一、策略路由、路由策略之间的区别

图片.png

二、策略路由图解

wKiom1lDQtvhNmrJAAGEuV6jVgQ211.jpg

route-map本身不对其它数据包产生影响,除非被命令调用

route-map特性(可以用于路由重分布、策略路由)

route-map 可以对路由信息进行修改,类似一个定制的路由策略强大的工具


 set ip next-hop verify-availability检测CDP邻居表来验证吓一跳地址是否存活

第一步、做网段匹配

access 1 permit

第二步、做策略应用转发

policy-base-route PBR permit 10
if-match 匹配规则
apply 动作

第三步、调用策略(基于本地、接口)
ip policy-based-route PBR


三、配置步骤

图片.png

四、华为具体命令

<Huawei>sy————————(进入系统视图)

[Huawei]time-range access-time from 0:0 2018/1/1 to 23:59 2019/12/31  配置ACL生效时间段,该时间段是一个绝对时间段模式的时间段
[Huawei]time-range access-time 14:00 to 18:00 off-day  

[Huawei]acl 3000—————(进入acl视图,禁止端口属于扩展acl,编号范围为3000~3999)
[Huawei-acl-adv-3000]rule 10 permit 协议类型 destination 目的主机 0.0.0.0 destination-port eq目的端口号
[Huawei-acl-adv-3000]quit
[Huawei] traffic classifier test1——————配置流分类
[Huawei-classifier-test1] if-match acl3000———————————匹配ACL

[Huawei-classifier-test1]if-match l2-protocol arp————————放通ARP

备注:

如果流分类中只有一条if-match配置,则检查报文是否匹配该规则
如果流分类中有多条if-match配置,查看Operator的值是AND还是OR
AND表示流分类中各规则之间关系为“逻辑与”,即报文必须匹配所有if-match规则才属于该类,所以要检查报文是否匹配每一条if-match规则
OR表示流分类各规则之间是“逻辑或”,即报文只需匹配流分类中的一个或多个规则即属于该类
缺省情况下,流分类中各规则之间的关系为“逻辑或”

[Huawei-classifier-test1]quit
[Huawei]traffic behavior test2——————配置流行为
[Huawei-behavior-test2]deny—————————————————流行为为拒绝
[Huawei-behavior-test2]quit
[Huawei] traffic policy test3———————配置流策略
[Huawei-trafficpolicy-test3] classifier test1 behavior test2————匹配流test1后行为为test2
[Huawei-trafficpolicy-test3] quit
[Huawei] traffic-policy test3 global inbound—————————在全局入方向调用流策略test3


[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy test3 inbound  //流策略应用在接口入方向
[Switch-GigabitEthernet1/0/1] quit


<Huawei>system-view
[Huawei]vlan batch 100 to 130
[Huawei]acl number 3001
[Huawei-acl-adv-3001] rule 5 deny ip source 193.168.100.0 0.0.0.255 destination 193.168.101.0 0.0.0.255
[Huawei-acl-adv-3001] rule 1000 permit ip
[Huawei-acl-adv-3001]traffic classifier vlanif100 operator and
[Huawei-classifier-vlanif100] if-match acl 3001
[Huawei-classifier-vlanif100] quit
[Huawei]traffic behavior vlanif100
[Huawei-behavior-vlanif100] deny
[Huawei-behavior-vlanif100] quit
[Huawei]traffic policy vlanif100
[Huawei-trafficpolicy-vlanif100] classifier vlanif100 behavior vlanif100
[Huawei-trafficpolicy-vlanif100]quit
[Huawei]interface Vlanif100
[Huawei-Vlanif100] ip address 193.168.100.254 255.255.255.0
[Huawei-Vlanif100] traffic-policy vlanif100 inbound


display traffic-policy applied-record  查看流策略的应用信息
display traffic policy user-defined 查看流策略的配置信息


五、路由策略的实现分为两个步骤:

定义规则:定义一组匹配规则,以不同属性作为匹配依据进行设置,如目的地址、AS号等
应用规则:根据设置的匹配规则,再将它们应用于路由的发布、接收和引入等过程的路由策略中

应用规则方式:

1、引入其他协议的路由信息(import-route protocol route-policy route-policy-name)
2、定义地址前缀列表prefix-list(通过prefix-list的某一个部分,就意味着通过整个prefix-list的过滤)
3、配置路由过滤(filter-policy acl|prefix-list import|export)


配置步骤(备注:只有存在明细路由方可做路由策略)

acl 2000
rule 10 permit source 1.1.1.0 0.0.0.255

route-policy PATH permit node 10
if-match acl 2000
apply perference 101

isis
preference route-policy PATH #被策略匹配到的路由,优先级按策略调成101,其余默认


filter-policy工具
[router-ospf-1]filter-policy ip-prefix 1 export #对发布进来的路由进行过滤(链路状态协议)
[router-ospf-1]filter-policy ip-prefix 1 import #对接收的路由进行过滤(距离矢量协议)
traffic-filter

1、引用的acl只能用标准acl,只能对前缀匹配的,最后默认隐藏deny

2、前缀列表不存在,默认匹配放通所有

路由策略
1、基于控制层面,影响路由表表项
2、只能基于目的地址进行策略制定
3、与路由协议结合使用

route-policy主要用于路由过滤和路由属性修改设置等,从而影响流量所经过的路径
与是同时匹配:if-match if-match
route-policy没有匹配的路由,默认拒绝所有

策略路由
1、基于转发平面,不会影响路由表项,设备收到报文后,先查策略路由,若匹配失败,再查找路由表进行转发
2、基于源地址,目的地址、协议类型、报文大小等进行策略制定

ip as-path-filter 10 permit  .*匹配所有AS-PATH属性
ip as-path-filter 10 permit  _100$匹配从AS100发起的路由($结束符)
ip as-path-filter 10 permit  ^100_匹配从AS100接收的路由(^起始符)
ip as-path-filter 10 permit  _100|200$匹配从AS100或AS200发起的路由


路由策略故障排除步骤:

1、检查网络的连通性
2、检查路由协议配置是否正确
3、检查IP-Prefix List是否配置是否匹配
4、检查AS-Path-Filter是否配置
5、检查Community-Filter是否配置
6、检查Excommunity-Filter是否配置
7、检查Route-Policy是否配置