路由策略讲解

策略路由，路由策略前⾔：在企业⽹络中，常⾯临⾮法流量访问及流量路径不优的问题，为了保护数据访问的安全性、提⾼链路带宽的利⽤率，需要对⽹络中的流量⾏为控制，如控制⽹络流量可达性，调整⽹络流量路径。

如何控制流量可达性？ ⽅案⼀：对接收和发布的路由进⾏过滤来控制可达性，路由策略 ⽅案⼆：使⽤Traffic-filter⼯具对数据进⾏过滤，流量过滤　什么是路由策略? 通过⼀系列的⼯具或者⽅式对路由进⾏各种控制的策略，这个策略可以影响路由的产⽣，发布和选择等，进⽽影响报⽂的转发路径 在ip⽹络中，路由策略的⽤途主要有两个⽅⾯：对路由信息过滤和修改路由属性。

如图，如果使⽤流量过滤，使市场部的流量不能访问财务部。

会有极⼤的局限性，若是在RTA上做traffic-filter，流量会经过RTC RTB再在RTA上被过滤极⼤的浪费链路带宽。

若在RTC⼊⼝做traffic-filter，可能RTC不是由你进⾏管理的。

⽽且流量过滤针对每⼀个报⽂进⾏过滤，极⼤的浪费设备性能，所以建议使⽤路由策略来进⾏对流量的可达性进⾏控制。

　路由策略使⽤的⼯具： 条件⼯具：把路由匹配出来，acl ip-prefix 策略⼯具：匹配抓取的路由，执⾏各种各样的策略。

router-policy 调⽤⼯具：把策略应⽤到某个具体的协议中。

filter-policy　import-route配置思路：配置filter-policy不让192.168.1.0路由发出给到AR1[AR2-rip-1]filter-policy 2000 export -----对所有接⼝发出的路由做过滤[AR2-rip-1]ACL 2000[AR2-acl-basic-2000]rule PER S 192.168.2.0 0 filter-policy 2000 export static import-route static 对引⼊的静态路由实现过滤，本地不存在LSDB　当过滤本地接⼝的路由时 filter-policy 2000 export 针对链路状态路由协议⽆效，链路状态路由协议发送的是LSA filter-policy 2000 import 针对链路状态协议有效，不过是在加表实现过滤，本地LSDB中依旧有此链路状态ACL的局限性？ACL只能抓取路由的前缀，不关⼼掩码信息，如果两条路由拥有相同的前缀，ACL⽆法分别抓取前缀列表的优势？相⽐ACL来说既能匹配前缀也能抓取掩码，前缀列表不能⽤于流量过滤。

第六章路由策略6.1路由策略简介6.1.1路由策略与策略路由路由策略（Routing Policy）是为了改变网络流量所经过的途径而修改路由信息的技术，主要通过改变路由属性（包括可达性）来实现。

策略路由（Policy Routing）是一种依据用户制定的策略进行路由选择的机制。

有关策略路由的详细介绍请参见“策略路由”章节。

路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤，例如只接收或发布满足一定条件的路由信息。

一种路由协议可能需要引入其它的路由协议发现的路由信息，路由器在引入其它路由协议的路由信息时，可能只需要引入一部分满足条件的路由信息，并控制所引入的路由信息的某些属性，以使其满足本协议的要求。

为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则。

可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、发布路由信息的路由器地址等。

匹配规则可以预先设置好，然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。

6.1.2过滤器路由协议可以引用访问控制列表、地址前缀列表、AS 路径访问列表、团体属性列表、扩展团体属性列表和Route-policy 几种过滤器。

下面对各种过滤器逐一进行介绍。

1. 访问控制列表访问控制列表包括针对IPv4 报文的ACL 和针对IPv6 报文的ACL。

用户在定义ACL 时可以指定IP(v6)地址和子网范围，用于匹配路由信息的目的网段地址或下一跳地址。

ACL 的有关配置请参见“安全分册”中的“ACL 配置”。

2. 地址前缀列表地址前缀列表包括IPv4 地址前缀列表和IPv6 地址前缀列表。

地址前缀列表的作用类似于ACL，但比它更为灵活，且更易于用户理解。

使用地址前缀列表过滤路由信息时，其匹配对象为路由信息的目的地址信息域；另外，用户可以指定gateway 选项，指明只接收某些路由器发布的路由信息。

关于gateway选项的设置请参见“IP 路由分册”中的“RIP 命令”和“OSPF 命令”。

策略路由和路由策略
路由策略是根据一些规则，使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果，最终改变的是路由表的内容。

是在路由发现的时候产生作用。

策略路由是尽管存在当前最优的路由，但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。

在数据包转发的时候发生作用、不改变路由表中任何内容。

策略路由的优先级比路由策略高，当路由器接收到数据包，并进行转发的时候，会优先根据策略路由的规则进行匹配，如果能匹配上，则根据策略路由来转发，否则按照路由表中转发路径来进行转发。

总结一下，路由策略是路由发现规则，策略路由是数据包转发规则。

其实将“策略路由”理解为“转发策略”，这样更容易理解与区分。

由于转发在底层，路由在高层，所以转发的优先级比路由的优先级高，这点也能理解的通。

其实路由器中存在两种类型和层次的表，一个是路由表(routing-table)，另一个是转发表(forwording-table)。

转发表是由路由表映射过来的，策略路由直接作用于转发表，路由策略直接作用于路由表。

38策略路由配置38.1理解策略路由38.1.1策略路由概述策略路由（PBR：Policy-Based Routing）提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。

策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵活地进行路由选择。

现有用户网络，常常会出现使用到多个ISP（Internet Server Provider，Internet服务提供商）资源的情形，不同ISP申请到的带宽不一；同时，同一用户环境中需要对重点用户资源保证等目的，对这部分用户不能够再依据普通路由表进行转发，需要有选择的进行数据报文的转发控制，因此，策略路由技术即能够保证ISP资源的充分利用，又能够很好的满足这种灵活、多样的应用。

IP/IPv6策略路由只会对接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照普通的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行转发。

一般情况下，策略路由的优先级高于普通路由，能够对IP/IPv6报文依据定义的策略转发；即数据报文先按照IP/IPv6策略路由进行转发，如果没有匹配任意一个的策略路由条件，那么再按照普通路由进行转发。

用户也可以配置策略路由的优先级比普通路由低，接口上收到的IP/IPv6报文则先进行普通路由的转发，如果无法匹配普通路由，再进行策略路由转发。

用户可以根据实际情况配置设备转发模式，如选择负载均衡或者冗余备份模式，前者设置的多个下一跳会进行负载均衡，还可以设定负载分担的比重；后者是应用多个下一跳处于冗余模式，即前面优先生效，只有前面的下一跳无效时，后面次优的下一跳才会生效。

用户可以同时配置多个下一跳信息。

策略路由可以分为两种类型：一、对接口收到的IP报文进行策略路由。

该类型的策略路由只会对从接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；二、对本设备发出的IP报文进行策略路由。

策略路由配置详解
一、策略路由的概念
策略路由是一种网络路由管理方法，它的基本思想是建立一组用来定
义所有网络流量及其传输路径的策略，并利用这组策略实现路由负载均衡，从而提高网络性能。

二、策略路由配置的要素
1.路由器
路由器是策略路由的基础，配置正确的路由器是策略路由正常运行的
关键，一般需要设置路由协议和路由策略。

2.协议
协议是指路由器交换机之间的连接，当路由器与交换机之间的连接类
型是协议时，策略路由就可以在此基础上正确工作，用户可以根据自身需
要选择合适的协议进行配置。

3.连接
连接是指策略路由需要通过路由器或交换机保持的一种物理连接，它
是策略路由的基础，因此必须正确配置路由器和交换机之间的连接，才能
确保策略路由的正常运行。

4.地址
地址是指在策略路由系统中所有设备的IP地址，这些地址是策略路
由网络中所有设备的唯一标识符，必须正确设置，才能使策略路由能够真
正发挥出效用。

5.策略
策略是指在策略路由系统中，路由器或交换机根据其中一种规则选择最佳路由策略，从而实现合理分配网络流量，提高网络性能。

路由策略技术介绍（有兴趣的看看）路由策略简介路由策略（Routing Policy）是为了改变网络流量所经过的途径而修改路由信息的技术，主要通过改变路由属性（包括可达性）来实现。

路由策略的应用路由策略的应用灵活广泛，主要有下面几种方式：l控制路由的发布路由协议在发布路由信息时，通过路由策略对路由信息进行过滤，只发布满足条件的路由信息。

l控制路由的接收路由协议在接收路由信息时，通过路由策略对路由信息进行过滤，只接收满足条件的路由信息，可以控制路由表项的数量，提高网络的安全性。

l管理引入的路由路由协议在引入其它路由协议发现的路由时，通过路由策略只引入满足条件的路由信息，并控制所引入的路由信息的某些属性，以使其满足本协议的要求。

l设置路由的属性对通过路由策略的路由设置相应的属性。

路由策略的实现路由策略的实现步骤如下：(1)首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则。

可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、发布路由信息的路由器地址等。

(2)然后再将匹配规则应用于路由的发布、接收和引入等过程的路由策略中。

可以灵活使用过滤器来定义各种匹配规则，过滤器的相关内容见下面介绍。

过滤器过滤器可以看作是路由策略过滤路由的工具，单独配置的过滤器没有任何过滤效果，只有在路由协议的相关命令中应用这些过滤器，才能够达到预期的过滤效果。

路由协议可以引用访问控制列表、地址前缀列表、AS路径访问列表、团体属性列表、扩展团体属性列表和Route-policy几种过滤器。

下面对各种过滤器逐一进行介绍。

1. 访问控制列表访问控制列表包括针对IPv4报文的ACL和针对IPv6报文的ACL。

用户在定义ACL时可以指定IP(v6)地址和前缀范围，用于匹配路由信息的目的网段地址或下一跳地址。

2. 地址前缀列表地址前缀列表包括IPv4地址前缀列表和IPv6地址前缀列表。

地址前缀列表的作用类似于ACL，但比它更为灵活，且更易于用户理解。

传统的路由策略都是使⽤从路由协议派⽣出来的路由表，根据⽬的地址进⾏报⽂的转发。

在这种机制下，路由器只能根据报⽂的⽬的地址为⽤户提供⽐较单⼀的路由⽅式，它更多的是解决络数据的转发问题，⽽不能提供有差别的服务。

基于策略的路由为络管理者提供了⽐传统路由协议对报⽂的转发和存储更强的控制能⼒。

基于策略的路由⽐传统路由控制能⼒更强，使⽤更灵活，它使络管理者不仅能够根据⽬的地址，⽽且能够根据协议类型、报⽂⼤⼩、应⽤、IP源地址或者其它的策略来选择转发路径。

策略可以根据实际应⽤的需要进⾏定义来控制多个路由器之间的负载均衡、单⼀链路上报⽂转发的QoS或者满⾜某种特定需求。

策略路由提供了这样⼀种机制：根据络管理者制定的标准来进⾏报⽂的转发。

这种标准根据实际的应⽤需求来指定，它的依据可以是协议类型、应⽤、报⽂⼤⼩、或者IP源地址中的⼀个或者多个的组合。

当数据包经过路由器转发时，路由器根据预先设定的策略对数据包进⾏匹配，如果匹配到⼀条策略，就根据该条策略指定的路由进⾏转发；如果没有匹配到任何策略，就使⽤路由表中的各项根据⽬的地址对报⽂进⾏路由。

安达通公司新近推出⽀持多线路均衡的新型安关。

该安关具备4个络⼝，可⽀持1~3个WAN⼝，⽤于连接不同的宽带上线路。

安关提供灵活的策略路由能⼒，不仅能够根据源地址、协议类型、应⽤、报⽂⼤⼩、链路流量进⾏路由，⽽且可以根据报⽂数据流的发起⽅向来确定以后的路由，在使⽤时更加灵活，能够满⾜各种应⽤环境的需要。

常见的应⽤模式有以下⼏种： 1.上负载均衡：对于多条ISP线路，络管理员可以在不同的路径之间根据带宽分配内上流量，实现负载平衡。

2.基于源地址选路：例如⼀个络通过两条速度不同的线路接⼊互联，管理员可以指定内中⼀些特定的⽤户使⽤快速线路，⽽普通⽤户使⽤慢速线路。

3.根据服务级别选路：对于不同服务要求（如：传送速率、吞吐量以及可靠性等）的数据，根据络的状况进⾏不同的路由。