策略路由配置与BFD讲课讲稿
教案40讲(路由器策略路由配置)
贵州电子信息职业技术学院
6.6 策略路由配置
1. 策略路由的概念
●策略路由是一种入站机制,用于入站的IP数据包。
●通过使用策略路由,能够根据数据包的源地址、目的地址、源端口、目的端口和协议类型让
报文选择不同的路径。
●符合策略路由的IP数据包将按照策略中定义的操作进行处理,而不符合策略路由的IP数据
包将按照通常的路由表进行路由转发。
2. 策略路由的配置
策略路由的配置步骤如下:
(1)定义路由策略图,一个路由策略图可以由多条策略组成,策略按序号大小排列,只要符合前面的策略,就退出路由策略图。
每条路由策略可以采用permit或deny操作。
(2)定义路由策略图中每条策略匹配的数据流量,数据流量可通过ACL定义。
(3)对每条策略匹配的数据流量设定其转发的操作,如set ip next-hop、set interface、set ip default next-hop、set default interface设定其下一跳。
set ip next-hop、set interface 是忽略路由表查找而直接进行转发到下一跳或从本地接口转发,优先级高于路由表,而set ip default next-hop、set default interface是在路由表查找路径失败情况下而进行转发到下一跳或从本地接口转发,优先级低于路由表。
同时可以设置多个下一跳next-hop。
(4)在指定接口上应用路由策略图。
接入
接入。
BFD配置
1. 70BFD配置1. 70.1理解BFD1. 70.1.1BFD概述BFD(Bidirectional Forwarding Detection,双向转发检测)协议提供一种轻负载、快速检测两台邻接路由器之间转发路径连通状态的方法。
协议邻居通过该方式可以快速检测到转发路径的连通故障,加快启用备份转发路径,提升现有网络性能。
2. 70.1.2BFD报文格式BFD报文有两种类型分别是控制报文和回声报文。
其中回声报文只有BFD 会话本端系统关心远端不关心,因此协议没有规定其具体格式。
协议只规定了控制报文的格式,目前控制报文格式有两个版本(版本0和版本1),BFD 会话建立缺省采用版本1,但如果收到对端系统发送的是版本0的报文,将自动切换到版本0来建立会话,可以通过show bfd neighbors命令察看采用的版本。
版本1的格式如图表1:1. 图1.BFD控制报文格式●Vers:BFD协议版本号,目前为1●Diags:给出本地最后一次从UP状态转到其他状态的原因,包括:0—没有诊断信息1—控制超时检测2—回声功能失效3—邻居通告会话Down4—转发面复位5—通道失效6—连接通道失效7—管理Down●Sta:BFD本地状态,取值为:0代表AdminDown,1代表Down,2代表Init,3代表Up;●P:参数发生改变时,发送方在BFD报文中置该标志,接收方必须立即响应该报文●F:响应P标志置位的回应报文中必须将F标志置位●C:转发/控制分离标志,一旦置位,控制平面的变化不影响BFD检测,如:控制平面为OSPF,当OSPF重启/GR时,BFD可以继续检测链路状态●A:认证标识,置位代表会话需要进行验证●D:查询请求,置位代表发送方期望采用查询模式对链路进行检测●M:用于将来应用点到多点时使用,目前必须设置0●Detect Mult:检测超时倍数,用于检测方计算检测超时时间●Length:报文长度●My Discreaminator:BFD会话连接本端标识符●Your Discreaminator:BFD会话连接远端标识符●Desired Min Tx Interval:本地支持的最小BFD报文发送间隔●Required Min RX Interval:本地支持的最小BFD报文接收间隔●Required Min Echo RX Interval:本地支持的最小Echo报文接收间隔(如果本地不支持Echo功能,则设置0)●Auth Type:认证类型(可选),目前协议提供有:Simple PasswordKeyed MD5Meticulous Keyed MD5Keyed SHA1Meticulous Keyed SHA1●Auth Length:认证数据长度●Authentication Data:认证数据区RGOS从10.3(4b3)版本开始,支持版本1和版本0的报文格式,缺省情况下会话发送报文采用版本1,如果收到对端发送的版本0的报文,将自动切换到版本0来建立会话3. 70.1.3BFD工作原理BFD 提供的检测机制与所应用的接口介质类型、封装格式、以及关联的上层协议如OSPF、BGP、RIP等无关。
策略路由配置与BFD
策略路由配置与BFD38.1理解策略路由38.1.1策略路由概述策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。
策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵活地进行路由选择。
现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。
IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行转发。
一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普通路由进行转发。
用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。
用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。
用户可以同时配置多个下一跳信息。
策略路由可以分为两种类型:一、对接口收到的IP报文进行策略路由。
该类型的策略路由只会对从接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;二、对本设备发出的IP报文进行策略路由。
华为路由分册13-BFD配置
1 BFD 配置
z 在以下路由协议的介绍中所指的路由器及路由器图标,代表了一般意义下的路由设备。 z SecPath IAG2000-A 不支持该章节的所有配置
1.1 BFD 简介
BFD(Bidirectional Forwarding Detection,双向转发检测)是一套全网统一的检测机制,用于快速 检测、监控网络中链路连通状况。为了提升现有网络性能,协议邻居之间必须能快速检测到通信故 障,从而更快的建立起备用通道恢复通信。通常采用以下几种检测方法:
1.1.1 BFD 工作机制
BFD 提供了一个通用的、标准化的、介质无关、协议无关的快速故障检测机制,可以为各上层协议 如路由协议、MPLS 等统一地快速检测两台路由器间双向转发路径的故障。 BFD 在两台路由器上建立会话,用来监测两台路由器间的双向转发路径,为上层协议服务。BFD 本身并没有发现机制,而是靠被服务的上层协议通知其该与谁建立会话,会话建立后如果在检测时 间内没有收到对端的 BFD 控制报文则认为发生故障,通知被服务的上层协议,上层协议进行相应 的处理。
1-1
z 上层协议在建立了新的邻居关系时,将邻居的参数及检测参数都(包括目的地址和源地址等) 通告给 BFD;
z BFD 根据收到的参数进行计算并建立邻居。
z 通过硬件检测信号(如 SDH 传输系统告警),快速检测到链路硬件上的故障。 z 在没有提供硬件检测信号,或不能通过硬件信号检测出故障时,网络通常采用路由协议中相
对比较慢的 Hello 报文机制,检测到故障的时间超过 1 秒钟。当数据达到吉比特速率级时,这 样长的检测到故障时间将导致大量的数据丢失。 z 用单一的机制对任何介质、任何协议层进行实时检测,并支持不同的检测时图
3
锐捷网络策略路由PPT课件(19页)
•
22、不论你在什么时候开始,重要的是 开始之 后就不 要轻言 放弃。
•
23、恨别人,痛苦的却是自己。
•
24、每天醒来,敲醒自己的不是钟声, 而是梦 想。
•
25、你不能拼爹的时候,你就只能去拼 命!
•
26、如果人生的旅程上没有障碍,人还 有什么 可做的 呢。
permit:对符合条件的数据包实施策略 deny:对符合条件的数据包不实施策略
Sequence: 0-65535, route-map语句的执行顺序(插入/删除route-map 语句 )
匹配规则
匹配ACL
Router(config-route-map)#match ip address {access-list-number | name} [...access-list-number | name]
•
1、许多人企求着生活的完美结局,殊不 知美根 本不在 结局, 而在于 追求的 过程。
•
2、慢慢的才知道:坚持未必就是胜利, 放弃未 必就是 认输, 。给自 己一个 迂回的 空间, 学会思 索,学 会等待 ,学会 调整。 人生没 有假设 ,当下 即是全 部。背 不动的 ,放下 了;伤 不起的 ,看淡 了;想 不通的 ,不想 了;恨 不过的 ,抚平 了。
进入设备的数据进行检查,对匹配的数据执行规定的策略
案例
Area 0
RSR-3 L0 172.16.254.3
Fa0/0
Fa0/1
Fa0/2
RSR-4
Fa0/0
S5750-1 L0 172.16.254.1
G0/24
Area 1
G0/1
G0/25
G0/26
S26
ZXR10_Ⅲ_09_200904BFD原理与配置33
HELLO报文的侦测时间一般都大于1秒,这个时间对于一些特殊的应 用来说太长了,无法侦测和发现在短时间内发生的链路状态。
当路由协议不在运行状态的时候,HELLO报文机制也没有被支持。
于是就产生了一种在双向路由引擎之间建立一条路径的检测方法 -BFD
BFD概述
BFD (Bi-directional Forwarding Detection) ,即双向转发检测,为 各种上层控制协议提供一种通用的低开销快速故障检测服务。
之所以称为双向,是因为BFD协议通过三次握手机制,能提供链路来 回两个方向的连通性检测。
BFD可以快速检测到转发路径上的接口和链路故障、节点的转发引擎 故障等,并把故障通知上层协议,使上层协议能够快速收敛。
将所有OSPF接口都指定为支持BFD的接口,在路由模式下配置: ZXR10(config-router)#bfd-all-interface
ip ospf bfd [disable]
在某一接口上起OSPF的BFD功能,必须是OSPF接口才会生效: ZXR10(config-if)#ip ospf bfd disable参数是在某一接口上disable OSPF的BFD功能。
静态路由BFD配置
静态路由BFD配置
ip static-bfd <local address> <remote address>
特权模式下启动静态路由BFD: ZXR10#ip static-bfd 1.1.1.1 1.1.1.2
OSPF BFD 配置
OSPF BFD 配置
bfd-all-interface
PASSIVE方
H3C交换机路由器配置OSPF与BFD联动
H3C交换机路由器配置OSPF与BFD联动1. 组网需求·Switch A、Switch B和Switch C上运行OSPF,网络层相互可达。
·当Switch A和Switch B通过L2 Switch通信的链路出现故障时BFD能够快速感知通告OSPF协议,并且切换到Switch C进行通信。
2. 组网图图1-16 OSPF与BFD联动配置组网图3. 配置步骤(1) 配置各接口的IP地址(略)(2) 配置OSPF基本功能# 配置Switch A。
<SwitchA> system-view[SwitchA] ospf[SwitchA-ospf-1] area 0[SwitchA-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 [SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 [SwitchA-ospf-1-area-0.0.0.0] network 121.1.1.0 0.0.0.255 [SwitchA-ospf-1-area-0.0.0.0] quit[SwitchA-ospf-1] quit[SwitchA] interface vlan 11[SwitchA-Vlan-interface11] ospf cost 2[SwitchA-Vlan-interface11] quit# 配置Switch B。
<SwitchB> system-view[SwitchB] ospf[SwitchB-ospf-1] area 0[SwitchB-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 [SwitchB-ospf-1-area-0.0.0.0] network 13.1.1.0 0.0.0.255 [SwitchB-ospf-1-area-0.0.0.0] network 120.1.1.0 0.0.0.255 [SwitchB-ospf-1-area-0.0.0.0] quit[SwitchB-ospf-1] quit[SwitchB] interface vlan-interface 13[SwitchB-Vlan-interface13] ospf cost 2[SwitchA-Vlan-interface13] quit# 配置Switch C。
《路由器配置》课件
《路由器配置》课件一、教学内容本节课的教学内容来自于信息技术课程的第七章,主题为“网络设备的配置与应用”。
具体内容包括:路由器的硬件组成、路由器的工作原理、路由器的配置方法以及路由器的应用场景。
二、教学目标1. 让学生了解路由器的硬件组成和工作原理,理解路由器在网络中的作用。
2. 培养学生掌握路由器的基本配置方法,能够根据实际需求进行路由器的配置。
3. 培养学生能够运用路由器解决实际问题,提高学生的信息技术应用能力。
三、教学难点与重点重点:路由器的硬件组成、工作原理、基本配置方法。
难点:路由器的高级配置、实际应用场景的解决。
四、教具与学具准备教具:多媒体教学设备、路由器、网线。
学具:笔记本电脑、网线、路由器说明书。
五、教学过程1. 实践情景引入:让学生观察周围网络环境,找出路由器,并简要介绍路由器的作用。
2. 知识点讲解:介绍路由器的硬件组成、工作原理以及基本配置方法。
3. 例题讲解:以一个简单的网络环境为例,演示如何使用路由器进行网络配置。
4. 随堂练习:让学生根据所学内容,自行设计一个网络环境,进行路由器的配置。
六、板书设计板书内容:路由器的硬件组成、工作原理、基本配置方法。
七、作业设计1. 作业题目:请根据所学内容,设计一个简单的网络环境,进行路由器的配置,并将配置过程写成实验报告。
2. 答案:学生作业答案应包括路由器的硬件组成、工作原理、配置方法以及实际应用场景的解决。
八、课后反思及拓展延伸课后反思:本节课学生对路由器的硬件组成、工作原理和基本配置方法有了初步的了解,但在实际应用场景的解决上仍需加强。
拓展延伸:下一节课将引导学生运用路由器解决实际问题,提高学生的信息技术应用能力。
重点和难点解析一、教学内容本节课的教学内容主要包括路由器的硬件组成、工作原理、基本配置方法以及实际应用场景。
这些内容是学生掌握网络设备配置与应用的基础,对于理解网络结构和提高信息技术应用能力具有重要意义。
二、教学目标1. 让学生了解并掌握路由器的硬件组成和工作原理,理解路由器在网络中的作用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
策略路由配置与BFD38.1 理解策略路由38.1.1 策略路由概述策略路由 ( PBR :Policy-Based Routing )提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。
策略路由可以根据IP/IPv6 报文源地址、目的地址、端口、报文长度等内容灵活地进行路由选择。
现有用户网络,常常会出现使用到多个ISP ( Internet Server Provider ,Internet 服务提供商)资源的情形,不同ISP 申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP 资源的充分利用,又能够很好的满足这种灵活、多样的应用。
IP/IPv6 策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行转发。
一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6 报文依据定义的策略转发;即数据报文先按照IP/IPv6 策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普通路由进行转发。
用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6 报文则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。
用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。
用户可以同时配置多个下一跳信息。
策略路由可以分为两种类型:一、对接口收到的IP 报文进行策略路由。
该类型的策略路由只会对从接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;二、对本设备发出的IP 报文进行策略路由。
该类型策略路由用于控制本机发往其它设备的IP 报文,对于外部设备发送给本机的IP 报文则不受该策略路由控制。
38.1.2 策略路由基本概念/特性38.1.2.1 策略路由应用过程应用策略路由,必须先创建路由图,然后在接口上应用该路由图。
一个路由图由很多条策略组成,每条策略都有对应的序号( Sequence ),序号越小,该条策略的优先级越高。
每条策略又由一条或者多条match 语句以及对应的一条或者多条set 语句组成。
match 语句定义了IP/IPv6 报文的匹配规则,set 语句定义了对符合匹配规则的IP/IPv6 报文处理动作。
在策略路由转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,然后退出策略路由的执行。
IP 策略路由使用IP 标准或者扩展ACL 作为IP 报文的匹配规则,IPv6 策略路由使用IPv6 扩展ACL 作为IPv6 报文的匹配规则。
IPv6 策略路由对于同一条策略最多只能配置一个match ipv6 address 。
38.1.2.2 路由图策略匹配模式在配置路由图时,可以指定每一条策略的匹配模式为permit 或者deny ,其意义如下:permit :指定该策略的匹配模式为允许模式,即当报文满足该策略的match 规则时,会对该IP/IPv6 报文应用相应的set 规则;如报文不满足策略的所有match 规则,报文将会使用该路由图的下一条策略进行匹配。
deny :指定该策略的匹配模式为拒绝模式,即当报文满足该节点的所有match 语句时,不对该IP/IPv6 报文执行策略转发而是执行普通的路由转发。
IP/IPv6 报文按照路由图中每一条策略的优先级由高到低依次进行匹配,只要匹配了前面的策略就执行相应的动作并退出策略转发流程;如果IP/IPv6 报文不能匹配路由图中的任何策略,那么将会对IP/IPv6 报文执行普通的路由转发。
38.1.2.3 下一跳规则概念当前策略路由提供了set {ip | ipv6} next-hop 、set {ip | ipv6} default next-hop 两条转发规则。
后面两条为设置缺省下一跳和出接口。
这两条规则的意义如下:set {ip | ipv6} next-hop :配置策略路由下一跳IP/IPv6 地址,优先级比普通路由高,从接口上收到的匹配match 规则的IP/IPv6 报文将优先转发到set {ip | ipv6} next-hop 所指定的下一跳,而不管该IP/IPv6 报文在路由表中的实际选路结果和策略路由指定的下一跳是否一致。
set {ip | ipv6} default next-hop :该命令指定的策略路由的优先级比普通路由的低,但是比默认路由高。
从接口上收到的匹配match 规则的IP/IPv6 报文,如果该报文在路由表中选路失败或者选到默认路由,那么IP/IPv6 报文将转发到该命令指定的下一跳。
上述前两条规则指定的下一跳必须是直连的,否则不会生效;如果下一跳不是直连的,策略路由的效果相当于没有配置该命令。
上述两条命令的优先级顺序为:set {ip | ipv6} next-hop > 网络路由/主机路由> set {ip | ipv6} default next-hop > 缺省路由。
这两条命令能够支持同时配置,但只有高优先级的生效。
38.1.2.4 策略路由下一跳负载均衡模式一个路由图Sequence 中能够配置多个下一跳,多个下一跳之间能够实现两种负载均衡模式:冗余备份模式,支持优先生效,失效接管的模式,多个下一跳之间同一时刻只有一个下一跳生效。
前面的下一跳R1失效会自动切换到下一个下一跳R2,当R1重新恢复生效时,会再自动再切换回R1 ;当存在多个下一跳,如R1/R2/R3等,删除R1再添加R1时,会在后面添加,如R2/R3/R1,次之的R2生效。
负载均衡模式,多个下一跳之间基于流进行负载分担。
下一跳为出接口形式,对这个功能不支持。
1、锐捷产品上一个接口最多只能配置一个路由图,在同一个接口上多次配置路由图会相互覆盖,即后配置的生效。
2、策略路由子路由图(route-map sequenee) 中最多只能配置一个IPV6 ACL。
3、如果配置的子路由图中只有next-hop而没有配置ACL,则等价于所有报文都匹配;如果子路由图中只有ACL而没有next-hop贝愜配的报文普通转发;如果子路由图中即没有ACL也没有next-hop,则等价所有报文普通转发。
4、策略路由如果配置了ACL,但是该ACL不存在,等价所有报文都匹配;如果配置了ACL,但是其中没有任何ACE,相当于匹配到了驱动添加的deny any条目,不会从下一个子路由图的ACL开始匹配;5、交换机上,ACE的deny选项行为,执行普通转发;并且为了满足策略路由的匹配顺序,deny any any 行为是跳到下个IPV6 ACL开始匹配。
6、交换机上,配置了PBR功能,会对发往本机的报文同时生效,如果用户希望发往本机的IP/IPV6报文不使用策略路由,则用户需要在P BR规则中在IP/IPV6 ACL前面手工添加“ deny设备IP/IPv6地址"的ACE。
7、工作在冗余备份模式下时,匹配路由子图的策略规则的IP报文转发到该路由子图中第一个解析的下一跳;如果所有的下一跳都未解析,则匹配策略规则的IP报文被丢弃;如果第一个下一跳原先未解析后来解析了,则匹配策略规则IP报文的转发将切换到第一个下一跳。
PBR与BFD联动功能请参见锐捷《BFD配置》,《配置BFD命令》38.1.3策略路由使用BFD功能策略路由与BFD联动,可以避免在配置的策略路由不可达的情况下,路由选路不会选择该策略路由作为转发路径。
如果存在备份路由转发路径,将可以快速地切换到该备份转发路径。
38.1.4工作原理策略路由,首先需要定义一个路由图,用于指定报文转发到哪儿去的策略;路由图是一组语句组成,可以定义为"Permit ”和"Deny ”行为;其次,使用set语句控制报文转发行为。
报文转发控制是通过在PBR路由图中定义一组set语句实现;依序使用每一个set语句进行报文转发;每一个语句都不会参考前面或者后面的语句。
最后,需要将待用PBR设置在报文的是入口。
如果设置在出口,则PBR不生效,按普通路由转发。
38.2 缺省配置F38.3 配置策略路由以下章节描述配置IP/IPV6 PBR的功能基本过程:< href="Cap1.htm#_ 配置项1" target="b"> (必选)配置IP 策略路由< href="Cap1.htm#_ 配置IPV6接口策略路由_1" target="b"> (必选)配置IPV6策略路由< href="Cap1.htm#_ 设备本地应用策略路由"target="b"> (可选)配置设备负载均衡模式< href="Cap1.htm#_ 配置项2" target="b"> (可选)查看配置和状态显示38.3.1配置IPv4策略路由应用策略路由,必须要指定策略路由使用的路由图,并且要创建该路由图。
一个路由图由很多条策略组成,每条策略都有对应的序号(Sequenee ),序号越小,该条策略的优先级越高。
每条策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。
match语句定义了IP报文的匹配规则,set语句定义了对符合匹配规则的IP报文处理动作。
在策略路由转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,然后退出策略路由的执行。
策略路由提供了两种类型的match语句,分别是match len和match ip address ,matchlength以IP报文的长度作为匹配的标准,match ip address 以ACL作为IP报文匹配的标准。
对于同一条策略,只能配置一个match len ,但是可以配置多个match ip address 。
如果在同一条策略中既指定match length 又指定match ip address ,那么只有同时满足两个匹配规则的IP报文才会执行该策略中set规则指定的动作。