路由策略讲义课件

RA-003IP路由策略与策略路由ISSUE2.0日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播 理解路由策略和策略路由的基本概念 掌握应用路由策略的五种过滤工具的使用 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 掌握如何利用Route-policy实现IP单播及IP组播策略路由课程目标学习完本课程，您应该能够： 路由策略 策略路由目录www.h3c.com*路由策略路由策略概述访问控制列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf （ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 。此页仅授课时使用，胶片＋注释不引用。www.h3c.com*路由的发布、接收和引入 如何有选择性的发布、接收和引入路由？此页标题禁止有多级标题，更不要出现所在章节的名称。此页标题要简练，能直接表达出本页的内容。内容页可以除标题外的任何版式，如图、表等。该页在授课和胶片＋注释中都要使用。www.h3c.com*IP路由策略 路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤，比如只接收或发布一部分满足给定条件的路由信息； 路由器在引入其它路由协议的路由信息时，可能需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置或修改，以使其满足本协议的要求。 为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则，可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、发布路由信息的路由器地址等。www.h3c.com*五种常见的路由过滤方法 访问控制列表（ACL） 前缀列表（ip-prefix） 自治系统路径信息访问列表（as-pathlist） 团体属性列表（community-list） Route-policywww.h3c.com*路由策略路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。www.h3c.com*访问控制列表（ACL） 访问控制列表分为三类： Advanced：表示高级访问控制列表； Basic：表示基本访问控制列表； Interface：表示基于接口的访问控制列表； 在对路由信息过滤时，一般使用基本访问列表和高级访问控制列表。 使用基本访问控制列表，在定义访问列表时指定一个源IP地址或子网的范围，用于匹配路由信息的源地址。 使用高级访问列表，则可以使用协议类型、源/目的地址或端口号等多种参数匹配路由信息。www.h3c.com*利用ACL实现路由发布和接收策略（一） 在BGP视图下，对BGP邻居（组）发布或接收路由时根据ACL规则进行路由过滤peer{group-name|peer-address}filter-policyacl-number{import|export}[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource10.1.0.00.0.255.255[H3C-acl-basic-2000]ruledenysourceany[H3C]bgp65400[H3C-bgp]peer1.1.1.1filter-policy2000importwww.h3c.com*利用ACL实现路由发布和接收策略（二） 在BGP/OSPF/RIP/IS-IS视图下，利用filter-policy根据ACL规则对发布或接收的路由进行过滤filter-policyacl-numberexport[routing-protocol]filter-policyacl-numberimport[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource10.1.0.00.0.255.255[H3C-acl-basic-2000]ruledenysourceany[H3C]aclnumber2001[H3C-acl-basic-2001]rulepermitsource10.2.0.00.0.255.255[H3C-acl-basic-2001]ruledenysourceany[H3C]rip[H3C-rip]filter-policy2000import[H3C-rip]filter-policy2001exportwww.h3c.com*路由策略路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。www.h3c.com*前缀列表（ip-prefix） 前缀列表（ip-prefix）通过IP地址以及掩码长度范围来定义一定的IP前缀范围。ipip-prefixip-prefix-name[indexindex-number]{permit|deny}networklen[greater-equalgreater-equal|less-equalless-equal] 注意： 地址前缀列表的各表项之间的过滤关系是“或”的关系，即通过一条表项的过滤就意味着通过该地址前缀列表的过滤。若没有通过任一表项的过滤，则通不过该地址前缀列表的过滤。ip-prefix-name：指定地址前缀列表名，唯一标识一个地址前缀列表。index-number：标识地址前缀列表中的一条表项，index-number小的表项先被测试。permit：指定所定义的地址前缀列表表项的匹配模式为允许模式。当指定为允许模式并且待过滤的IP地址在该表项指定的前缀范围内时，通过该表项的过滤不进入下一个结点的测试）；如待过滤的IP地址不在该表项指定的前缀范围内，则进行下一表项测试。deny：指定所定义的地址前缀列表表项的匹配模式为拒绝模式。当指定为拒绝模式并且待过滤的IP地址在该表项指定的前缀范围内时，通不过该表项的过滤，并且不会进行下一个表项的测试，否则进入下一表项的测试。network：指定IP地址前缀范围（IP地址），当指定为0.0.0.00时匹配所有IP地址。len：指定IP地址前缀范围（掩码长度），当指定为0.0.0.00时匹配所有IP地址。greater-equal、less-equal：指定匹配networklen地址前缀后还需匹配的地址前缀范围[greater-equal，less-equal]。greater-equal的含义为“大于等于”，less-equal的含义为“小于等于”，其取值范围为len<=greater-equal<=less-equal<=32，当只指定greater-equal时，表示前缀范围[greater-equal，32]，当只指定less-equal时，表示前缀范围[len，less-equal]。www.h3c.com*前缀列表（ip-prefix）配置举例（一）#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为17或18的路由通过。[H3C]ipip-prefixp1permit10.0.192.08greater-equal17less-equal18 上面的掩码长度8可以看做一个大的范围，即10.0.0.0/8；后面的掩码长度大于17小于18则表示一个较小的范围，因此实际匹配的网段为： 10.0.128.0/17或 10.0.192.0/18www.h3c.com*前缀列表（ip-prefix）配置举例（二） 实际匹配的掩码长度范围8～17，实际匹配的网段为： 10.0.0.0/8或 10.0.0.0/9或 …… 10.0.0.0/16或 10.0.128.0/17#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为小于17路由通过。[H3C]ipip-prefixp1permit10.0.192.08less-equal17www.h3c.com*前缀列表（ip-prefix）配置举例（三） 实际匹配的掩码长度范围18～32，实际匹配的网段为： 10.0.192.0/18或 10.0.192.0/19或 …… 10.0.192.0/31或 10.0.192.0/32#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为大于18的路由通过。[H3C]ipip-prefixp1permit10.0.192.08greater-equal18www.h3c.com*前缀列表（ip-prefix）配置举例（四） 实际匹配的掩码长度范围8，实际匹配的网段为： 10.0.0.0/8#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的路由通过。[H3C]ipip-prefixp1permit10.0.192.08www.h3c.com*利用前缀列表实现路由发布和接收策略（一） 在BGP视图下，对BGP邻居（组）发布或接收路由时根据前缀列表（ip-prefix）规则进行路由过滤peer{group-name|peer-address}ip-prefixprefixname{import|export}[H3C]ipip-prefixp1permit10.0.192.08greater-equal17less-equal18[H3C]bgp65400[H3C-bgp]peer1.1.1.1ip-prefixp1import注意：对于单一的BGP邻居只能对接收的路由（import）进行过滤，对特定的BGP邻居组则可以对发布（export）和接收的路由都进行过滤。www.h3c.com*利用前缀列表实现路由发布和接收策略（二） 在BGP/OSPF/RIP/IS-IS视图下，利用filter-policy根据前缀列表（ip-prefix）规则对发布或接收的路由进行过滤 只接收来自由前缀列表（ip-prefix）规则所匹配的特定网关（路由器）的路由 filter-policygatewayip-prefix-nameimport 只发布或接收由前缀列表（ip-prefix）规则所匹配的路由filter-policyip-prefixip-prefix-nameimportfilter-policyip-prefixip-prefix-nameexport[protocol] 只接收来自由前缀列表（ip-prefix）规则所匹配的特定网关（路由器），而且配置一定前缀列表（ip-prefix）规则的路由filter-policyip-prefixip-prefix-namegatewayip-prefix-nameimportwww.h3c.com*利用前缀列表实现路由发布和接收策略（三）只接收来自BGP邻居10.1.1.1的路由[H3C]ipip-prefixp1permit10.1.1.132[H3C]bgp65400[H3C-bgp]filter-policygatewayp1import只发布和接收10.0.128.0/17或10.0.192.0/18网段的路由[H3C]ipip-prefixp1permit10.0.192.08greater-equal17less-equal18[H3C]bgp65400[H3C-bgp]filter-policyip-prefixp1import[H3C-bgp]filter-policyip-prefixp1exportwww.h3c.com*利用前缀列表实现路由发布和接收策略（四）只接收来自BGP邻居10.1.1.1，关于10.0.128.0/17或10.0.192.0/18网段的路由[H3C]ipip-prefixp1permit10.1.1.132[H3C]ipip-prefixp2permit10.0.192.08greater-equal17less-equal18[H3C]bgp65400[H3C-bgp]filter-policyip-prefixp2gatewayp1importwww.h3c.com*路由策略路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。www.h3c.com*自治系统路径信息访问列表（as-pathlist） AS-path，也就是自治系统路径信息，是BGP路由的重要属性之一。而自治系统路径信息访问列表（as-pathlist）则主要利用正则表达式的方式来定义一组用于匹配AS-path列表的规则。ipas-path-aclaspath-acl-number{permit|deny}as-regular-expression正则表达式是按照一定的模板来匹配字符串的公式。www.h3c.com*常见的正则表达式符号 符号 说明 ^ 匹配一个字符串的开始。如“^200”表示只匹配AS_PATH的第一个值为200（“/b”也可用来表示字符串的开始） $ 匹配一个字符串的结束。如“200$”表示只匹配AS_PATH的最后一个值为200 . 匹配任何单个字符，包括空格。但是有些厂商实现的不一样，比如阿尔卡特的这个字符也可以匹配一个AS号。 + 匹配前面的一个字符或者一个序列，1次或者多次出现。 _ 匹配一个符号。如逗号，括号，空格符号等。 * 匹配前面的一个字符或者一个序列，可以0次或者多次出现。 ？ 匹配前面的一个字符，可以0次或者多次出现。 () 匹配的变化的AS或者一个独立的匹配，通常和“|”一起使用。 | 逻辑或 [] 匹配的一个范围内的AS，通常和“-”一起使用 - 连接符www.h3c.com*正则表达式的用法举例（一）ipas-path-acl2deny70$（拒绝从AS70始发的路由）ipas-path-acl2permit.*（允许其他AS的路由）www.h3c.com*正则表达式的用法举例（二）ipas-path-acl2permit_30.+70$（接受从AS70始发的路由但是要经过AS30）ipas-path-acl2permit_3070$（有可能AS30与AS70直接相连）ipas-path-acl2deny70$（拒绝从AS70始发的路由）ipas-path-acl2permit.*（允许其他AS的路由）www.h3c.com*问题ipas-path-acl2permit_30.+70$ipas-path-acl2permit_3070$有必要写成两句吗？此处给出与本章目标紧密相连的主要问题，题目尽量出思考题或讨论题，引导学员思考，引出后面的讨论话题。学员用书中的题目尽量是实际操作或答案明确的发散性不强的题目。此页不出现在胶片＋注释中。www.h3c.com*解答实际上写成一句就可以了ipas-path-acl2permit_30（.*）70$答案可以不必写出，此页可无。如果有答案，不必写道胶片＋注释中。www.h3c.com*正则表达式的用法举例（三）ipas-path-acl2permit_30.+(7[0-9]|8[0-9]|9[0-9]|1[0-3][0-9]|140)$（接受从AS70-140始发的路由但是要经过AS30）ipas-path-acl2permit_30(7[0-9]|8[0-9]|9[0-9]|1[0-3][0-9]|140)$（有可能AS30与AS70-140直接相连）ipas-path-acl2deny(7[0-9]|8[0-9]|9[0-9]|1[0-3][0-9]|140)$（拒绝从AS70-140始发的路由）ipas-path-acl2permit.*（允许其他AS的路由）www.h3c.com*问题ipas-path-acl2permit_30.+(7[0-9]|8[0-9]|9[0-9]|1[0-3][0-9]|140)$这条也太长了吧，能简化？此处给出与本章目标紧密相连的主要问题，题目尽量出思考题或讨论题，引导学员思考，引出后面的讨论话题。学员用书中的题目尽量是实际操作或答案明确的发散性不强的题目。此页不出现在胶片＋注释中。www.h3c.com*解答可以改为ipas-path-acl2permit_30.+(7.|8.|9.|1[0-3].|140)$(作用与以前的一样)答案可以不必写出，此页可无。如果有答案，不必写道胶片＋注释中。www.h3c.com*利用as-pathlist实现路由发布和接收策略（一） 在BGP视图下，对BGP邻居（组）发布或接收路由时根据自治系统路径信息访问列表（as-pathlist）规则进行路由过滤peer{group-name|peer-address}as-path-aclaspath-acl-number{import|export}注意：对于单一的BGP邻居只能对接收的路由（import）进行过滤，对特定的BGP邻居组则可以对发布（export）和接收的路由都进行过滤。www.h3c.com*利用as-pathlist实现路由发布和接收策略（二）[H3C]ipas-path-acl100deny^$[H3C]ipas-path-acl100permit.*[H3C]bgp65400[H3C-bgp]groupinpeerinternal[H3C-bgp]peer3.3.3.3groupinpeer[H3C-bgp]peerinpeeras-path-acl100exportwww.h3c.com*路由策略路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。www.h3c.com*团体属性列表（community-list） 团体属性是BGP的重要属性之一，通过定义团体属性列表，我们可以很灵活的对一定数量的路由进行操作。ipcommunity-list命令则是用来配置一个BGP团体列表的匹配规则，以方便我们对携带团体属性的BGP路由进行过滤ipcommunity-liststand-comm-list-number{permit|deny}{aa:nn|internet|no-export-subconfed|no-advertise|no-export}ipcommunity-listext-comm-list-number{permit|deny}as-regular-expressionwww.h3c.com*团体属性列表（community-list）参数介绍 团体属性列表可分为标准以及扩展两种。 标准团体属性列表参数： aa:nn：团体号，aa一般为自治系统号，nn为赋值 internet：通告所有路由。（缺省属性） no-export-subconfed：不向本地自治系统外发送匹配路由 no-advertise：为不向任何同伴发送匹配路由 no-export：不向自治系统外部通告路由，但发布给其它子自治系统 扩展团体属性列表参数： as-regular-expression：正则表达式格式的团体属性（以正则表达式进行团体属性值的匹配）www.h3c.com*团体属性列表配置举例#定义一个团体属性列表，匹配团体号65400:10[H3C]ipcommunity-list1permit65400:10#定义一个团体属性列表，匹配团体号65400:10，不向本地自治系统外通告具有该团体属性的路由[H3C]ipcommunity-list1permit65400:10no-export-subconfedwww.h3c.com*利用团体属性列表实现路由发布和接收策略 在BGP邻居进行接收和发布路由过滤时，团体属性列表不能像前面介绍的访问控制列表，前缀列表和as-pathlist一样单独使用，而必须和Route-policy一起使用（作为Route-policy中的匹配条件） 对特定的BGP路由赋予团体属性值，也是Route-policy的动作之一。www.h3c.com*路由策略路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。www.h3c.com*Route-policy Route-policy是最强大的路由策略工具，前面介绍的访问控制列表，前缀列表，as-pathlist和团体属性列表都可以作为Route-policy的匹配规则，以实现灵活的路由匹配和过滤 Route-policy不仅可以实现路由的过滤（permitordeny），还可以对符合规则的路由增加或修改相关的路由属性。 Route-policy可以用于在接收和发布路由时的路由策略，同时也是唯一的可用于路由引入时的路由策略工具。www.h3c.com*配置Route-policy 定义Route-policy节点并进入Route-policy视图：route-policyroute-policy-name{permit|deny}node{node-number} 一个routingpolicy下可以有多个节点，不同的节点号用node-number进行标识，不同node-number各个部分之间的关系是“或”的关系 每个节点下可以有多个if-match和apply子句，if-match子句之间是“与”的关系 允许模式：当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的if-match子句，该路由策略的下一个节点将被测试 拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤，并且不会进行下一个节点的测试www.h3c.com*Route-policy的执行规则Nwww.h3c.com*Route-policy用于路由策略的if-match子句 操作 命令 匹配BGP路由信息的AS路径域 if-matchas-pathacl-number 匹配BGP路由信息的团体属性 if-matchcommunity{standard-community-number[whole-match]|extended-community-number} 匹配路由信息的目的地址 if-match{aclacl-number|ip-prefixip-prefix-name} 匹配路由信息下一跳接口 if-matchinterface[interface-typenumber] 匹配路由信息的下一跳 if-matchipnext-hop{aclacl-number|ip-prefixip-prefix-name} 匹配路由信息的路由权值 if-matchcostvalue 匹配OSPF路由信息的标记域 if-matchtagvalueif-match子句定义匹配准则，也就是路由信息通过当前Route-policy所需满足的过滤条件，匹配对象是路由信息的一些属性。缺省情况下，不进行任何匹配。需要注意：对于同一个Route-policy节点，在匹配的过程中，各个if-match子句间是“与”的关系，即路由信息必须同时满足所有match才算满足节点的匹配，可以执行apply子句的动作。如不指定if-match子句，则所有路由信息都会通过该节点的过滤。www.h3c.com*Route-policy用于路由策略的apply子句 操作 命令 在BGP路由信息的as-path系列前加入指定的AS号 applyas-pathas-number-1[as-number-2[as-number-3...]] 在BGP路由信息中设置团体属性 applycommunity{{aa:nn|no-export-subconfed|no-advertise|no-export}…[additive]|additive|none} 设置路由信息的下一跳地址 applyip-address[default]{next-hopip-address[ip-address]|aclacl-number} 设置引入路由到IS-IS的级别：level-1、level-2还是level-1-2 applyisis[level-1|level-2|level-1-2] 设置BGP路由信息的本地优先级 applylocal-preferencelocalpref 设置路由信息的路由权值 applycostvalue 设置路由信息的路由权类型 applycost-type[internal|external] 设置BGP路由信息的路由源 applyorigin{igp|egpas-number|incomplete} 设置OSPF路由信息的标记域 applytagvalueapply子句指定动作，也就是在满足由if-match子句指定的过滤条件后所执行的一些配置命令，对路由的一些属性进行修改。缺省情况下，不进行任何设置。请注意：如果满足Route-policy中指定的匹配条件，并且在向EBGP同伴通告IGP路由时通告了applycost-typeinternal配置的MED值，那么该值将作为IGP路由的MED值。用applycost-typeinternal所配置的优先级低于applycost命令，高于defaultmed命令。www.h3c.com*利用Route-policy实现路由发布和接收策略（一） 在BGP视图下，对BGP邻居（组）发布或接收路由时根据Route-policy规则进行路由过滤peer{group-name|peer-address}route-policyroute-policy-name{import|export}注意：对于单一的BGP邻居只能对接收的路由（import）进行过滤，对特定的BGP邻居组则可以对发布（export）和接收的路由都进行过滤。www.h3c.com*利用Route-policy实现路由发布和接收策略（二）[H3C]ipcommunity-list1permit65400:10[H3C]route-policyoutpermitnode10[H3C-route-policy]if-matchcommunity1[H3C-route-policy]applycost77[H3C]bgp65400[H3C-bgp]groupexpeerexternal[H3C-bgp]peer202.4.1.1groupexpeeras-number65411[H3C-bgp]peerexpeerroute-policyoutexportwww.h3c.com*问题 如果上面例子中的要求改为 “对EBGP邻居发布路由时将团体属性为65400:10的路由的MED值修改为77；对于其他路由不作修改” 怎么办？此处给出与本章目标紧密相连的主要问题，题目尽量出思考题或讨论题，引导学员思考，引出后面的讨论话题。学员用书中的题目尽量是实际操作或答案明确的发散性不强的题目。此页不出现在胶片＋注释中。www.h3c.com*解答 很简单，在定义Route-policy的时候加上一个空的节点node20就可以了：[H3C]route-policyoutpermitnode20答案可以不必写出，此页可无。如果有答案，不必写道胶片＋注释中。www.h3c.com*利用Route-policy实现路由引入时的策略（一） 在进行路由引入时实现路由策略，在不同路由协议中参数也有所不同：RIP：import-routeprotocol[allow-ibgp][costvalue][route-policyroute-policy-name]OSPF：import-routeprotocol[allow-ibgp][costvalue][typevalue][tagvalue][route-policyroute-policy-name]BGP：import-routeprotocol[medmed-value][route-policyroute-policy-name]networkip-address[address-mask][route-policyroute-policy-name]在IGP协议（如RIP、OSPF）中配置路由引入，特别是引入BGP路由时，需要注意allow-ibgp参数allow-ibgp：当protocol为BGP时，allow-ibgp为可选关键字。import-routebgp表示只引入EBGP路由，import-routebgpallow-ibgp表示将IBGP路由也引入，该配置危险，可能会引起环路，请慎用！www.h3c.com*利用Route-policy实现路由引入时的策略（二）AS65400在BGP中network本地直连路由网段10.1.1.0/24时对路由打上团体属性值65400:10，引入OSPF路由时对其中的10.1.2.0/24网段打上团体属性65400:20no-export-subconfed，不向自治系统之外进行通告[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource10.1.2.00.0.0.255[H3C-acl-basic-2000]ruledenysourceany[H3C]route-policysetcom-1permitnode10[H3C-route-policy]applycommunity65400:10[H3C]route-policysetcom-2permitnode10[H3C-route-policy]if-matchacl2000[H3C-route-policy]applycommunity65400:20no-export-subconfed[H3C-route-policy]route-policysetcom-2permitnode20[H3C]bgp65400[H3C-bgp]network10.1.1.0255.255.255.0route-policysetcom-1[H3C-bgp]import-routeospfroute-policysetcom-2www.h3c.com*小结：路由策略的选择 匹配IP地址 匹配AS-PATH 匹配团体属性 路由接收 IPPrefix，ACL，IPPrefixGateway，route-policy（IPPrefix，ACL） AS-pathlist，route-policy（AS-pathlist） route-policy（community-list） 路由发布 IPPrefix，ACL，route-policy（IPPrefix，ACL） AS-pathlist，route-policy（AS-pathlist） route-policy（community-list） 路由引入 route-policy（IPPrefix，ACL） route-policy（AS-pathlist） route-policy（community-list）对本章的课程内容、要达到的能力和注意事项等进行 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 小结可以不仅限于一个章结束时使用，一段相对完整的内容讲授完就可以总结一下。此页授课和胶片＋注释都要使用。 路由策略 策略路由目录www.h3c.com*IP策略路由 什么是策略路由？ 与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由是一种依据用户制定的策略进行路由选择的机制。 路由策略和策略路由 路由策略的操作对象是“路由”信息，主要通过对路由的过滤和对路由属性或参数的设置来间接影响数据转发。 策略路由的操作对象是“数据包”，主要通过设定的策略直接指导数据的转发。www.h3c.com*两种IP策略路由 IP策略路由通常分为两种： IP单播策略路由 IP组播策略路由 不管是单播还是组播策略路由配置需要做两方面的工作，一是定义那些需要使用策略路由的报文，二是为这些报文指定路由，和路由策略一样，这可以通过对一个Route-policy的定义来实现。 if-match子句定义了那些需要使用策略路由的报文 当报文满足route-policy中的if-match子句时，则执行策略中的apply子句，以完成报文的转发www.h3c.com*IP单播策略路由 IP单播策略路由可以分为接口策略路由和本地策略路由两种： 接口策略路由：在接口视图下配置（应用于报文到达的接口上），作用于到达该接口的报文 本地策略路由：在系统视图下配置，对本机产生的报文进行策略路由。策略路由可应用于安全、负载分担等目的。对于一般转发和安全等方面的使用需求，大多数情况下使用的是接口策略路由！www.h3c.com*IP单播策略路由的配置 创建策略Route-policy 定义Route-policy的if-match子句 定义Route-policy的apply子句 使能/禁止本地策略路由 使能/禁止接口策略路由此页标题禁止有多级标题，更不要出现所在章节的名称。此页标题要简练，能直接表达出本页的内容。内容页可以除标题外的任何版式，如图、表等。该页在授课和胶片＋注释中都要使用。www.h3c.com*用于IP单播策略路由的if-match子句 IP单播策略路由提供两种if-match子句，if-matchpacket-length子句和if-matchacl子句。一条策略中可以包含多条if-match子句，多条if-match子句可以组合使用。 操作 命令 设置IP报文长度匹配条件 if-matchpacket-lengthmin-lenmax-len 设置IP地址匹配条件 if-matchaclacl-numberwww.h3c.com*用于IP单播策略路由的apply子句 操作 命令 设置报文的优先级 applyip-precedenceprecedence 设置报文的发送接口 applyoutput-interfaceinterface-typeinterface-number[...interface-typeinterface-number] 设置报文的下一跳 applyip-addressnext-hopip-address[...ipaddress] 设置报文缺省发送接口 applydefaultoutput-interfaceinterface-typeinterface-number[...interface-typeinterface-number] 设置报文缺省下一跳 applyip-addressdefaultnext-hopip-address[...ipaddress]用户可指定多个下一跳或者设置多个出接口，此时，报文的转发将在多个合法参数中负载分担，即轮流在每一个下一跳或者出接口上发送一个报文。以上叙述只对于同种配置的多个参数有效，如果同时配置了出接口和下一跳，仅在出接口的设置中进行负载分担。www.h3c.com*接口策略路由和本地策略路由 配置接口策略路由 配置本地策略路由 操作 命令 使能接口策略路由 ippolicyroute-policypolicy-name 操作 命令 使能本地策略路由 iplocalpolicyroute-policypolicy-namewww.h3c.com*IP单播策略路由的配置举例（一）从接口E0/0进入路由器的去往10.1.1.0/24的TCP报文强制走S1/0，对于其他的报文不作策略路由的控制[H3C]aclnumber3001[H3C-acl-adv-3001]rulepermittcpdestination10.1.1.00.0.0.255[H3C]route-policya1permitnode10[H3C-route-policy]if-matchacl3001[H3C-route-policy]applyoutput-interfaceSerial1/0[H3C-route-policy]route-policya1permitnode20[H3C]interfaceEthernet0/0[H3C-Ethernet0/0]ippolicyroute-policya1www.h3c.com*问题 在上面例子中如果要求实现去往10.1.1.0/24的TCP报文在S1/0和S1/1端口上的负载分担，应该如何配置？此处给出与本章目标紧密相连的主要问题，题目尽量出思考题或讨论题，引导学员思考，引出后面的讨论话题。学员用书中的题目尽量是实际操作或答案明确的发散性不强的题目。此页不出现在胶片＋注释中。www.h3c.com*解答 很简单，在定义Route-policy的apply子句的时候加上一个新的接口就可以了[H3C-route-policy]applyoutput-interfaceSerial1/0Serial1/1在使用策略路由时，用户可指定多个下一跳或者设置多个出接口，此时，报文的转发将在多个合法参数中负载分担，即轮流在每一个下一跳或者出接口上发送一个报文。以上叙述只对于同种配置的多个参数有效，如果同时配置了出接口和下一跳，仅在出接口的设置中进行负载分担。答案可以不必写出，此页可无。如果有答案，不必写道胶片＋注释中。www.h3c.com*IP单播策略路由的配置举例（二）从接口E0/0进入路由器的64～100字节的报文设置150.1.1.2作为下一转发IP地址，大小为101～1000字节的报文设置151.1.1.2作为下一转发IP地址。所有其它长度的报文都按基于目的地址的路由方法路由。[H3C]route-policya1permitnode10[H3C-route-policy]if-matchpacket-length64100[H3C-route-policy]applyip-addressnext-hop150.1.1.2[H3C-route-policy]route-policya1permitnode20[H3C-route-policy]if-matchpacket-length1011000[H3C-route-policy]applyip-addressnext-hop151.1.1.2[H3C-route-policy]route-policya1permitnode30[H3C]interfaceEthernet0/0[H3C-Ethernet0/0]ippolicyroute-policya1www.h3c.com*IP组播策略路由概述 IP组播策略路由是对组播通常的按照路由表进行报文转发功能的一种补充和增强，它依照用户指定的策略来转发组播报文。 IP组播策略路由通过配置route-policy来实现，它是单播策略路由的一种扩展，由用户输入的一组if-match和apply语句来描述。if-match子句定义匹配准则，也就是通过当前route-policy规定所需满足的过滤条件，它规定当组播报文满足匹配条件时，不再按照通常的流程来转发，而是按照用户设置的 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 （由apply语句描述）进行转发。www.h3c.com*IP组播策略路由配置 定义route-policy 定义IP组播路由策略的if-match子句 定义route-policy的apply子句 在接口上使能IP组播策略路由www.h3c.com*用于IP组播策略路由的if-match子句 组播策略路由只考虑策略节点中的if-matchacl配置，其它任何if-match子句与组播策略路由的转发无关如果报文满足某个策略节点中指定的If-match条件，则执行该节点所指定的动作；如果报文不满足某个策略节点中指定的If-match条件，则继续检查下一个节点；如果所有的策略节点的条件都不满足，则报文将回到正常的转发流程中处理。 操作 命令 设置组播报文需要匹配的条件 if-matchaclacl-numberwww.h3c.com*用于IP组播策略路由的apply子句 通过访问控制列表（ACL）来为IP组播策略路由指定出接口列表和下一跳IP地址列表。对于下一跳IP地址，指定的ACL是基本ACL（2000～2999），对于出接口设置，指定的是基于接口的ACL（1000～1999） 操作 命令 为策略节点中配置出接口列表 applyoutput-interfaceaclacl-number 为策略节点中配置下一跳IP地址列表 applyip-addressnext-hop{aclacl-number|ip-address[ip-address]}www.h3c.com*在接口上使能IP组播策略路由 当在路由器一个接口上配置了IP组播策略路由以后，对于所有从该接口进入路由器的组播数据报文（不包括组播协议报文，例如组播路由协议产生的报文），都将进行过滤处理。 操作 命令 在接口上使能IP组播路由策略 ipmulticast-policyroute-policypolicy-name 取消在接口上应用的某条IP组播路由策略 undoipmulticast-policyroute-policypolicy-namewww.h3c.com*总结 路由策略 访问控制列表（ACL） 前缀列表（ip-prefix） 自治系统路径信息访问列表（as-pathlist） 团体属性列表（community-list） Route-policy 策略路由 IP单播策略路由 IP组播策略路由杭州华三通信技术有限公司www.h3c.com此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。此页标题禁止有多级标题，更不要出现所在章节的名称。此页标题要简练，能直接表达出本页的内容。内容页可以除标题外的任何版式，如图、表等。该页在授课和胶片＋注释中都要使用。此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。ip-prefix-name：指定地址前缀列表名，唯一标识一个地址前缀列表。index-number：标识地址前缀列表中的一条表项，index-number小的表项先被测试。permit：指定所定义的地址前缀列表表项的匹配模式为允许模式。当指定为允许模式并且待过滤的IP地址在该表项指定的前缀范围内时，通过该表项的过滤不进入下一个结点的测试）；如待过滤的IP地址不在该表项指定的前缀范围内，则进行下一表项测试。deny：指定所定义的地址前缀列表表项的匹配模式为拒绝模式。当指定为拒绝模式并且待过滤的IP地址在该表项指定的前缀范围内时，通不过该表项的过滤，并且不会进行下一个表项的测试，否则进入下一表项的测试。network：指定IP地址前缀范围（IP地址），当指定为0.0.0.00时匹配所有IP地址。len：指定IP地址前缀范围（掩码长度），当指定为0.0.0.00时匹配所有IP地址。greater-equal、less-equal：指定匹配networklen地址前缀后还需匹配的地址前缀范围[greater-equal，less-equal]。greater-equal的含义为“大于等于”，less-equal的含义为“小于等于”，其取值范围为len<=greater-equal<=less-equal<=32，当只指定greater-equal时，表示前缀范围[greater-equal，32]，当只指定less-equal时，表示前缀范围[len，less-equal]。此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。此处给出与本章目标紧密相连的主要问题，题目尽量出思考题或讨论题，引导学员思考，引出后面的讨论话题。学员用书中的题目尽量是实际操作或答案明确的发散性不强的题目。此页不出现在胶片＋注释中。答案可以不必写出，此页可无。如果有答案，不必写道胶片＋注释中。此处给出与本章目标紧密相连的主要问题，题目尽量出思考题或讨论题，引导学员思考，引出后面的讨论话题。学员用书中的题目尽量是实际操作或答案明确的发散性不强的题目。此页不出现在胶片＋注释中。答案可以不必写出，此页可无。如果有答案，不必写道胶片＋注释中。此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。此页用来描述该章的授课内容，方便老师授课。这种形式适合于本章下面不再细分节的情况。内容处将本章要讲解的主要内容列成简练的标题。此页仅授课时使用，胶片＋注释不引用。if-match子句定义匹配准则，也就是路由信息通过当前Route-policy所需满足的过滤条件，匹配对象是路由信息的一些属性。缺省情况下，不进行任何匹配。需要注意：对于同一个Route-policy节点，在匹配的过程中，各个if-match子句间是“与”的关系，即路由信息必须同时满足所有match才算满足节点的匹配，可以执行apply子句的动作。如不指定if-match子句，则所有路由信息都会通过该节点的过滤。apply子句指定动作，也就是在满足由if-match子句指定的过滤条件后所执行的一些配置命令，对路由的一些属性进行修改。缺省情况下，不进行任何设置。请注意：如果满足Route-policy中指定的匹配条件，并且在向EBGP同伴通告IGP路由时通告了applycost-typeinternal配置的MED值，那么该值将作为IGP路由的MED值。用applycost-typeinternal所配置的优先级低于applycost命令，高于defaultmed命令。此处给出与本章目标紧密相连的主要问题，题目尽量出思考题或讨论题，引导学员思考，引出后面的讨论话题。学员用书中的题目尽量是实际操作或答案明确的发散性不强的题目。此页不出现在胶片＋注释中。答案可以不必写出，此页可无。如果有答案，不必写道胶片＋注释中。在IGP协议（如RIP、OSPF）中配置路由引入，特别是引入BGP路由时，需要注意allow-ibgp参数allow-ibgp：当protocol为BGP时，allow-ibgp为可选关键字。import-routebgp表示只引入EBGP路由，import-routebgpallow-ibgp表示将IBGP路由也引入，该配置危险，可能会引起环路，请慎用！对本章的课程内容、要达到的能力和注意事项等进行总结小结可以不仅限于一个章结束时使用，一段相对完整的内容讲授完就可以总结一下。此页授课和胶片＋注释都要使用。此页标题禁止有多级标题，更不要出现所在章节的名称。此页标题要简练，能直接表达出本页的内容。内容页可以除标题外的任何版式，如图、表等。该页在授课和胶片＋注释中都要使用。用户可指定多个下一跳或者设置多个出接口，此时，报文的转发将在多个合法参数中负载分担，即轮流在每一个下一跳或者出接口上发送一个报文。以上叙述只对于同种配置的多个参数有效，如果同时配置了出接口和下一跳，仅在出接口的设置中进行负载分担。此处给出与本章目标紧密相连的主要问题，题目尽量出思考题或讨论题，引导学员思考，引出后面的讨论话题。学员用书中的题目尽量是实际操作或答案明确的发散性不强的题目。此页不出现在胶片＋注释中。答案可以不必写出，此页可无。如果有答案，不必写道胶片＋注释中。