[计算机]策略路由.ppt

策略路由,技术培训中心 2009-06,修订记录,2,学习目标,了解策略路由的作用及原理 掌握策略路由的配置,策略路由概述,常规路由 基于目标IP和路由表进行报文的转发 策略路由(Policy-Based Routing) 根据用户制定的策略进行报文转发，是一种比常规的基于目的的路由更灵活的路由机制,策略路由概述,基于源IP、源目标IP对、协议、端口号、长度等参数对数据进行检查，对匹配的数据执行策略。 从特定的出口转发数据 设置数据的优先级 使用场景 多出口情况下 校园网（Internet、教育网） 企业网（双出口上网） 修改报文TOS、DSCP；,策略路由的流程,入口数据包,策略路由？,有匹配条目吗？,Y,N,Permit？,N,正常路由（基于目标）,N,Y,Y,策 略 路 由,Set,检查Match语句,策略路由的配置,路由器通过route-map语句对符合条件的数据包实施路由策略 permit:对符合条件的数据包实施策略 deny:对符合条件的数据包不实施策略 Sequence: 0-65535, route-map语句的执行顺序（插入/删除route-map语句 ),Router(config)#route-map route-map-name permit | deny sequence,匹配规则,匹配ACL 匹配第三层数据包的长度 定义匹配规则，只有符合规则的数据包才进行策略路由 如果没有配置匹配规则，则所有数据包都符合规则。,Router(config-route-map)#match ip address access-list-number | name .access-list-number | name,Router(config-route-map)#match length min max,定义出口,定义匹配规则后的操作，如对符合规则的数据包进行下一跳的设置。 先策略路由，后查路由表,Router(config-route-map)# set ip next-hop ip-address .ip-address,定义发出的数据包的下一跳地址,Router(config-route-map)# set interface type number .type number,定义发出的数据包的出口,特殊下一跳,路由器先检查路由表，后检查策略路由,Router(config-route-map)# set ip default next-hop ip-address .ip-address,定义到达目的网络时无显式路由时的隐含下一跳地址,配置策略路由,set ip next-hop ip-add和set ip default next-hop,Route-map原理,通过route-map定义感兴趣的数据，并对匹配的数据执行规定的策略 通过route-map 名字关联一些有序条目，按照序号大小顺序查找匹配。匹配，则立刻结束route-map查找，并执行规定的策略 通过match语句检查数据是否匹配 通过set语句执行策略 Pemit表示执行策略，deny表示不执行策略 Route-map每个条目都被赋予编号，可以任意地插入或删除条目 缺省最后有一条deny any的语句,route-map的执行,route-map test permit 10 match x y z match a set b set c route-map test permit 20 match q set r deny all(系统隐含) If (x or y or z) and a then set (b and c) else if q then set r else set nothing,应用到端口,Router(config-if)# ip policy route-map map-tag,在入口上应用策略路由 从该接口进入设备的数据会先执行PBR,查看 Show ip policy,策略路由的配置步骤,明确感兴趣的数据及其路径 通过路由图定义感兴趣的数据和要执行的策略 在指定接口下通过ip policy 命令应用路由图，对通过该接口进入设备的数据进行检查，对匹配的数据执行规定的策略,16,S5750-1 L0 172.16.254.1,S5750-2 L0 172.16.254.2,RSR-3 L0 172.16.254.3,PC1 DHCP client,RSR-4,Fa0/1,Fa0/2,G0/24,G0/24,G0/1,G0/25,G0/