route-policy 路由策略规则详解

ROUTE-POLICY路由策略规则详细信息如果Route-policy经常在实际项目中使用，则route-policy和ACL的详细匹配规则如下：一、标准访问列表：#Acl编号2000rule 0 permit source 192 . 168 . 1 . 0 . 0 . 0 . 255在route-policy中，这些ACL用于匹配前缀。即，如果路由选择项目和规则项目执行AND操作，并且结果在掩码的包含范围内，则匹配成功。对于上述配置，可以与192.168.1.0/2492 . 168 . 1 . 0/25 192 . 168 . 1 . 0/30匹配，但192 . 168 . 1 . 0二、扩展访问列表：#Acl编号3000rule 0 permit IP source 192 . 168 . 1 . 0 destination 255 . 255 . 255 . 0 0Acl编号3001rule 0 deny IP source 192 . 168 . 1 . 0 0 destination 255 . 255 . 255 . 0 0这些ACL更特殊，源和目标的掩码都必须为零。Route-policy需要严格的响应。也就是说，前缀必须与source匹配，前缀的掩码部分必须与destination匹配。对于上述配置3000，只能匹配192.168.1.0/24。与Route-policy一起使用时，此列表允许严格匹配一个路由条目。三、permit permit的route-policy#Route-policy t1 permit node 10If-match ACL 3000Apply local-preference 1300Route-policy t1 permit node 20对于Route-policy的permit规则，任何可以匹配ACL permit规则的项目都将运行node 10的apply规则，并且不再匹配以下规则：如果无法匹配ACL permit规则中的条目，则继续运行下一个节点20中的相应规则。上述配置的结果192.168.1.0/24匹配节点10修改LP属性1300，192.168.2.0/24不修改节点20。两个项目都可以通知。AR2810-Bdis BGP routingflags : #-valid-active I-internald-damped h-history s-aggregate suppresseddest/mask next-hopmed local-pref origin path-是的-是的# I 192 . 168 . 1 . 0 10 . 0 . 0 . 2 0 1300 IGP# I 192 . 168 . 2 . 0 10 . 0 . 0 . 2 0 100 IGPRoutes total: 2AR2810-B四、permit deny的route-policy#Route-policy T2 permit node 10If-match ACL 3001Apply local-preference 2300Route-policy T2 permit node 20如果Route-policy的permit规则的显式规则和ACL的deny规则都匹配，则不运行节点10的apply规则。为了匹配，将继续运行下一个节点20。上述配置结果为192.168.1.0/24和节点10匹配，变为DENY。但是，它将继续与后面的nod 20匹配。可以通知上述规则192.168.1.0/24 192.168.2.0/24项。AR2810-Bdis BGP routingflags : #-valid-active I-internald-damped h-history s-aggregate suppresseddest/mask next-hopmed local-pref origin path-是的-是的# I 192 . 168 . 1 . 0 10 . 0 . 0 . 2 0 100 IGP# I 192 . 168 . 2 . 0 10 . 0 . 0 . 2 0 100 IGPRoutes total: 2AR2810-B五、deny permit的route-policy#Route-policy T3 deny node 10If-match ACL 3000Apply local-preference 1300Route-policy T3 permit node 20Route-policy的deny规则会将与ACL的permit规则相符的所有项目移除为DENY。不匹配的项目继续向下匹配。对于上述配置，192.168.1.0/24和节点10匹配，删除DENY。192.168.2.0/24与节点20匹配。上述规则只能通知192.168.2.0/24。AR2810-Bdis BGP routingflags : #-valid-active I-internald-damped h-history s-aggregate suppresseddest/mask next-hopmed local-pref origin path-是的-是的# I 192 . 168 . 2 . 0 10 . 0 . 0 . 2 0 100 IGPRoutes total: 1AR2810-B6、deny deny的route-policy#Route-policy T4 deny node 10If-match ACL 3001Apply local-preference 2300Route-policy T4 permit node 20与ACL中的deny规则明确匹配的所有条目由node 10 Deny连续匹配route-policy中的Deny规则。这将产生双DENY变为permit的效果。上述配置的结果是192.168.1.0/24 192.168.2.0/24与节点20匹配。可以发布。AR2810-Bdis BGP routingflags : #-valid-active I-internald-damped h-history s-aggregate suppresseddest/mask next-hopmed local-pref origin path-是的-是的# I 192 . 168 . 1 . 0 10 . 0 . 0 . 2 0 100 IGP# I 192 . 168 . 2 . 0 10 . 0 . 0 . 2 0 100 IGPRoutes total: 2AR2810-B上述讨论概述如下：1、在route-policy中，DENY和applay的拟合没有意义。2、ACL中DENY通过的所有项目都可以继续向下匹配。3，route-policy中由DENY匹配的项目由DENY不匹配。4、如果Route-policy用于路由策略，则存在名为DENY ALL的隐式规则；如果用于策略路由，则为PERMIT ALL附件1:一、实验相关信息A (S3/0)-b (S3/0)1)本测试中使用的设备与H3C AR2810相关的版本和配置信息如下AR2810-A:AR2810-Adis ver华为versatile routing platform softwareVrp软件，版本3.40，版本0201 p29版权所有(c)1998-2008 Huawei technologies co .ltd.all rights reserved。without the owners prior written consort，no decomilingnor reverse-engineering shall be allowed。Quidway ar28-10 uptime is 0 week，0 day，1 hour，13 minuteslast reboot 2008/11/28 063303604:7System returned to ROM By Command .CPU type: PowerPC 8241 200MHz128m bytes SDRAM内存32m bytes快闪记忆体PCB :4.0版Logic Version:1.0BootROMVersion:9.23slot 0 aux (hardware) 4.0，(driver) 1.0，(CPLD) 1.0slot 0 1fe (hardware) 4.0，(driver) 1.0，(CPLD) 1.0slot 0 wan (hardware) 4.0，(driver) 1.0，(CPLD) 1.0slot 3 1sa (hardware) 1.0，(driver) 1.0，(CPLD) 2.0AR2810-AvrbdRouting Platform Softwareversion ar 28-10 8040v 300 r 003 b04 d040 sp 73(comwarev 300 r 002 b 62d 014)，发行软件compiled oct 22 2008 183336933693369010 by jiahuaAR2810-Adis Cuar 2810-adis current-configuration#Sysname AR2810-A#Acl编号2000rule 0 permit source 192 . 168 . 1 . 0 . 0 . 0 . 255#Acl编号3000rule 0 permit IP source 192 . 168 . 1 . 0 destination 255 . 255 . 255 . 0 0Acl编号3001rule 0 deny IP source 192 . 168 . 1 . 0 0 destination 255 . 255 . 255 . 0 0#Interface Serial3/0链路协议PPPIP address 10 . 0 . 0 . 2 255 . 255 . 255 . 252#Bgp 100网络192.168.1.0网络192.168.2.0Undo synchronizationGroup tolocal internalpeer to local route-policy T4 exportPeer 10.0.0.1 group tolocal#Route-policy t1 permit node 10If-match ACL 3000Apply local-preference 1300Route-policy t1 permit node 20Route-policy T2 permit node 10If-match ACL 3001Apply local-preference 2300Route-policy T2 permit node 20Route-policy T3 deny node 10If-match ACL 3000Apply local-preference 1300Route-policy T3 permit node 20Route-policy T4 deny node 10If-match ACL 3001Apply local-preference 2300Rout