior test2
3、在接口应用(入方向)
[Huawei-GigabitEthernet0/0/2]traffic-policy test3 inbound
362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
