路由策略與策略路由

由 kclouder 發表于網路遊戲
2022-09-18

簡介▲ routing policy由一系列的if-match子句和apply子句組成 ▲ 匹配AS-path時使用AS-path list ▲ 匹配Community時使用Community list ▲ 匹配IP address時使用IP

怎麼檢視過濾策略

本篇我們來簡單介紹一下路由策略與策略路由。這兩個詞看上去很像，但是有著完全不同的內在原理。本文

假設大家已經熟悉各種路由協議的配置方法，如果不是很熟悉，可以參考本站往期的文章進行一下溫習，比

如：OSPF、IS-IS、BGP等等。我們主要以下圖的拓撲為例，對路由策略和策略路由進行配置講解。基本配置要求：1、R1上建立L0-L3四個環回口，並且引入OSPF。2、R2上OSPF和ISIS雙向路由引入。3、BGP使用R2作為RR，解決BGP路由黑洞問題。4、ISIS內部只允許收到R1 L0的環回口的地址。5、R6上建立一個環回口。6、R1的所有環回口都能和R6的環回口通訊。7、要求的通訊路徑如下：去：R1——>R2——>R4——>R5——>R6回：R6——>R5——>R4——>R2——>R1

基本配置

首先我們先配置好基本的配置，配置OSPF、IS-IS、BGP。基本配置這裡不再演示，以R2為例，下面是R2的

基本配置。isis 1 is-level level-2 cost-style wide network-entity 20。0000。0002。0001。00#interface GigabitEthernet0/0/0 ip address 10。1。2。2 255。255。255。0 isis enable 1#interface GigabitEthernet0/0/1 ip address 10。2。3。2 255。255。255。0 isis enable 1#interface GigabitEthernet0/0/2 ip address 10。2。4。2 255。255。255。0 isis enable 1#interface LoopBack0 ip address 192。168。4。1 255。255。255。0 #bgp 100 router-id 2。2。2。2 peer 10。1。2。1 as-number 100 peer 10。2。3。3 as-number 100 peer 10。2。4。4 as-number 100 # ipv4-family unicast undo synchronization peer 10。1。2。1 enable peer 10。2。3。3 enable peer 10。2。3。3 reflect-client peer 10。2。4。4 enable peer 10。2。4。4 reflect-client#ospf 1 router-id 2。2。2。2 import-route isis 1 area 0。0。0。0 network 10。1。2。0 0。0。0。255 network 192。168。4。0 0。0。0。255 #

路由策略

路由策略（Routing-Policy）主要實現了路由過濾和路由屬性設定等功能，它透過改變路由屬性（包括

可達性）來改變網路流量所經過的路徑。路由協議在釋出、接收和引入路由資訊時，根據實際組網需求實

施一些策略，以便對路由資訊進行過濾和改變路由屬性。路由策略的作用包括：● 過濾路由資訊的手段。● 釋出路由資訊時只發送部分資訊。● 接收路由資訊時只接收部分資訊。● 進行路由引入時引入滿足特定條件的資訊支援等值路由。● 設定路由協議引入的路由屬性。策略相關的五種過濾器：● 路由策略（Routing-Policy）設定匹配條件，屬性匹配後進行設定，由if-match和apply字句組成。● 訪問列表（access-list）用於匹配路由資訊的目的網段地址或下一跳地址，過濾不符合條件的路由資訊。● 字首例表（prefix-list）匹配物件為路由資訊的目的地址或直接作用於路由器物件（gateway）。● 自治系統路徑資訊訪問列表（aspath-list）僅用於BGP協議，匹配BGP路由資訊的自治系統路徑域。● 團體屬性列表（community-list）僅用於BGP協議，匹配BGP路由資訊的自治系統團體域。路由策略與過濾器的關係：● 在路由引入（import-route）時使用routing policy。 ▲ routing policy由一系列的if-match子句和apply子句組成 ▲ 匹配AS-path時使用AS-path list ▲ 匹配Community時使用Community list ▲ 匹配IP address時使用IP Prefix和Access list● 在路由釋出（export）和路由接收（import）時使用地址字首列表（IP Prefix）和訪問控制列表

（Access Control List） ▲ 接收時：IP Prefix、Access list和Gateway（特定路由器） ▲ 釋出時：IP Prefix和Access list

路由策略配置演示

如前所示，在我們的拓撲中，有如下兩條要求，在前面R2的基本配置中大家應該會注意到，我們只在OSPF

中引入了IS-IS，IS-IS中並沒有引入OSPF，主要就是為了接下來進行演示。● ISIS內部只允許收到R1 L0的環回口的地址。● 要求的通訊路徑如下：去：R1——>R2——>R4——>R5——>R6 回：R6——>R5——>R4——>R2——>R11、首先看一下如何滿足ISIS內部只允許收到R1 L0的環回口的地址這條要求，首先們建立一條ACL規則

允許R1 L0的網段透過，命令如下：acl number 2000 rule 0 permit source 192。168。0。0 0。0。0。2552、接下來我們建立一條路由策略，命名為“import-l0”，策略是如果與ACL 2000匹配，由允許透過。route-policy import-l0 permit node 10 if-match acl 2000 3、在ISIS中配置引入OSPF路由，並執行前面建立的路由策略。isis 1 import-route ospf 1 route-policy import-l0 4、配置完成後，在R2上檢視OSPF和ISIS的routing table並進行對比，可以看到ISIS只引入了R1 L0的

路由條目，說明路由策略生效了。

策略路由

策略路由PBR（Policy-BasedRouting）是一種依據使用者制定的策略進行路由選擇的機制。名子看起來有

一些深奧，其實說穿了就是改一改Next Hop IP讓我們可以對Routing Table的結果作出人工干預，控制

某些Traffic的路由方向。普通的報文轉發是依據報文的目的地址查詢轉發表來實現的，策略路由是一種依

據使用者制定的策略進行路由選擇的機制，與單純依照IP報文的目的地址查詢路由表進行轉發不同，可應用於

安全、負載分擔等目的。策略路由支援基於ACL包過濾、地址長度等資訊，為活地指定路由。而ACL報文過濾則可以根據報文的源IP、

目的IP、協議、埠號、優先順序、TOS、時間段、VPN等各種豐富的資訊將報文分類，然後控制將這些報文

按照不同的路由轉發出去。策略路由的分類：● 介面策略路由 ▲ 介面策略路由只對轉發的報文起作用，對本地產生的報文（比如本地的ping報文）不起作用。而本地策

略路由只對本地產生的報文起作用，對轉發的報文不起作用。 ▲ 介面策略路由配置在介面檢視下。● 本地策略路由 ▲ 本地產生的報文的策略路由配置在系統檢視下。 ▲ 注意：組播策略路由只支援轉發的報文，不對路由器本機產生的報文進行策略路由。策略路由的匹配項：匹配項就是if-match語句，根據這些匹配項將報文按照某個規則進行分類，分為滿足規則和不滿足規則兩類。● 只有滿足所有的if-match，才算匹配，既各匹配條件是與的關係。● “匹配退出，不匹配繼續”的原則，即只要任意一個節點滿足匹配，則不再繼續往下匹配，如果不匹配則繼

續匹配下一個節點。

策略路由的操作項：操作項就是apply語句，也就是滿足匹配項的報文將怎麼處理、從哪個介面轉發出去。

轉發介面的優先順序：下表中只針對單播報文，不包括組播報文，當配置有優先順序高的策略，則優先順序低的配置將被忽略。單播策

略路由可以同時配置兩個下一跳或者設定兩個出介面，報文轉發採用負載分擔的方式進行。

報文匹配的其它策略1、如果只新增一個節點而沒有任何匹配項和設定操作項，則所有報文都匹配，不再繼續往下匹配。但是策略

路由的統計數字不改變。2、如果新增一個節點，只有匹配項，沒有設定操作項，由進行匹配，但不執行相應的操作，不再繼續往下

匹配。但是策略路由的統計數字不改變。3、如果新增一個節點，沒有匹配項，有設定操作項，由所有報文都匹配，根據permit/deny執行相關的操

作，不於繼續往下匹配。但是策略路由的統計數字改變。4、如果匹配項中使用的ACL根本不存在，則預設是不匹配任何報文的。5、當直接出介面指定為本地的乙太網介面、子介面、Virtual-Template介面時，雖然從指定介面轉發，但

不能正常通訊，因為這幾個介面是廣播域，不能確定下一跳，因此必須指定為下一跳。6、當配置deny的節點時，對於單播策略路由來說，節點的apply命令列等於沒有配置，資料包將走正常單播

路由錶轉發，因此沒有deny的除錯資訊以及相應的統計資訊。對於組播策略路由來說，有deny的除錯資訊以

及相應的統計資訊。

策略路由配置演示

1、接下來看一下通訊路徑的那條要求，從要求中要以看了來，我們要將R2和R5的流量人為的都指向R4，不讓

其有機會從R3走。首先們在R2上建立一條ACL規則，這裡原地址將R1上四個環回口的地址包括在內，目的地址

就是R6上的環回口地址，規則為permit，也就是允許透過。這裡就是定義ACL匹配目的源地址。acl number 3001 rule 5 permit ip source 192。168。0。0 0。0。255。255 destination 114。114。114。0 0。0。0。255 2、然後建立traffic classifier和traffic behavior，traffic classifier命名為“rdt”，這裡就是要

定義需要重定向的資料流分類。traffic classifier rdt operator or if-match acl 30013、建立traffic behavior，這裡同樣命名為“rdt”，這裡應當是定義流量行為將R2的流量重定向到R4的

G0/0/0的介面地址。traffic behavior rdt redirect ip-nexthop 10。2。4。44、繫結流策略。traffic policy rdt classifier rdt behavior rdt5、配置完成後，在R1上透過tracert命令驗證流量路徑，可以看到流量是從R4透過的。