策略路由与前缀列表实验

策略路由，路由策略前⾔：在企业⽹络中，常⾯临⾮法流量访问及流量路径不优的问题，为了保护数据访问的安全性、提⾼链路带宽的利⽤率，需要对⽹络中的流量⾏为控制，如控制⽹络流量可达性，调整⽹络流量路径。

如何控制流量可达性？ ⽅案⼀：对接收和发布的路由进⾏过滤来控制可达性，路由策略 ⽅案⼆：使⽤Traffic-filter⼯具对数据进⾏过滤，流量过滤　什么是路由策略? 通过⼀系列的⼯具或者⽅式对路由进⾏各种控制的策略，这个策略可以影响路由的产⽣，发布和选择等，进⽽影响报⽂的转发路径 在ip⽹络中，路由策略的⽤途主要有两个⽅⾯：对路由信息过滤和修改路由属性。

如图，如果使⽤流量过滤，使市场部的流量不能访问财务部。

会有极⼤的局限性，若是在RTA上做traffic-filter，流量会经过RTC RTB再在RTA上被过滤极⼤的浪费链路带宽。

若在RTC⼊⼝做traffic-filter，可能RTC不是由你进⾏管理的。

⽽且流量过滤针对每⼀个报⽂进⾏过滤，极⼤的浪费设备性能，所以建议使⽤路由策略来进⾏对流量的可达性进⾏控制。

　路由策略使⽤的⼯具： 条件⼯具：把路由匹配出来，acl ip-prefix 策略⼯具：匹配抓取的路由，执⾏各种各样的策略。

router-policy 调⽤⼯具：把策略应⽤到某个具体的协议中。

filter-policy　import-route配置思路：配置filter-policy不让192.168.1.0路由发出给到AR1[AR2-rip-1]filter-policy 2000 export -----对所有接⼝发出的路由做过滤[AR2-rip-1]ACL 2000[AR2-acl-basic-2000]rule PER S 192.168.2.0 0 filter-policy 2000 export static import-route static 对引⼊的静态路由实现过滤，本地不存在LSDB　当过滤本地接⼝的路由时 filter-policy 2000 export 针对链路状态路由协议⽆效，链路状态路由协议发送的是LSA filter-policy 2000 import 针对链路状态协议有效，不过是在加表实现过滤，本地LSDB中依旧有此链路状态ACL的局限性？ACL只能抓取路由的前缀，不关⼼掩码信息，如果两条路由拥有相同的前缀，ACL⽆法分别抓取前缀列表的优势？相⽐ACL来说既能匹配前缀也能抓取掩码，前缀列表不能⽤于流量过滤。

1.ACL,它使用包过滤技术，在路由器上读取第3层及第4层包头中的信息，如源地址，目的地址，源端口和目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

2.ACL应用与接口上，每个接口的inbound,outbound 两个方向上分别进行过滤。

3.ACL可以应用于诸多方面包过滤防火墙功能：保证合法用户的报文通过及拒绝非法用户的访问。

NAT：通过设置ACL来规定哪些数据包需要地址转换。

QoS：通过ACL实现数据分类，对不同类别的数据提供有差别的服务。

路由策略和过滤：对路由信息进行过滤。

按需拨号：只有发送某类数据时，路由器才会发起PSTN/ISDN拨号。

地址前缀列表1.前缀列表是一组路由信息过滤规则，它可以应用在各种动态路由协议中，对路由协议发布出去和接受到的路由信息进行过滤。

2.前缀列表的优点：♦ 占用较小的CPU资源大容量prefix-list的装入速度和查找速度较快♦ 可以在不删除整个列表的情况下添加删除和插入规则♦ 配置简单直观♦ 使用灵活可以实现强大的过滤功能3.前缀列表中的每一条规则都有一个序列号，匹配的时候根据序列号从小往大的顺序进行匹配。

4.prefix-list的匹配满足一下条件：♦ 一个空的prefix-list允许所有的前缀♦ 所有非空的prefix-list最后有一条隐含的规则禁止所有的前缀♦ 序列号小的规则先匹配路由策略1.路由策略是为了改变网络流量所经过的途径而修改路由信息的技术。

2.Route-policy是实现路由策略的工具，其作用包括：♦路由过滤♦改变路由信息属性３路由策略设定匹配条件，属性匹配后进行配置，由ｉｆｍａｔｃｈ和ａｐｐｌｙ语句组成策略路由ＰＢＲ（基于策略的路由）是一种依据用户制定的策略进行路由选择的机制。

通过合理应用ＰＢＲ，路由器可以根据到达报文的源地址、地址长度等信息灵活地进行路由选择。

策略路由实验一：基于应用的策略路由基于应用的策略路由拓扑图R1 :e0/0------R2: e0/0 网段：12.12.12.0R1 :e0/1------R2: e0/1 网段：21.21.21.0R1 :e0/3------R3: e0/0 网段：10.1.1.0R5 :e0/0------R3: e0/1 网段：172.16.1.0R2 loopback1 2.2.2.2本次实验中我们基于数据包的类型来进行策略路由，网络中的数据包类型有很多比如http telnet icmp 语音数据包等。

我们可以根据数据包的类型设置数据包的出口，在实际应用中很实用！开始本次实验(设置让http包走12.12.12.2 telnet包走21.21.21.2)R1( config)# access-list 101 permit tcp any any eq 80R1( config)# access-list 102 permit tcp any any eq 23 R1( config)#route-map xm permit 10R1( config-route-map)#match ip address 101R1( config-route-map)#set ip precedence 3R1( config-route-map)#set ip next-hop 12.12.12.2R1( config)#route-map xm permit 20R1( config-route-map)#match Ip address 102R1( config-route-map)# set ip precedence 5R1( config-route-map)# set ip next-hop 21.21.21.2 Int e0/3R1(config-if)# ip policy route-map xmR1(config)#ip local policy route-map xm配置完毕在路由器上打开debug ip policy然后r3 或r5上进行telnet 2.2.2.2 测试实验效果。

10Internet Communication互联网+通信随着高速铁路的快速发展，铁路系统在国民生产和生活中发挥越来越大的作用。

由于铁路系统具有部门多、地点分散、环境复杂等特点，为保证铁路系统的运输安全，铁路综合视频监控系统的稳定性和安全性尤为重要。

在赣深高铁综合视频监控系统中，数据通信网采用OSPF 和VRRP 协议进行联动，以保证综合视频监控服务器的正常运行，一旦设置不合理，数据通信网内极容易产生次优路由，严重影响综合视频监控服务器的正常运行，因此有必要对综合视频监控系统网络结构及协议进行深入分析。

一、网络结构赣深高铁综合视频监控系统网络结构，如图1所示。

图1　综合视频监控系统网络结构示意图接入路由器AR01作为综合视频监控网络的出口，由华为NE20E-S8担当；CE01和CE02作为综合视频监控服务器接入交换机，由华为S7706担当，三台设数据通信网OSPF 和VRRP 联动引发 次优路由问题分析备间运行OSPF 协议实现路由互通。

为确保综合视频监控系统的高可靠性和高可用性，综合视频监控服务器Server01和Server02之间采用热备的方式，同时每台服务器均采用双网卡主备模式，即同一时间仅有主网卡进行工作。

并且为了防止单台网关交换机故障影响，采用VRRP 协议实现综合视频监控服务器网关的虚拟化冗余备份[1]，在CE01和CE02上配置两个VRRP 备份组，其中备份组1的VIP（虚拟网关）作为Server01的网关，其Master（主用）路由设备为CE01；备份组2的VIP 作为Server02的网关，其Master 路由设备为CE02。

在网络正常状态下，工程建设人员为确保Server1的流量全部从CE01和AR01的直连链路转发，Server2的流量全部从CE02和AR01的直连链路转发，并且不允许两台Server 的流量在一条链路上转发。

工程建设人员在CE01和CE02的下行接口VLANIF 上均配置arp direct-route enable 的命令，通过基于ARP 表生成主机路由，CE01和CE02将Server01和Server02的主机路由分别通告给AR01，实现AR01路由表中关于Server01和Server02的主机路由下一跳分别为CE01和CE02。

思科Cisco策略路由与路由策略实例详解本⽂讲述了思科Cisco策略路由与路由策略。

分享给⼤家供⼤家参考，具体如下：⼀、策略路由1. 路由策略与策略路由2. 策略路由的特点3.策略路由的配置3.1 接⼝下配置3.2 全局配置3.3 策略路由的冗余设置3.4 default语句3.5 为流量打ToS标记⼆、路由策略1.抓取流量的列表1.1 ACL访问控制列表1.2 prefix-list前缀列表2. 路由策略⼯具2.1 distribute-list分发列表2.2 route-map路由镜像2.3 OSPF filter-list⼀、策略路由1. 路由策略与策略路由路由策略是对路由信息本⾝的参数进⾏修改、控制等，最终影响路由表的⽣成，说⽩了路由策略就是告诉设备怎么学，⼀般与BGP结合使⽤⽐较多。

策略路由PBR，策略基于路由重点在路由，就是通过策略控制数据包的转发⽅向。

也有⼈把策略路由称之为⼀个复杂的静态路由。

⼀般来讲，策略路由是先于路由表执⾏的。

即设备在转发报⽂时，⾸先将报⽂与策略路由的匹配规则进⾏⽐较。

若符合匹配条件，则按策略路由进⾏转发；如果报⽂⽆法匹配策略路由的条件，再按照普通路由进⾏转发。

策略路由在转化层⾯不如路由表。

原因是匹配的东西过多，底层芯⽚处理⽀持有限。

使⽤原则是能不⽤就不⽤。

如果出现⾮⽬的地址的转发策略，果断⽤。

2. 策略路由的特点传统的路由表转发只能通过数据的⽬标地址做决策；策略路由可以根据源地址、⽬的地址、源端⼝、⽬的端⼝、协议、TOS等流量特征来做策略提供路由，灵活性⾼。

为QoS服务。

使⽤route-map及策略路由可以根据数据包的特征修改其相关QoS项，进⾏为QoS服务。

负载均衡。

使⽤策略路由可以设置数据包的⾏为，⽐如下⼀跳、下⼀接⼝等，这样在存在多条链路的情况下，可以根据数据包的应⽤不同⽽使⽤不同的链路，进⽽提供⾼效的负载均衡能⼒。

策略路由PBR默认只对穿越流量⽣效，不能处理本路由器产⽣流量3.策略路由的配置3.1 接⼝下配置接⼝下只能捕获该接⼝的⼊接⼝流量做策略（不能处理本路由器产⽣流量）R1(config)#access-list 100 permit ip host 1.1.1.1 any //⽤ACL捕获流量R1(config)#route-map pbr permit 10 //定义route-mapR1(config-route-map)#match ip add 100 //调⽤被ACL捕获的流量R1(config-route-map)#set ip next-hop 10.1.1.1 //设置下⼀跳R1(config-route-map)#exitR1(config)#int f0/0R1(config-if)#ip policy route-map pbr //接⼝下调⽤3.2 全局配置能够捕获所有⼊接⼝流量以及本路由器产⽣的流量（源地址是本路由器流量）R1(config)#access-list 100 permit ip host 1.1.1.1 any //⽤ACL捕获流量R1(config)#route-map pbr permit 10 //定义route-mapR1(config-route-map)#match ip add 100 //调⽤被ACL捕获的流量R1(config-route-map)#set ip next-hop 10.1.1.1 //设置下⼀跳R1(config-route-map)#exitR1(config)#ip local policy route-map pbr //全局下调⽤3.3 策略路由的冗余设置R1(config)#route-map PBR permit 10R1(config-route-map)#set ip next-hop verify-availability 10.1.24.2 1 track 1 //设置track监控，若track监控成功，执⾏该语句；若失败，则转为执⾏下条语句R1(config-route-map)#set ip next-hop 10.1.34.3R1(config-route-map)#exitR1(config)#ip local policy route-map PBRR1(config)#track 1 ip sla 1 //定义⼀个track监控 sla的探测结果R1(config-track)#ip sla 1 //定义⼀个slaR1(config-ip-sla)#icmp-echo 10.1.12.1 source-ip 10.4.4.4 //设置其探针R1(config)#ip sla schedule 1 life forever start-time now //设置sla 1的执⾏时间3.4 default语句在route-map的set ip default这个位置输⼊，定义为被捕获的流量先查路由表，如果能精确匹配（如果抓的为10.5.5.5，路由表中有10.5.5.5/24这不叫精确匹配；如果10.5.5.5/32则叫精确匹配）就执⾏路由表；如果不能则执⾏策略路由。

路由策略和路由的引入一、路由引入1、路由引入的原因：（1）路由信息共享（2）不同AS运行不同路由协议的路由器之间为了获得对方的路由信息必须在起边界网关作用的路由上引入路由。

（3）路由引入使支持不同路由协议的路由器在网络中协同工作成为可能。

二、路由策略1、路由策略的作用：（1）是路由协议过滤路由信息的手段（2）可以使路由协议向外发布路由信息时只发布部分信息。

（3）可以使路由协议接受路由信息时只接收部分信息（4）可以使路由协议在进行路由引入时引入部分满足特定的条件的信息（5）可以设置路由协议引入的路由属性2、路由策略配置任务列表：（1）定义地址前缀列表（也可以定义访问列表）（2）地址前缀列表的监控和维护（3）定义路由映像（route-map）（4）定义路由映像的match子句（5）定义路由映像的set子句（6）路由映像的监控和维护（7）引入其他路由协议路由信息（8）路由接收时的过滤（9）路由发布时的过滤路由协议路由策略的配置可以分为：过滤列表的定义，过滤列表的应用两部分；过滤列表的应用实际上是一个策略规则的定义过程，通过对过滤列表的引用以实现路由过滤的功能。

3、路由策略的过滤列表的制定：（1）访问列表（access-list）（2）地址前缀列表（ip prefix-list）（3）路由映像（route-map）路由策略的过滤列表共有三种，通常定义一条策略等同于定义一组过滤列表，并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤列表。

--4、Access-list在路由策略中的应用访问列表分为标准型和扩展型的访问列表，应用于路由信息的过滤时，一般使用标准型的访问列表，用户在定义访问列表时指定一个IP地址的网段范围用于匹配路由信息的目的网段地址或者下一跳地址。

5、ip perfix-list的配置任务（1）定义地址前缀列表（2）删除地址前缀列表（3）应用地址前缀列表Ip prefix-list是过滤列表的一种，它的作用类似于access-list，当用于路由信息过滤时，其匹配对象为路由信息的目的地址信息域或下一跳域，他的另一种-应用直接作用于路由器对象（gateway），使本地路由协议只能接收某些特定路由器发布的路由信息，这些路由器的之地必须通过ip prefix-list的过滤，在这种情况下，prefix-list的匹配对象为路由信息包IP报头的源地址。

实验 3 路由引入与路由控制学习目的∙掌握OSPF与RIP相互路由引入的配置方法∙掌握通过地址前缀列表过滤路由信息的配置方法∙掌握通过Route-policy过滤路由信息的配置方法拓扑图图4-2 路由引入与路由控制场景学习任务步骤一. 基础配置与IP编址，给所有路由器配置物理接口以及Loopback接口的IP地址和掩码。

老师已经配置好基础IP，同学们自己平时做的时候记得配好后ping一下，进行直连检测步骤二. 配置OSPF 和RIP区域根据拓扑要求AR5、AR1、AR2和AR3的G0/0/0接口属于OSPF进程，所有设备属于区域0。

同时将AR1的lo 0 –lo 7宣告进OSPF[R1]ospf 1 router-id 1.1.1.1[R1-ospf-1] area 0[R1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0 （反掩码，或者说是通配符，完全匹配）[R1-ospf-1-area-0.0.0.0] network 10.1.0.0 0.0.255.255 （将AR1的所有lo 接口IP地址宣告进OSPF，这个表示前16位数完全匹配，后16位数可以任意，即宣告10.1.0.0 - 10.1.255.255之间的路由都行）[R1-ospf-1-area-0.0.0.0] network 12.1.1.0 0.0.0.255[R1-ospf-1-area-0.0.0.0] network 13.1.1.0 0.0.0.255[R1-ospf-1-area-0.0.0.0] network 15.1.1.0 0.0.0.255[R2]ospf 1 router-id 2.2.2.2[R2-ospf-1] area 0[R2-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0[R2-ospf-1-area-0.0.0.0] network 12.1.1.0 0.0.0.255[R3]ospf 1 router-id 3.3.3.3[R3-ospf-1] area 0[R3-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0[R3-ospf-1-area-0.0.0.0] network 13.1.1.0 0.0.0.255[R5]ospf 1 router-id 5.5.5.5[R5-ospf-1]area 0[R5-ospf-1-area-0.0.0.0] network 15.1.1.0 0.0.0.255配置好后，在ARF1查看OSPF邻居状态[R1]dis ospf peer brief（截图，可以看到AR1有3个邻居）AR2的G0/0/1接口和AR3的S1/0/0接口以及AR4属于RIP进程[R2]rip 1[R2-rip-1] undo summary（关闭自动汇总）[R2-rip-1] version 2（运行RIP V2版本，华为默认运行V1版本）[R2-rip-1] network 24.0.0.0 （将这个IP地址对应接口宣告进RIP）注意：RIP宣告的是接口，表现形式是network 主类网络号（比如：本题中24.1.1.2/24，掩码为24，但是其主类网络属于A类网络，掩码为8，所以network 24.0.0.0）[R3]rip 1[R3-rip-1] undo summary[R3-rip-1] version 2[R3-rip-1] network 34.0.0.0[R4]rip 1[R4-rip-1] undo summary[R4-rip-1] version 2[R4-rip-1] network 24.0.0.0[R4-rip-1] network 34.0.0.0步骤三. 将AR5的50.1.1.1/32的路由通过引入直连的方式进入AR5上存在lo50：50.1.1.1.32，通过引入直连的方式，将lo50接口的路由让OSPF区域的路由器以外部路由的形式学习到并且COST为100类型为E2，并且通过路由策略使AR5只引入lo50接口的LSA5[R5]ip ip-prefix R5 index 10 permit 50.1.1.1 32（前缀列表允许通过50.1.1.1路由）[R5]route-policy R5 permit node 10[R5-route-policy] if-match ip-prefix R5 （如果匹配到前缀列表R5的IP的流量，则不对该前缀列表匹配的流量做任何控制，然后按照route-policy的默认规则拒绝该路由的流量通过）[R5-route-policy]q[R5]ospf 1[R5-ospf-1]import-route direct cost 100 route-policy R5 （在OSPF进程下引入直连路由并且修改直连路由的COST值为100，且调用路由策略R5，针对策略R5匹配到的流量，不修改COST类型，因为引入的路由的默认类型为E2）在AR1、AR2、AR3路由器上查看是否学到50.1.1.1路由，并观察cost和路由类型 [R1]dis ip routing-table（截图，圈出50.1.1.1路由）[R1]dis ospf routing 50.1.1.1(截图，可以看到type 为2，证明引入的OSPF 路由默认为OE2)步骤四. OSPF进程和RIP进程互相引入在AR2将OSPF的路由引入RIP，过滤10.1.X.1/24，X为奇数的路由（使用ACL），其他允许通过[R2]acl number 2001 （建立一条ACL，由于只用到source，所以可以用基本ACL）[R2-acl-basic-2001] rule 5 permit source 10.1.1.1 0.0.254.255 （抓取/匹配10.1.X.0路由中奇数路由）[R2]route-policy 02R deny node 10 （写一条过滤语句）[R2-route-policy] if-match acl 2001 （匹配ACL 2001）注意：此处只做了流量的匹配，没有做任何的策略，华为设备默认对未做策略的匹配路由的流量拒绝转发。