IP策略路由配置

38策略路由配置理解策略路由策略路由概述策略路由〔PBR：Policy-Based Routing〕提供了一种比基于目的地址进展路由转发更加灵敏的数据包路由转发机制。

策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵敏地进展路由选择。

现有用户网络，常常会出现使用到多个ISP〔Internet Server Provider，Internet效劳提供商〕资源的情形，不同ISP申请到的带宽不一；同时，同一用户环境中需要对重点用户资源保证等目的，对这局部用户不可以再根据普通路由表进展转发，需要有选择的进展数据报文的转发控制，因此，策略路由技术即可以保证ISP资源的充分利用，又可以很好的满足这种灵敏、多样的应用。

IP/IPv6策略路由只会对接口接收的报文进展策略路由，而对于从该接口转发出去的报文不受策略路由的控制；一个接口应用策略路由后，将对该接口接收到的所有包进展检查，不符合路由图任何策略的数据包将按照普通的路由转发进展处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进展转发。

一般情况下，策略路由的优先级高于普通路由，可以对IP/IPv6报文根据定义的策略转发；即数据报文先按照IP/IPv6策略路由进展转发，假如没有匹配任意一个的策略路由条件，那么再按照普通路由进展转发。

用户也可以配置策略路由的优先级比普通路由低，接口上收到的IP/IPv6报文那么先进展普通路由的转发，假如无法匹配普通路由，再进展策略路由转发。

用户可以根据实际情况配置设备转发形式，如选择负载平衡或者冗余备份形式，前者设置的多个下一跳会进展负载平衡，还可以设定负载分担的比重；后者是应用多个下一跳处于冗余形式，即前面优先生效，只有前面的下一跳无效时，后面次优的下一跳才会生效。

用户可以同时配置多个下一跳信息。

策略路由可以分为两种类型：一、对接口收到的IP报文进展策略路由。

该类型的策略路由只会对从接口接收的报文进展策略路由，而对于从该接口转发出去的报文不受策略路由的控制；二、对本设备发出的IP报文进展策略路由。

路由器策略路由设置功能简介：策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。

应用了策略路由，设备将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发设备。

一、组网需求：1、让内网的PC1访问222.222.222.0/24的地址，使用F0/1的线路2、PC2一直使用F0/2的线路3、其他电脑不限制二、组网拓扑：三、配置要点：1、配置策略路由前，保证网络使用正常2、策略路由的优先级高于普通路由，策略路由按序号从小到大顺序执行3、如果策略路由失效或没有匹配到策略路由，则设备会执行普通路由转发4、策略路由配置包括：匹配数据流（ACL）和执行策略（SET）四、配置步骤：注意：配置之前建议使用Ruijie#show ip interface brief 查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆)等等，以下配置以百兆接口为例。

步骤一、全局下定义触发策略路由的ACL规则Ruijie>enableRuijie#configure terminalRuijie(config)#access-list 100 permit host 192.168.1.2 222.222.222.0 0.0.0.255 ----->匹配源地址是192.168.1.2 ，目的地址是222.222.222.0/24的数据流Ruijie(config)#access-list 110 permit host 192.168.1.3 any ----->匹配源地址是192.168.1.3，目的地址是所有的数据流步骤二、定义策略路由图Ruijie(config)#route-map ruijie permit 10 ----->配置策略路由ruijie和序号为10Ruijie(config-route-map)#match ip address 100 ----->匹配列表100Ruijie(config-route-map)#set ip next-hop 218.30.14.1 ----->转发给218.30.14.1，或使用set interface f0/1Ruijie(config-route-map)#exitRuijie(config)#route-map ruijie permit 20 ----->配置同一个策略路由图ruijie，序号20Ruijie(config-route-map)#match ip address 110 ----->匹配列表110Ruijie(config-route-map)#set ip next-hop 120.98.10.1 ----->转发给120.98.10.1，或使用set interface f0/2Ruijie(config-route-map)#exit步骤三、在内网口上调用Ruijie(config)#interface fastEthernet 0/0Ruijie(config-if-FastEthernet 0/0)#ip policy route-map ruijie ----->接口上调用策略路由ruijie步骤四、保存配置Ruijie(config-if-FastEthernet 0/0)#endRuijie#write ------> 确认配置正确，保存配置五、验证命令：路由器Ruijie#show route-map ----->查看策略路由配置route-map ruijie, permit, sequence 10Match clauses:ip address 100Set clauses:ip next-hop 218.30.14.1route-map ruijie, permit, sequence 20Match clauses:ip address 110Set clauses:ip next-hop 120.98.10.1电脑上使用tracert测试“开始”-----“运行”----敲入cmdC:\Users\admin>tracert 222.222.222.2221 1 ms 1 ms 1 ms 192.168.1.1 ----->第一跳内网网关2 1 ms 1 ms 2 ms 218.30.14.1 ----->选择外网出口218.30.14.1的线路省略~~~跟踪完成。

第6章IP路由策略配置命令第6章IP路由策略配置命令6.1 ACL配置命令6.1.1 acl【命令】acl{ number acl-number |name acl-name[ basic| advanced|interface ] } [ match-order { config | auto } ]undo acl { number acl-number | name acl-name | all }【视图】系统视图【参数】number：定义一个数字型的ACL，ACL就是访问控制列表。

name：定义一个名字型的ACL。

basic：定义一个用途类型为基本的ACL。

advanced：定义一个用途类型为高级的ACL。

interface：定义一个用途类型为基于接口的ACL。

acl-number：访问控制列表的序号，为1到199和1000到1999之间的数字。

1～99范围的数字型访问控制列表是基本的访问控制列表，100～199范围的数字型访问控制列表是高级的访问控制列表，1000～1999是基于接口的访问控制列表。

acl-name：表示ACL名字。

match-order：指定规则的配置顺序。

config：指定匹配该规则时按用户的配置顺序。

auto：指定匹配该规则时系统自动排序（按“深度优先”的顺序）。

all：所有的ACL。

【描述】命令acl用于创建一个访问控制列表并进入ACL视图，命令undo acl用于删除访问控制列表。

在配置访问控制列表的规则之前，首先需要创建访问控制列表。

【举例】# 创建一个序号为10的ACL。

[Quidway] acl number 10[Quidway-acl-basic-10]# 创建一个名字为test的高级ACL。

[Quidway] acl name test advanced[Quidway-acl-adv-test]# 创建一个基于接口的名字为int的ACL。

[Quidway] acl name int interface[Quidway-acl-if-int]6.1.2 display acl【命令】display acl { all | acl-number | acl-name }【视图】所有视图。

路由策略和策略路由配置与管理路由策略和策略路由配置与管理“路由策略”与“策略路由”之间的区别就在于它们的主体（或者说“作⽤对象”）不同，前者的主体是“路由”，是对符合条件的路由（主要）通过修改路由属性来执⾏相应的策略动作（如允许通过、拒绝通过、接收、引⼊等），使通过这些路由的数据报⽂按照规定的策略进⾏转发；⽽后者的主体是数据报⽂，是对符合条件的数据报⽂（如报⽂的源地址、报⽂长度等）按照策略规定的动作进⾏操作（如设置报⽂的出接⼝和下⼀跳、设置报⽂的缺省出接⼝和下⼀跳等），然后转发。

“路由策略”如RIP、OSPF、IS-IS、BGP中动态路由信息发送（发布）/接收控制、路由选路、路由引⼊以及BGP路由属性配置等都⽤到了“路由策略”。

路由策略基础路由策略（Routing Policy）是通过使⽤不同的匹配条件和匹配模式来选择路由，或改变路由属性。

路由策略主要应⽤在路由信息发布、接收、引⼊和路由属性修改等⼏个⽅⾯：1、控制路由的发布可通过路由策略对所要发布的路由信息进⾏过滤，只允许发布满⾜条件的路由信息。

2、控制路由的接收可通过路由策略对所要接收的路由信息进⾏过滤，只允许接收满⾜条件的路由信息。

这样可以控制路由条⽬的数量，提⾼⽹络的路由效率。

3、控制路由的引⼊可通过路由策略只引⼊满⾜条件的路由信息，并控制所引⼊的路由信息的某些属性，使其满⾜本路由协议的路由属性要求。

4、设置路由的属性修改通过路由策略过滤的路由的属性，满⾜⾃⾝需要。

⼀、路由策略原理要实现路由策略，⾸先要定义将要实施路由策略的路由信息的特征，即定义⼀组匹配规则，这就是路由策略中必须使⽤的过滤器。

可以⽤路由信息中的不同属性作为过滤器的匹配依据，如路由的⽬的地址、源地址等。

然后将匹配规则应⽤于路由的发布、接收和引⼊等过程的策略中。

在⼀个路由策略中可以包括多组以if-match语句指定的匹配条件，这些匹配条件是以节点（Node）来进⾏标识的。

如果在⼀个路由策略中包括多个节点，则路由会按照节点号从⼩到⼤依次进⾏匹配，直到与某节点的条件完全匹配（后⾯的节点就不在去匹配了），如果到了路由策略中所包括的最后⼀个节点仍没有完全匹配，则该路由拒绝通过。

策略路由配置详解
一、策略路由的概念
策略路由是一种网络路由管理方法，它的基本思想是建立一组用来定
义所有网络流量及其传输路径的策略，并利用这组策略实现路由负载均衡，从而提高网络性能。

二、策略路由配置的要素
1.路由器
路由器是策略路由的基础，配置正确的路由器是策略路由正常运行的
关键，一般需要设置路由协议和路由策略。

2.协议
协议是指路由器交换机之间的连接，当路由器与交换机之间的连接类
型是协议时，策略路由就可以在此基础上正确工作，用户可以根据自身需
要选择合适的协议进行配置。

3.连接
连接是指策略路由需要通过路由器或交换机保持的一种物理连接，它
是策略路由的基础，因此必须正确配置路由器和交换机之间的连接，才能
确保策略路由的正常运行。

4.地址
地址是指在策略路由系统中所有设备的IP地址，这些地址是策略路
由网络中所有设备的唯一标识符，必须正确设置，才能使策略路由能够真
正发挥出效用。

5.策略
策略是指在策略路由系统中，路由器或交换机根据其中一种规则选择最佳路由策略，从而实现合理分配网络流量，提高网络性能。

华为交换机策略路由配置--产品实现华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口，匹配成功后将从指定接口发出去。

接口不是能以太网等广播类型接口（改为P2P即可），因为多个下一跳可能导致报文转发不成功。

3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳，仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)（关键）flash Set packet precedence to flash(3)（闪速）flash-override Set packet precedence to flash override(4)（疾速）immediate Set packet precedence to immediate(2)（快速）internet Set packet precedence to Internet control(6)（网间）network Set packet precedence to network control(7)（网内）priority Set packet precedence to priority(1)（优先）routine Set packet precedence to routine(0)（普通）3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由（可以创建多条）2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to match dlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。

ip route 策略路由
iproute策略路由是一种基于源地址或目的地址的路由选择策略。

在网络中，当多条路由可达目的地时，使用策略路由可以根据不同的需求选择最优的路径。

策略路由可以根据源地址或目的地址选择路由路径。

例如，当源地址为 A 地址时，选择路由路径 1；当源地址为 B 地址时，选择路由路径 2；当目的地址为 C 地址时，选择路由路径 3。

这样可以根
据网络拓扑结构、网络负载和网络安全等需求，灵活地选择路由路径。

在 Linux 系统中，可以使用 ip route 命令实现策略路由。

例如，使用以下命令将源地址为 A 地址的数据包通过路由器 1 转发： ip route add table 1 via 192.168.1.1 dev eth0 src
192.168.2.2
其中，table 1 表示新建的路由表，192.168.1.1 是路由器 1 的IP 地址，eth0 是出口网卡，192.168.2.2 是源地址。

这样，当源地址为 192.168.2.2 时，数据包将会通过路由器 1 转发。

策略路由是网络中路由选择的一种重要策略，可以根据不同的需求选择最优的路径。

在实际应用中，需要根据网络拓扑结构、网络需求和网络安全等因素，合理地使用策略路由。

- 1 -。