两者相同点:两者都是为了改变网络中流量的转发路径,目的一样,但是其中转发流量实现的方式不一样
两者不同点:
路由策略是通过更改某些路由参数影响路由表的路由条目来影响报文的转发 (例如:filter-policy route-policy、cost值修改、优先级修改等)
策略路由是通过管理员在路由器上面配置策略强制数据包按照策略转发 ,策略路由优先于路由表(比如:策略路由可以基于源地址定制数据的转发路径)
例:使用filter-policy 过滤来自7.7.7.7的流量
R1:acl number 2019
rule 5 deny source 7.7.7.0 0.0.0.255
rule 10 perit
qu
ospf 1
filter-policy 2019 import
策略路由配置:目前主流的两种策略路由配置方式是接口方式和本地方式
本地方式:仅对本设备发出的流量生效,对经过本设备的转发流量不生效
命令配置:system-view 进入系统视图
policy-based-route policy-name { deny | permit } nodenode-id 创建策略路由名和策略顺序号
if-match aclacl-number,设置IP报文的ACL匹配条件
if-match packet-lengthmin-lengthmax-length,设置IP报文长度匹配条件
注:1.默认本地策略路由不会创建策略点和策略路由
2.node-id制定策略路由的顺序号,值越小优先级越高
接口路由方式
1.配置流分类
命令配置:system-view 进入系统视图
traffic classifierclassifier-name [ operator { and | or } ],创建流分类,进入流分类视图
流分类中德匹配规则:
匹配规则 | 命令 |
外层VLAN ID | if-match vlan-idstart-vlan-id [ toend-vlan-id ] |
QinQ报文内层VLAN ID | if-match cvlan-idstart-vlan-id [ toend-vlan-id ] |
VLAN报文802.1p优先级 | if-match 8021p8021p-value &<1-8> |
QinQ报文内层VLAN的802.1p优先级 | if-match cvlan-8021p8021p-value &<1-8> |
MPLS报文EXP优先级(AR1200&AR2200&AR3200&AR3600系列) | if-match mpls-expexp-value &<1-8> |
目的MAC地址 | if-match destination-macmac-address [ mac-address-maskmac-address-mask ] |
源MAC地址 | if-match source-macmac-address [ mac-address-maskmac-address-mask ] |
FR报文中的DLCI信息 | if-match dlcistart-dlci-number [ toend-dlci-number ] |
FR报文中的DE标志位 | |
以太网帧头中协议类型字段 | if-match l2-protocol { arp | ip | mpls | rarp | protocol-value } |
所有报文 | |
IP报文的DSCP优先级 | if-match [ ipv6 ]dscpdscp-value &<1-8> 说明: 如果流策略中配置了匹配DSCP,则SAE220(WSIC)和SAE550(XSIC)单板不支持redirect ip-nexthopip-addresspost-nat动作。 |
IP报文的IP优先级 | if-match ip-precedenceip-precedence-value &<1-8> 说明: 不能在一个逻辑关系为“与”的流分类中同时配置if-match [ ipv6 ] dscp和if-match ip-precedence。 |
报文三层协议类型 | if-match protocol { ip | ipv6 } |
指定QoS group索引的IPSec报文 | if-match qos-groupqos-group-value |
IPv4报文长度 | if-match packet-lengthmin-length [ tomax-length ] |
ATM报文中的PVC信息 | if-match pvcvpi-number/vci-number |
RTP端口号 | if-match rtpstart-portstart-port-numberend-portend-port-number |
TCP报文SYN Flag | if-match tcpsyn-flag { ack | fin | psh | rst | syn | urg } * |
入接口 | if-match inbound-interfaceinterface-typeinterface-number |
出接口 | if-match outbound-interfaceCellularinterface-number:channel |
ACL规则 | if-match acl { acl-number | acl-name } 说明:
|
ACL6规则 | if-matchipv6 acl { acl-number | acl-name } 说明:
|
应用协议 | if-match applicationapplication-name [ user-setuser-set-name ] [ time-rangetime-name ] 说明: 定义基于应用协议的匹配规则前,必须使能SA功能并加载特征库。 |
SA协议组 | if-match categorycategory-name [ user-setuser-set-name ] [ time-rangetime-name ] 说明:
|
用户组 | if-match user-setuser-set-name [ time-rangetime-range-name ] |
执行命令quit,退出流分类视图。
2.配置流行为
traffic behaviorbehavior-name,创建一个流行为并进入流行为视图,或进入已存在的流行为视图
redirect ip-nexthopip-address 选择报文转发的下一跳地址
3.配置流策略
执行命令system-view,进入系统视图。
执行命令traffic policypolicy-name,创建一个流策略并进入流策略视图,或进入已存在的流策略视图。
缺省情况下,系统未创建任何流策略。
执行命令classifierclassifier-namebehaviorbehavior-name [ precedenceprecedence-value ],在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。
缺省情况下,流策略中没有绑定流分类和流行为。
执行命令quit,退出流策略视图。
4.应用流策略
执行命令system-view,进入系统视图。
执行命令interfaceinterface-typeinterface-number [.subinterface-number ],进入接口视图或子接口视图。
执行命令traffic-policypolicy-nameinbound,在接口或子接口的入方向应用流策略。
目前,接口策略路由仅支持在接口的入方向上应用。