路由路由器配置

i目录1IP单播策略路由配置1-11.
1IP单播策略路由简介.
1-11.
1.
1策略路由1-11.
1.
2策略路由与Track关联1-11.
2配置IP单播策略路由.
1-11.
2.
1配置策略1-11.
2.
2配置系统策略路由.
1-41.
2.
3配置接口策略路由.
1-41.
3IP单播策略路由显示和维护.
1-41.
4IP单播策略路由典型配置举例1-51.
4.
1基于源地址的策略路由的配置举例1-51.
4.
2基于报文大小的策略路由的配置举例.
1-61.
4.
3反向入接口策略路由配置举例.
1-71-11IP单播策略路由配置1.
1IP单播策略路由简介1.
1.
1策略路由策略路由(policy-based-route)是一种依据用户制定的策略进行路由选择的机制.
与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由基于到达报文的源地址、长度等信息灵活地进行路由选择.
策略路由可分为系统策略路由和接口策略路由:z系统策略路由对本地产生的报文进行策略路由,它只对本地产生的报文起作用,对转发的报文不起作用;z接口策略路由作用于到达该接口的报文,它只对转发的报文起作用,对本地产生的报文(比如本地的ping报文)不起作用.
一般来讲,策略路由的优先级要高于普通路由,即报文先按照策略路由进行转发.
如果无法匹配所有的策略路由条件,再按照普通路由进行转发.
但对于配置了缺省出接口(下一跳)的情况,则是先进行普通路由的转发,如果无法匹配,再进行策略路由转发.
1.
1.
2策略路由与Track关联IP单播策略路由通过关联Track机制,增强了应用的灵活性和策略路由对网络环境的动态感知能力.
Track的状态分为Positive、Negative和Invalid,策略路由配置仅在关联的Track项状态为Positive或Invalid时生效.
Track相关配置可参考"系统分册/Track命令"中的命令track.
1.
2配置IP单播策略路由1.
2.
1配置策略策略可以包含若干节点,每个策略节点由node-number来指定,node-number的值越小优先级越高,优先级高的策略优先被执行.
一个策略用来引入一条路由,对IP报文转发进行路由选择.
策略的具体内容由if-match和apply子句来指定.
if-match子句定义该节点的匹配规则,apply子句定义通过该节点过滤后进行的动作.
if-match子句定义了那些需要使用策略的报文,当报文满足if-match子句时,则执行策略对应节点的apply子句,以完成报文的转发.
在一个策略中,每个节点的if-match子句之间的过滤关系是"与"的关系,即报文必须满足该节点的所有if-match子句才能执行该节点的apply子句.
目前IP单播策略路由提供了三种if-match子句,分别为if-matchpacket-length、if-matchacl和if-matchreverse-input-interface,同一类型的if-match子句只能有一条;IP单播策略路由同时提供六种apply子句:applyaccess-vpnvpn-instance,applyip-precedence,applyoutput-interface,applyip-addressnext-hop,applydefaultoutput-interface,apply1-2ip-addressdefaultnext-hop,同一类型的apply子句最多只能配置一个.
在满足所有if-match子句的情况下,apply子句执行的优先级情况如下:z配置转发报文的VPN实例:applyaccess-vpnvpn-instance,只要配置了该子句,就不会执行其他apply子句.
报文如果匹配了其中一个VPN实例下的转发表,报文将在该VPN实例中进行转发,如果对于所有配置的VPN实例,报文都未能匹配其下的转发表,该报文将被丢弃;z配置报文的优先级:applyip-precedence,在公网转发中,即在未配置applyaccess-vpnvpn-instance的情况下,只要配置了该子句,该子句就一定会执行;z配置策略路由出接口和下一跳:applyoutput-interface和applyip-addressnext-hop,其中applyip-addressnext-hop命令的优先级高于applyoutput-interface.
当两条命令同时配置并且都有效时,系统只会执行applyip-addressnext-hop命令;z配置策略路由缺省出接口和下一跳:applydefaultoutput-interface和applyip-addressdefaultnext-hop,同样,applyip-addressdefaultnext-hop命令的优先级高于applydefaultoutput-interface.
当两条命令同时配置并且都有效时,系统只会执行applyip-addressdefaultnext-hop命令.
执行缺省出接口和下一跳命令的前提是,在策略路由中报文没有配置出接口或者下一跳,或者配置的出接口和下一跳无效,并且报文目的IP地址在路由表中没有查到相应的路由,这时才会使用策略路由配置的缺省下一跳或者出接口.
在一个策略中,节点之间的过滤关系是"或"的关系,即只要通过一个节点的过滤,就意味着通过该策略路由的过滤.
在配置策略节点时,可能需要指定节点的匹配模式为permit或者deny:zpermit指定所定义的策略节点的匹配模式为允许模式.
当报文满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句,如报文不满足该节点的if-match子句,报文将会使用该条策略的下一个节点进行匹配.
zdeny指定所定义的策略节点的匹配模式为拒绝模式,当报文满足该节点的所有if-match子句时,被拒绝通过该节点的过滤,并且不会进行下一个节点的匹配.
通过一个节点所定义的策略的报文将不再参与其他策略的过滤和处理.
如果报文不能通过一个策略所有节点的过滤,则认为没有通过该策略.
该报文按正常转发流程处理.
在一个策略中最多可以指定两个下一跳或者两个出接口,此时,报文的转发将在两个合法参数中负载分担,轮流在每一个下一跳或者出接口上发送一个报文.
策略路由可以在配置报文的发送接口、缺省发送接口、下一跳、缺省下一跳时与Track项关联,通过Track项的状态来动态地决定策略的可用性.
当应用动作增加Track关联后,如果事件发生时Track项状态为Positive或Invalid,则该配置项有效,可以指导转发;事件发生时,Track项状态为Negative,则该配置项无效,转发时忽略该配置项.
表1-1配置策略操作命令说明进入系统视图system-view-创建策略或一个策略节点,并进入该策略视图policy-based-routepolicy-name[deny|permit]nodenode-number必选设置IP报文长度匹配条件if-matchpacket-lengthmin-lenmax-len可选1-3操作命令说明设置ACL匹配条件if-matchaclacl-number可选设置反向入接口匹配条件if-matchreverse-input-interfaceinterface-typeinterface-number可选设置报文在指定VPN实例进行转发applyaccess-vpnvpn-instancevpn-instance-name&可选设置报文的优先级applyip-precedence{type|value}可选设置报文的发送接口applyoutput-interfaceinterface-typeinterface-number[tracktrack-entry-number][interface-typeinterface-number[tracktrack-entry-number]]可选用户可以同时配置两个发送接口,这两个发送接口同时有效,可以起到负载分担的作用对于非P2P接口(广播类型的接口和NBMA类型的接口),比如以太网接口,由于有多个可能的下一跳,可能会造成报文转发不成功的现象设置报文的下一跳applyip-addressnext-hopip-address[direct][tracktrack-entry-number][ip-address[direct][tracktrack-entry-number]][standby]可选用户可以同时配置两个下一跳,这两个下一跳同时有效,可以起到负载分担的作用设置报文缺省发送接口applydefaultoutput-interfaceinterface-typeinterface-number[tracktrack-entry-number][interface-typeinterface-number[tracktrack-entry-number]]可选用户可以同时配置两个缺省发送接口,这两个发送接口同时有效,可以起到负载分担的作用设置报文缺省下一跳applyip-addressdefaultnext-hopip-address[direct][tracktrack-entry-number][ip-address[direct][tracktrack-entry-number][standby]]可选用户可以同时配置两个缺省下一跳,这两个下一跳同时有效,可以起到负载分担的作用zapplyoutput-interface和applyip-addressnext-hop可以配置两个出接口或者下一跳,当用户希望修改其中一个时,只需要继续执行applyoutput-interfaceinterface-typeinterface-number命令或者applyip-addressnext-hopip-address命令,系统就会将最早配置的出接口或者下一跳替换;如果先前配置的两个出接口或者下一跳都需要修改,则直接在applyoutput-interface命令或者applyip-addressnext-hop命令后配置两个参数即可.
z当使用if-matchreverse-input-interfaceinterface-typeinterface-number命令配置接口后,若接口所在接口卡被拔出或该接口被删除的情况下,则显示信息中策略节点上if-matchreverse-input-interface后配置的接口会消失,该命令配置失效,此时,任何报文都不能被该策略路由节点匹配.
zif-matchreverse-input-interface命令需要和会话(session)配合使用.
配置if-matchreverse-input-interface命令之前,可通过执行firewall或natserver等命令使能会话功能(分布式设备需要在流量的入出接口板都使能会话),这样反向策略路由功能才能生效.
关于firewall、natserver等命令的详细介绍请参见"安全分册"中"防火墙配置"、"NAT配置"或其它相关手册.
1-41.
2.
2配置系统策略路由策略路由可以分为系统策略路由和接口策略路由.
对于一般转发和安全等方面的使用需求,大多数情况下使用的是接口策略路由.
系统策略路由对本机产生的报文进行路由选择.
用户可以分别配置接口策略路由和系统策略路由,在使能系统策略路由时,只能引用一个策略.
表1-2配置系统策略路由操作命令说明进入系统视图system-view-使能系统策略路由iplocalpolicy-based-routepolicy-name必选缺省情况下,没有配置系统策略路由1.
2.
3配置接口策略路由接口策略路由(应用于报文到达的接口上),作用于到达该接口的报文.
用户可以分别配置接口策略路由和系统策略路由,在使能接口策略路由时,一个接口只能引用一个策略.
表1-3配置接口策略路由操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-使能接口策略路由ippolicy-based-routepolicy-name必选缺省情况下,没有配置接口策略路由1.
3IP单播策略路由显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置IP单播策略路由后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,用户可以执行reset命令重置策略路由的统计信息.
表1-4IP单播策略路由显示和维护操作命令显示系统和接口设置的所有策略路由的信息displayippolicy-based-route显示系统的策略路由的设置情况displayippolicy-based-routesetup{interfaceinterface-typeinterface-number|local|policy-name}显示策略路由的统计信息displayippolicy-based-routestatistics{interfaceinterface-typeinterface-number|local}显示已经配置的策略路由displaypolicy-based-route[policy-name]重置策略路由的统计信息resetpolicy-based-routestatistics[policy-name]1-51.
4IP单播策略路由典型配置举例1.
4.
1基于源地址的策略路由的配置举例1.
组网需求定义策略aaa的策略路由为控制所有从以太网接口GigabitEthernet1/0接收的TCP报文,使用串口Serial2/0发送,对其它报文,按照查找路由表的方式进行转发.
z5号节点,表示匹配ACL3101的报文将被发往串口Serial2/0;z10号节点,表示匹配ACL3102的报文不做策略路由处理;2.
组网图图1-1基于源地址的策略路由的配置举例组网图HostBRouterGE1/0SubnetA10.
110.
0.
0/16InternetS2/0S2/1HostA3.
配置步骤#如果设备支持防火墙功能,首先设置防火墙的过滤方式为deny.
system-view[Router]firewalldefaultdeny#定义访问控制列表.
[Router]aclnumber3101[Router-acl-adv-3101]rulepermittcp[Router-acl-adv-3101]quit[Router]aclnumber3102[Router-acl-adv-3102]rulepermitip[Router-acl-adv-3102]quit#定义5号节点,使匹配ACL3101的任何TCP报文被发往串口Serial2/0.
[Router]policy-based-routeaaapermitnode5[Router-pbr-aaa-5]if-matchacl31011-6[Router-pbr-aaa-5]applyoutput-interfaceserial2/0[Router-pbr-aaa-5]quit#定义10号节点,表示匹配ACL3102的报文不做策略路由处理,按照查找路由表的方式进行转发.
[Router]policy-based-routeaaadenynode10[Router-pbr-aaa-10]if-matchacl3102[Router-pbr-aaa-10]quit#在以太网接口上应用策略aaa.
[Router]interfaceGigabitEthernet1/0[Router-GigabitEthernet1/0]ippolicy-based-routeaaa1.
4.
2基于报文大小的策略路由的配置举例1.
组网需求在RouterA的GigabitEthernet1/0接口上应用策略lab1.
这个策略将大小为64~100字节的报文设置150.
1.
1.
2/24作为下一跳IP地址;而将大小为101~1000字节的报文设置151.
1.
1.
2/24作为下一跳IP地址.
所有其它长度的报文都按照查找路由表的方式转发.
2.
组网图图1-2基于报文大小的策略路由的配置举例组网图GE1/0192.
1.
1.
1/24RouterBRouterAS2/0150.
1.
1.
2/24S2/0150.
1.
1.
1/24S2/1151.
1.
1.
2/24S2/1151.
1.
1.
1/2460~100bytes101~1000bytesEnablepolicyroutingonGE1/03.
配置步骤(1)配置RouterA#配置动态路由协议RIP.
system-view[RouterA]rip[RouterA-rip-1]network192.
1.
1.
0[RouterA-rip-1]network150.
1.
0.
0[RouterA-rip-1]network151.
1.
0.
0[RouterA-rip-1]quit#在以太网口GigabitEthernet1/0上应用定义的策略lab1,处理此接口接收的报文.
[RouterA]interfaceGigabitEthernet1/0[RouterA-GigabitEthernet1/0]ipaddress192.
1.
1.
1255.
255.
255.
0[RouterA-GigabitEthernet1/0]ippolicy-based-routelab1[RouterA-GigabitEthernet1/0]quit1-7#将大小为64~100字节的报文转发到下一跳150.
1.
1.
2;而将大小为101~1000字节的报文转发到下一跳151.
1.
1.
2.
[RouterA]interfaceserial2/0[RouterA-Serial2/0]ipaddress150.
1.
1.
1255.
255.
255.
0[RouterA-Serial2/0]quit[RouterA]interfaceserial2/1[RouterA-Serial2/1]ipaddress151.
1.
1.
1255.
255.
255.
0[RouterA-Serial2/1]quit[RouterA]policy-based-routelab1permitnode10[RouterA-pbr-lab1-10]if-matchpacket-length64100[RouterA-pbr-lab1-10]applyip-addressnext-hop150.
1.
1.
2[RouterA-pbr-lab1-10]quit[RouterA]policy-based-routelab1permitnode20[RouterA-pbr-lab1-20]if-matchpacket-length1011000[RouterA-pbr-lab1-20]applyip-addressnext-hop151.
1.
1.
2(2)配置RouterB#配置动态路由协议RIP.
system-view[RouterB]rip[RouterB-rip-1]network150.
1.
0.
0[RouterB-rip-1]network151.
1.
0.
0[RouterB]interfaceserial2/0[RouterB-Serial2/0]ipaddress150.
1.
1.
2255.
255.
255.
0[RouterB-Serial2/0]quit[RouterB]interfaceserial2/1[RouterB-Serial2/1]ipaddress151.
1.
1.
2255.
255.
255.
0[RouterB-Serial2/1]quit1.
4.
3反向入接口策略路由配置举例1.
组网需求网关设备RouterA通过两个接口(Serail2/0和Serial2/1)和公网连接.
用户PC从公网访问内网的HTTPServer服务,不妨设PC请求报文从RouterA接口Serial2/0进入,通过网关设备转发,从RouterA的私网接口GigabitEthernet0/1进入内网访问HTTPServer服务器.
要求从私网返回的响应报文从RouterA的接口GigabitEthernet0/1进入,经RouterA转发时,能够从原来请求报文的入接口Serial2/0进入公网,返回用户PC.
1-82.
组网图图1-3反向入接口策略路由配置举例组网图3.
配置步骤#配置RouterA各接口IP地址,并保证RouterA与公网连通(略).
#在接口Serial2/0上配置内部服务器功能,将HTTPServer的IP地址192.
168.
1.
2/24映射为200.
1.
1.
100/24(和RouterA的接口Serial2/0的IP地址在同一网段).
system-view[RouterA]interfaceSerial2/0[RouterA-Serial2/0]natserverprotocoltcpglobal200.
1.
1.
100wwwinside192.
168.
1.
2www[RouterA-Serial2/0]quit#在接口Serial2/1上配置内部服务器功能,将HTTPServer的IP地址192.
168.
1.
2/24映射为200.
2.
1.
100/24(和RouterA的接口Serial2/1的IP地址在同一网段).
[RouterA]interfaceSerial2/1[RouterA-Serial2/1]natserverprotocoltcpglobal200.
2.
1.
100wwwinside192.
168.
1.
2www[RouterA-Serial2/1]quit#定义10号节点,使匹配反向入接口Serial2/0的报文的下一跳地址为200.
1.
1.
2/16.
[RouterA]policy-based-routetestpermitnode10[RouterA-pbr-test-10]if-matchreverse-input-interfaceSerial2/0[RouterA-pbr-test-10]applyip-addressnext-hop200.
1.
1.
2[RouterA-pbr-test-10]quit#在以太网接口GigabitEthernet0/1上应用策略test.
[RouterA]interfaceGigabitEthernet0/1[RouterA-GigabitEthernet0/1]ippolicy-based-routetest