目录
策略路由和路由策略的区别
| 路由策略 | 策略路由 |
| 对路由表中的路由条目进行管理 通过路由过滤以及路由属性修改,控制网络流量可达性、控制流量路径 | 基于策略转发,失败后再找路由表转发 无法过滤路由,只能通过对报文定义行为实现流量路径的控制 |
| 基于控制平面,为路由协议与路由表服务 | 基于转发平面,为转发策略服务 |
| 与路由协议结合完成策略 | 需要手工逐跳配置,以保证报文按策略转发 |
| 命令:Route-Policy | 命令:Policy-pased-routed(本地策略路由) Traffic Policy(接口策略路由) |
路由策略——Route Policy
Route-Policy的组成
Route-Policy由若干个节点组成(Node);一个节点又由若干个语句组成(if-match、apply)
虽然Node由If-match和apply组成,但是Node中也可以没有If-match语句和apply语句,即:
- if-match语句和apply语句可以单独存在,也可以都不存在,也可以都存在
- 当没有If-match语句,此时代表匹配所有路由
- 当没有apply语句,此时代表即不执行任何动作
多个节点之间的关系
- Node与Node之间是“或”的关系。即 Node与Node之间没有关联,互不影响
Node下多个字句之间的关系
当存在多个Apply语句时:
- 多个Apply语句之间是“与”的关
当存在多个If-match语句时:
- 相同的If-match语句之间是“或”的关系;即:当If-match 引用了多个ACL,则只要匹配其中1个ACL就可以
- 不同的If-match语句之间是“与”的关系;即:当If-match引用了ACL,也引用了Tag,则这两个条件都要满足
Route-Policy的应用
Route-Policy可以应用在接口和路由协议中
节点以及语句的介绍
Node 节点
有允许和拒绝两种动作(最多65535个节点)
If-match 节点匹配规则
一般引用条件工具(ACL等)实现,来筛选路由
Apply 执行动作
匹配规则成功后对路由执行的动作
华为设备配置举例 route-policy celue permit node 10 创建名称为celue的策略,节点为10,动作为允许 if-match acl 2000 引用条件工具acl 2000 apply tag 10 匹配acl2000的路由打上标记10 ospf import-route static route-policy celue 在ospf中引用静态路由时调用Route-policy
Route-Policy的匹配规则
- 匹配时按照Node号,从小到大依次匹配。
- 如果匹配上Node中的if-match语句,直接对此路由执行Node下的apply语句,不再继续向下匹配
- 如果匹配不上Node下的if-match语句,则向下匹配另一个Node
- 如果所有的Node都不匹配,则匹配默认的语句,拒绝所有路由。
Route-Policy的判定规则
路由策略的匹配模式
即:Node的动作
if-match的匹配模式
即:条件工具中的动作
对匹配的路由执行的动作
permit
permit
匹配上IF-match后执行permit操作,不再匹配其它的节点
deny
permit
匹配上IF-match后执行deny操作,不再匹配其它的节点
permit
deny
匹配上IF-match后,在本节点不允许通过,匹配下一节点,依次循环
deny
deny
匹配上IF-match后,在本节点不允许通过,匹配下一节点,依次循环
注意:当If-match语句中引用条件工具(ACL或者前缀列表时),AXL和前缀列表的动作是Deny,则代表匹配此ACL和前缀列表Deny语句的路由,跳过这个Node,继续向下匹配
Route-Policy与Filter-policy对比
- 两者都可以实现路由过滤
- 但是Filter-policy主要是通过基本ACL、IP-Prefix-List抓取网络号来进行路由过滤,对路由其它属性无法进行匹配,在某些情况下工作量比较大。并且此手段无法更改路由属性
- Router-Policy可以匹配路由的各种特征,并可以对路由的属性做更改,更加灵活,高效
策略路由
策略路由主要分为本地策略路由和接口策略路由,通过对报文进行控制(不更改路由表条目),实实现不同的流量转发路径
灵活,可以根据管理员定义的策略执行报文转发(优于路由表)
不过配置有点复杂,需要在多台设备上做定制的配置
接口策略路由Traffic-Policy
仅对穿越设备的报文生效,对本地始发的报文不生效
接口策略路由的组成主要分为三部分
流分类(traffic classifier)、 流行为( traffic behavior)、流策略(traffic policy )
流分类(类似于匹配规则)
traffic classifier 123 operator or/and 创建流分类123,绑定acl2000 if-match acl 2000 or:只要匹配任意一条if-match语句就属于定义的这个类 and:需要匹配所有if-match语句才属于定义的这个类 默认是or
流行为(类似于执行的动作,修改路由属性等)
traffic behavior 123 创建流行为123,更改下一条为1.1.1.1 redirect ip-nexthop 1.1.1.1流策略(就是将流分类和流行为绑定)
traffic policy 123 创建流策略,将流分类和流行为绑定 classifier 123 behavior 123接口策略路由只能在接口入方向引用
interface GigabitEthernet0/0/0 traffic-policy 123 inbound
本地策略Policy-Based-Route
过此策略仅对本地始发的报文生效,对穿越设备的路由不生效
配置上类似于Route-Policy,也是由多个节点Node组成,节点又由If-match和Apply组成
配置命令
policy-based-route 123 permit node 10 指定动作为允许的节点10 if-match acl 2000 指定匹配规则为2000 apply ip-address next-hop 1.1.1.1 指定动作为下一条更改为1.1.1.1 ip local policy-based-route 123 在本地应用策略路由123
报文路径相关知识
默认情况下,华为路由的负载分担机制是“基于流”的负载分担,而属于同一个流的所有报文走同一路径
如何定义流:
- 对于TCP/UDP报文,根据报文的五元组来分流
SIP、DIP、TCP/UDP、SPort、DPort5个参数都相同的报文属于同一个流
- 对于非TCP/UDP报文,根据SIP、DIP定义流
SIP、DIP两个参数相同的报文属于同一个流
https://blog.youkuaiyun.com/m0_49864110/article/details/128683119?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22128683119%22%2C%22source%22%3A%22m0_49864110%22%7D
扫一扫
526
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
