64-第2章路由策略与策略路由VIP

1、第第2 2章章 路由策略与策略路由路由策略与策略路由issue 1.1日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n 理解路由策略和策略路由的基本概念理解路由策略和策略路由的基本概念n 掌握应用路由策略的五种过滤工具的掌握应用路由策略的五种过滤工具的使用方法使用方法n 掌握如何利用掌握如何利用route-policy实现实现ip单单播及播及ip组播策略路由组播策略路由课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n 路由策略与策略路由引言路由策略与策略路由引言n 路由策略路由策略n 策略路由策略路由n 路由策略与策略路由实验路由策略与策略路由实验目录目

2、录4路由策略与策略路由引言路由策略与策略路由引言a子公司子公司b子公司子公司欧洲地区总部欧洲地区总部a link：greip sec公司总部（中国）公司总部（中国）b linkrouter arouter brouter crouter drouter e5路由策略与策略路由引言路由策略与策略路由引言l 路由策略仅仅影响路由信息的发布、接收或选择，路由策略仅仅影响路由信息的发布、接收或选择，从而改变路由表的内容，间接的影响报文的转发。从而改变路由表的内容，间接的影响报文的转发。 l 策略路由是作用于报文转发的时候，它可以通过策略路由是作用于报文转发的时候，它可以通过设置的规则直接影响数据报文的

3、转发。设置的规则直接影响数据报文的转发。 l 路由策略与策略路由的工作层面以及面向的对象路由策略与策略路由的工作层面以及面向的对象均不同。我们应该掌握二者的区别。均不同。我们应该掌握二者的区别。 n 路由策略与策略路由引言路由策略与策略路由引言n 路由策略路由策略n 策略路由策略路由n 路由策略与策略路由实验路由策略与策略路由实验目录目录7路由策略路由策略l路由策略概述 l访问控制列表（acl） l前缀列表（ip-prefix）l自治系统路径信息访问列表（as-path list）l团体属性列表（community-list） lroute-policy l路由策略使用分析8路由的发布、接收和

4、引入路由的发布、接收和引入 l 如何有选择性的发布、接收和引入路由？如何有选择性的发布、接收和引入路由？对邻居发布路由从邻居接收路由ospfbgp不同路由协议间引入路由9ip路由策略路由策略l 路由器在发布与接收路由信息时，可能需要实施一些策略，路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤，比如只接收或发布一部分满足以便对路由信息进行过滤，比如只接收或发布一部分满足给定条件的路由信息；给定条件的路由信息； l 路由器在引入其它路由协议的路由信息时，可能需要只引路由器在引入其它路由协议的路由信息时，可能需要只引入一部分满足条件的路由信息，并对所引入的路由信息的入一部

5、分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置或修改，以使其满足本协议的要求。某些属性进行设置或修改，以使其满足本协议的要求。 l 为实现路由策略，首先要定义将要实施路由策略的路由信为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则，可以以路由信息中的不息的特征，即定义一组匹配规则，可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、发布路由信同属性作为匹配依据进行设置，如目的地址、发布路由信息的路由器地址等。息的路由器地址等。 10四种常见的路由过滤方法四种常见的路由过滤方法l 访问控制列表（访问控制列表（acl） l 前缀列表（前缀列表（i

6、p-prefix） l 自治系统路径信息访问列表（自治系统路径信息访问列表（as-path list） l 团体属性列表（团体属性列表（community-list） 11路由策略路由策略l路由策略概述 l访问控制列表（acl） l前缀列表（ip-prefix）l自治系统路径信息访问列表（as-path list）l团体属性列表（community-list） lroute-policy l路由策略使用分析12访问控制列表（访问控制列表（acl） l 访问控制列表分为三类：访问控制列表分为三类： advanced：表示高级访问控制列表； basic：表示基本访问控制列表；interface：表

7、示基于接口的访问控制列表； l 在使用在使用acl对路由信息过滤时，一般使用基本访对路由信息过滤时，一般使用基本访问列表。问列表。 使用基本访问控制列表，在定义访问列表时指定一个源ip地址或子网的范围，用于匹配路由信息的源地址（不含掩码信息）。 13利用利用acl实现路由发布和接收策略（一）实现路由发布和接收策略（一）l 在在bgp视图下，对视图下，对bgp邻居（组）发布或邻居（组）发布或接收路由时根据接收路由时根据acl规则进行路由过滤规则进行路由过滤peer group-name | peer-address filter-policy acl-number import | export

8、 h3cacl number 2000h3c-acl-basic-2000rule permit source 10.1.0.0 0.0.255.255h3c-acl-basic-2000rule deny source anyh3cbgp 65400h3c-bgppeer 1.1.1.1 filter-policy 2000 import 从邻居1.1.1.1只接收10.1.0.0/16网段的路由14利用利用acl实现路由发布和接收策略（二）实现路由发布和接收策略（二）l 在在bgp/ospf/rip/is-is视图下，利用视图下，利用filter-policy根据根据acl规则对发布或接收

9、的路由进行过滤规则对发布或接收的路由进行过滤filter-policy acl-number export routing-protocol filter-policy acl-number import rip只接收10.1.0.0/16网段的路由rip只发布10.2.0.0/16网段的路由h3cacl number 2000h3c-acl-basic-2000rule permit source 10.1.0.0 0.0.255.255h3c-acl-basic-2000rule deny source anyh3cacl number 2001h3c-acl-basic-2001rule

10、 permit source 10.2.0.0 0.0.255.255h3c-acl-basic-2001rule deny source anyh3criph3c-ripfilter-policy 2000 importh3c-ripfilter-policy 2001 15路由策略路由策略l路由策略概述 l访问控制列表（acl） l前缀列表（ip-prefix）l自治系统路径信息访问列表（as-path list）l团体属性列表（community-list） lroute-policy l路由策略使用分析16前缀列表（前缀列表（ip-prefix）l 前缀列表（前缀列表（ip-prefi

11、x）通过）通过ip地址以及掩码长度地址以及掩码长度范围来定义一定的范围来定义一定的ip前缀范围。前缀范围。ip ip-prefix ip-prefix-name index index-number permit | deny network len greater-equal greater-equal | less-equal less-equal l 注意：注意：地址前缀列表的各表项之间的过滤关系是“或”的关系，即通过一条表项的过滤就意味着通过该地址前缀列表的过滤。若没有通过任一表项的过滤，则通不过该地址前缀列表的过滤。17前缀列表（前缀列表（ip-prefix）配置举例（一）配置举例（

12、一）l 定义一条名称为定义一条名称为p1的地址前缀列表，只允许的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为网段的，掩码长度为17或或18的路由通过。的路由通过。 h3c ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18l 上面的掩码长度上面的掩码长度8可以看做一个大的范围，即可以看做一个大的范围，即10.0.0.0/8；后面的掩码长度大于后面的掩码长度大于17小于小于18则表示一个较小的范围，因则表示一个较小的范围，因此实际匹配的网段为：此实际匹配的网段为：10.0.128.0/17或或10

13、.0.192.0/18前缀列表（前缀列表（ip-prefix）配置举例（二）配置举例（二）l 实际匹配的掩码长度范围实际匹配的掩码长度范围817，实际匹配的网段为：，实际匹配的网段为：10.0.0.0/8或10.0.0.0/9或10.0.0.0/16或10.0.128.0/17l 定义一条名称为定义一条名称为p1的地址前缀列表，只允许的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为小于网段的，掩码长度为小于17路由通过路由通过。 h3c ip ip-prefix p1 permit 10.0.192.0 8 less-equal 19前缀列表（前缀列表（ip-prefix）配置

14、举例（三）配置举例（三）l 实际匹配的掩码长度范围实际匹配的掩码长度范围1832，实际匹配的网，实际匹配的网段为：段为：10.0.192.0/18或10.0.192.0/19或10.0.192.0/31或10.0.192.0/32l 定义一条名称为定义一条名称为p1的地址前缀列表，只允许的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为大于网段的，掩码长度为大于18的路由的路由通过。通过。 h3c ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 20前缀列表（前缀列表（ip-prefix）配置举例（四）配置举例（四）l 实际匹配

15、的掩码长度范围实际匹配的掩码长度范围8，实际匹配的网段为：，实际匹配的网段为：10.0.0.0/8l 定义一条名称为定义一条名称为p1的地址前缀列表，只允许的地址前缀列表，只允许10.0.192.0/8网段的路由通过。网段的路由通过。 h3c ip ip-prefix p1 permit 10.0.192.0 8 21利用前缀列表实现路由发布和接收策略（一）利用前缀列表实现路由发布和接收策略（一）l 在在bgp视图下，对视图下，对bgp邻居（组）发布或接收路由时根邻居（组）发布或接收路由时根据前缀列表（据前缀列表（ip-prefix）规则进行路由过滤）规则进行路由过滤peer group-na

16、me | peer-address ip-prefix prefixname import | export 从邻居1.1.1.1只接收10.0.128.0/17或10.0.192.0/18网段的路由（掩码和前缀必须完全匹配）h3c ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18h3cbgp 65400h3c-bgppeer 1.1.1.1 ip-prefix p1 import注意：对于单一的bgp邻居只能对接收的路由（import）进行过滤，对特定的bgp邻居组则可以对发布（export）和接收的路由都进

17、行过滤。22利用前缀列表实现路由发布和接收策略（二）利用前缀列表实现路由发布和接收策略（二）l 在在bgp/ospf/rip/is-is视图下，利用视图下，利用filter-policy根据前根据前缀列表（缀列表（ip-prefix）规则对发布或接收的路由进行过滤）规则对发布或接收的路由进行过滤只接收来自由前缀列表（ip-prefix）规则所匹配的特定网关（路由器）的路由只发布或接收由前缀列表（ip-prefix）规则所匹配的路由只接收来自由前缀列表（ip-prefix）规则所匹配的特定网关（路由器），而且配置一定前缀列表（ip-prefix）规则的路由filter-policy gatewa

18、y ip-prefix-name importfilter-policy ip-prefix ip-prefix-name import filter-policy ip-prefix ip-prefix-name export protocol filter-policy ip-prefix ip-prefix-name gateway ip-prefix-name 23利用前缀列表实现路由发布和接收策略（三）利用前缀列表实现路由发布和接收策略（三）只接收来自bgp邻居10.1.1.1的路由h3c ip ip-prefix p1 permit 10.1.1.1 32 h3cbgp 65400

19、h3c-bgpfilter-policy gateway p1 import 只发布和接收10.0.128.0/17或10.0.192.0/18网段的路由h3c ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18h3cbgp 65400h3c-bgpfilter-policy ip-prefix p1 import h3c-bgpfilter-policy ip-prefix p1 24利用前缀列表实现路由发布和接收策略（四）利用前缀列表实现路由发布和接收策略（四）只接收来自bgp邻居10.1.1.1，关于10.

20、0.128.0/17或10.0.192.0/18网段的路由h3c ip ip-prefix p1 permit 10.1.1.1 32h3c ip ip-prefix p2 permit 10.0.192.0 8 greater-equal 17 less-equal 18h3cbgp 65400h3c-bgpfilter-policy ip-prefix p2 gateway p1 25路由策略路由策略l路由策略概述 l访问控制列表（acl） l前缀列表（ip-prefix）l自治系统路径信息访问列表（as-path list）l团体属性列表（community-list） lroute-p

21、olicy l路由策略使用分析26自治系统路径信息访问列表（自治系统路径信息访问列表（as-path list）l as-path，也就是自治系统路径信息，是，也就是自治系统路径信息，是bgp路路由的重要属性之一。而自治系统路径信息访问列由的重要属性之一。而自治系统路径信息访问列表（表（as-path list）则主要利用正则表达式的方式）则主要利用正则表达式的方式来定义一组用于匹配来定义一组用于匹配as-path列表的规则。列表的规则。ip as-path-acl aspath-acl-number permit | deny as-regular-expression 正则表达式是按照一定

22、的模板来匹配字符串的公式。 27常见的正则表达式符号常见的正则表达式符号符号符号说明说明匹配一个字符串的开始。如匹配一个字符串的开始。如“200”表示只匹配表示只匹配as_path的第一个值的第一个值为为200（“/b”也可用来表示字符串的开始）也可用来表示字符串的开始）$匹配一个字符串的结束。如匹配一个字符串的结束。如“200$”表示只匹配表示只匹配as_path的最后一个的最后一个值为值为200.匹配任何单个字符，包括空格。但是有些厂商实现的不一样，比如阿匹配任何单个字符，包括空格。但是有些厂商实现的不一样，比如阿尔卡特的这个字符也可以匹配一个尔卡特的这个字符也可以匹配一个as号。号。+匹

23、配前面的一个字符或者一个序列，匹配前面的一个字符或者一个序列，1次或者多次出现。次或者多次出现。_匹配一个符号。如逗号，括号，空格符号等。匹配一个符号。如逗号，括号，空格符号等。*匹配前面的一个字符或者一个序列，可以匹配前面的一个字符或者一个序列，可以0次或者多次出现。次或者多次出现。？匹配前面的一个字符，可以匹配前面的一个字符，可以0次或者多次出现。次或者多次出现。( )匹配的变化的匹配的变化的as或者一个独立的匹配，通常和或者一个独立的匹配，通常和“|”一起使用。一起使用。|逻辑或逻辑或28正则表达式的用法举例（一）正则表达式的用法举例（一）as70ip as-path-acl 2 den

24、y 70$ （拒绝从（拒绝从as70始发的路由）始发的路由）ip as-path-acl 2 permit .* （允许其他（允许其他as的路由）的路由）29正则表达式的用法举例（二）正则表达式的用法举例（二）as70as30ok！ip as-path-acl 2 permit _30 .+ 70$ （接受从（接受从as70始发的路由但是要经始发的路由但是要经过过as30） ip as-path-acl 2 permit _30 70$ （有可能（有可能as30与与as70直接相连）直接相连）ip as-path-acl 2 deny 70$ （拒绝从（拒绝从as70始发的路由）始发的路由）

25、ip as-path-acl 2 permit .* （允许其他（允许其他as的路由）的路由） 30正则表达式的用法举例（三）正则表达式的用法举例（三）as70as30ok！as140ip as-path-acl 2 permit _30 .+ (70-9|80-9|90-9|10-30-9|140)$ （接受从（接受从as70-140始发的路由但是要经过始发的路由但是要经过as30）ip as-path-acl 2 permit _30 (70-9|80-9|90-9|10-30-9|140)$ （有可能（有可能as30与与as70-140直接相连）直接相连）ip as-path-acl 2

26、 deny (70-9|80-9|90-9|10-30-9|140)$ （拒绝从（拒绝从as70-140始发的始发的路由）路由）ip as-path-acl 2 permit .* （允许其他（允许其他as的路由）的路由） 31利用利用as-path list实现路由发布和接收策略（一）实现路由发布和接收策略（一）l 在在bgp视图下，对视图下，对bgp邻居（组）发布或接收路邻居（组）发布或接收路由时根据自治系统路径信息访问列表（由时根据自治系统路径信息访问列表（as-path list）规则进行路由过滤）规则进行路由过滤peer group-name | peer-address as-pa

27、th-acl aspath-acl-number import | export 注意：对于单一的bgp邻居只能对接收的路由（import）进行过滤，对特定的bgp邻居组则可以对发布（export）和接收的路由都进行过滤。32利用利用as-path list实现路由发布和接收策略（二）实现路由发布和接收策略（二）as65400对ibgp邻居只发布其他as的路由；不发布本地始发路由h3cip as-path-acl 100 deny $h3cip as-path-acl 100 permit .*h3cbgp 65400h3c-bgpgroup inpeer internalh3c-bgppee

28、r 3.3.3.3 group inpeer h3c-bgppeer inpeer as-path-acl 100 export 33路由策略路由策略l路由策略概述 l访问控制列表（acl） l前缀列表（ip-prefix）l自治系统路径信息访问列表（as-path list）l团体属性列表（community-list） lroute-policy l路由策略使用分析34团体属性列表（团体属性列表（community-list） l 团体属性是团体属性是bgp的重要属性之一，通过定义团体的重要属性之一，通过定义团体属性列表，我们可以很灵活的对一定数量的路由属性列表，我们可以很灵活的对一定数量

29、的路由进行操作。进行操作。ip community-list stand-comm-list-number permit | deny aa:nn | internet | no-export-subconfed | no-advertise | no-export ip community-list ext-comm-list-number permit | deny as-regular-expression 35团体属性列表（团体属性列表（community-list）参数介绍）参数介绍l 团体属性列表可分为标准以及扩展两种。团体属性列表可分为标准以及扩展两种。l 标准团体属性列表参数：

30、标准团体属性列表参数：aa:nn ：团体号，aa一般为自治系统号，nn为赋值internet ：通告所有路由。（缺省属性）no-export-subconfed：不向本地自治系统外发送匹配路由 no-advertise：为不向任何同伴发送匹配路由 no-export：不向自治系统外部通告路由，但发布给其它子自治系统 l 扩展团体属性列表参数：扩展团体属性列表参数：as-regular-expression：正则表达式格式的团体属性 （以正则表达式进行团体属性值的匹配）36团体属性列表配置举例团体属性列表配置举例l 定义一个团体属性列表，匹配团体号定义一个团体属性列表，匹配团体号65400:10

31、h3cip community-list 1 permit 65400:10 l 定义一个团体属性列表，匹配团体号定义一个团体属性列表，匹配团体号65400:10，不向本地自治系统外通告具有该团体属性的路不向本地自治系统外通告具有该团体属性的路由由 h3cip community-list 1 permit 65400:10 no-export-37利用团体属性列表实现路由发布和接收策略利用团体属性列表实现路由发布和接收策略l 在在bgp邻居进行接收和发布路由过滤时，团体属性邻居进行接收和发布路由过滤时，团体属性列表不能像前面介绍的访问控制列表，前缀列表和列表不能像前面介绍的访问控制列表，前缀

32、列表和as-path list一样单独使用，而必须和一样单独使用，而必须和route-policy一起使用（作为一起使用（作为route-policy中的匹配条件）中的匹配条件）l 对特定的对特定的bgp路由赋予团体属性值，也是路由赋予团体属性值，也是route-policy的动作之一。的动作之一。38路由策略路由策略l路由策略概述 l访问控制列表（acl） l前缀列表（ip-prefix）l自治系统路径信息访问列表（as-path list）l团体属性列表（community-list） lroute-policy l路由策略使用分析39route-policyl route-policy是

33、最强大的路由策略工具，前面介绍的访问是最强大的路由策略工具，前面介绍的访问控制列表，前缀列表，控制列表，前缀列表，as-path list和团体属性列表都可以和团体属性列表都可以作为作为route-policy的匹配规则，以实现灵活的路由匹配和的匹配规则，以实现灵活的路由匹配和过滤过滤l route-policy不仅可以实现路由的过滤（不仅可以实现路由的过滤（permit or deny），还可以对符合规则的路由增加或修改相关的路由），还可以对符合规则的路由增加或修改相关的路由属性。属性。l route-policy可以用于在接收和发布路由时的路由策略，可以用于在接收和发布路由时的路由策略，同

34、时也是唯一的可用于路由引入时的路由策略工具。同时也是唯一的可用于路由引入时的路由策略工具。40配置配置route-policyl 定义定义route-policy节点并进入节点并进入route-policy 视图：视图：route-policy route-policy-name permit | deny node node-number 一个routing policy下可以有多个节点，不同的节点号用node-number进行标识，不同node-number各个部分之间的关系是“或”的关系每个节点下可以有多个if-match和apply子句，if-match子句之间是“与”的关系允许模式：

35、允许模式：当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的if-match子句，该路由策略的下一个节点将被测试拒绝模式：拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤，并且不会进行下一个节点的测试41route-policy的执行规则的执行规则route-policyanode10node20node30match att1match att2match att3match att4match att5match att6根据node10的apply子句进行属性设置根据node20的appl

36、y子句进行属性设置根据node30的apply子句进行属性设置通过node10的if-match子句通过node20的if-match子句通过node30的if-match子句通过route-policy a通过route-policy a通过route-policy a通不过route-policy aynnnyy42route-policy用于路由策略的用于路由策略的if-match子句子句操作操作命令命令匹配匹配bgp路由信息的路由信息的as路径域路径域if-match as-path acl-number匹配匹配bgp路由信息的团体属性路由信息的团体属性if-match communi

37、ty standard-community-number whole-match | extended-community-number 匹配路由信息的目的地址匹配路由信息的目的地址if-match acl acl-number | ip-prefix ip-prefix-name 匹配路由信息下一跳接口匹配路由信息下一跳接口if-match interface interface-type number 匹配路由信息的下一跳匹配路由信息的下一跳if-match ip next-hop acl acl-number | ip-prefix ip-prefix-name 匹配路由信息的路由权值匹

38、配路由信息的路由权值if-match cost value匹配匹配ospf路由信息的标记域路由信息的标记域if-match tag 43route-policy用于路由策略的用于路由策略的apply子句子句操作操作命令命令在在bgp路由信息的路由信息的as-path系列前系列前加入指定的加入指定的as号号apply as-path as-number-1 as-number-2 as-number-3 . 在在bgp路由信息中设置团体属性路由信息中设置团体属性apply community aa:nn | no-export-subconfed | no-advertise | no-expo

39、rt additive | additive | none 设置路由信息的下一跳地址设置路由信息的下一跳地址apply ip-address default next-hop ip-address ip-address | acl acl-number 设置引入路由到设置引入路由到is-is的级别：的级别：level-1、level-2还是还是level-1-2apply isis level-1 | level-2 | level-1-2 设置设置bgp路由信息的本地优先级路由信息的本地优先级apply local-preference localpref设置路由信息的路由权值设置路由信息的

40、路由权值apply cost 44利用利用route-policy实现路由发布和接收策略（一）实现路由发布和接收策略（一）l 在在bgp视图下，对视图下，对bgp邻居（组）发布或接收路邻居（组）发布或接收路由时根据由时根据route-policy规则进行路由过滤规则进行路由过滤peer group-name | peer-address route-policy route-policy-name import | export 注意：对于单一的bgp邻居只能对接收的路由（import）进行过滤，对特定的bgp邻居组则可以对发布（export）和接收的路由都进行过滤。45利用利用route-p

41、olicy实现路由发布和接收策略（二）实现路由发布和接收策略（二）as65400对ebgp邻居仅仅发布团体属性为65400:10的路由，并修改其med值为77；不发布其他路由h3cip community-list 1 permit 65400:10h3croute-policy out permit node 10h3c-route-policyif-match community 1h3c-route-policyapply cost 77h3cbgp 65400h3c-bgpgroup expeer externalh3c-bgppeer 202.4.1.1 group expeer a

42、s-number 65411h3c-bgppeer expeer route-policy out 46问题问题如果上面例子中的要求改为如果上面例子中的要求改为“对对ebgp邻居发布路由时将团体属性为邻居发布路由时将团体属性为65400:10的路由的的路由的med值修改为值修改为77；对于；对于其他路由不作修改其他路由不作修改”怎么办怎么办？47解答解答很简单，在定义很简单，在定义route-policy的时候的时候加上一个空的节点加上一个空的节点node 20就可以了：就可以了：h3croute-policy out permit node 48利用利用route-policy实现路由引入时

43、的策略（一）实现路由引入时的策略（一）l 在进行路由引入时实现路由策略，在不同路在进行路由引入时实现路由策略，在不同路由协议中参数也有所不同：由协议中参数也有所不同：rip：import-route protocol allow-ibgp cost value route-policy route-policy-name ospf：import-route protocol allow-ibgp cost value type value tag value route-policy route-policy-name bgp：import-route protocol med med-val

44、ue route-policy route-policy-name network ip-address address-mask route-policy route-policy-name 49利用利用route-policy实现路由引入时的策略（二）实现路由引入时的策略（二）as65400在bgp中network本地直连路由网段10.1.1.0/24时对路由打上团体属性值65400:10，引入ospf路由时对其中的10.1.2.0/24网段打上团体属性65400:20 no-export-subconfed，不向自治系统之外进行通告h3cacl number 2000h3c-acl-ba

45、sic-2000rule permit source 10.1.2.0 0.0.0.255h3c-acl-basic-2000rule deny source anyh3croute-policy setcom-1 permit node 10h3c-route-policyapply community 65400:10h3croute-policy setcom-2 permit node 10h3c-route-policyif-match acl 2000h3c-route-policyapply community 65400:20 no-export-subconfedh3c-ro

46、ute-policyroute-policy setcom-2 permit node 20 h3cbgp 65400h3c-bgpnetwork 10.1.1.0 255.255.255.0 route-policy setcom-1h3c-bgpimport-route ospf route-policy setcom-2 50小结：路由策略的选择小结：路由策略的选择匹配ip地址匹配as-path匹配团体属性路由接收ip prefix，acl， ip prefix gateway，route-policy（ip prefix，acl）as-path list，route-policy（as

47、-path list ）route-policy（community-list）路由发布ip prefix，acl， route-policy（ip prefix，acl）as-path list，route-policy（as-path list ）route-policy（community-list）路由引入route-policy（ip prefix，acl）route-policy（as-path list ）route-policy（community-list）51路由策略路由策略l路由策略概述 l访问控制列表（acl） l前缀列表（ip-prefix）l自治系统路径信息访问列表

48、（as-path list）l团体属性列表（community-list） lroute-policy l路由策略使用分析52路由策略使用分析路由策略使用分析l 路由策略由下面路由策略由下面3个部分组成：个部分组成： 过滤器过滤器 路由策略动作路由策略动作 路由策略使用时机路由策略使用时机n 路由策略与策略路由引言路由策略与策略路由引言n 路由策略路由策略n 策略路由策略路由n 路由策略与策略路由实验路由策略与策略路由实验目录目录54ip策略路由策略路由l 什么是策略路由什么是策略路由与单纯依照ip报文的目的地址查找路由表进行转发不同，策略路由是一种依据用户制定的策略进行路由选择的机制。 55

49、两种两种ip策略路由策略路由l ip策略路由通常分为两种：策略路由通常分为两种：ip单播策略路由ip组播策略路由l 不管是单播还是组播策略路由配置需要做两方面的工作，不管是单播还是组播策略路由配置需要做两方面的工作，一是定义那些需要使用策略路由的报文，二是为这些报文一是定义那些需要使用策略路由的报文，二是为这些报文指定路由，和路由策略一样，这可以通过对一个指定路由，和路由策略一样，这可以通过对一个route-policy的定义来实现。的定义来实现。 if-match子句定义了那些需要使用策略路由的报文 当报文满足route-policy中的if-match子句时，则执行策略中的apply子句，

50、以完成报文的转发 56ip单播策略路由单播策略路由l ip单播策略路由可以分为接口策略路由和本地策单播策略路由可以分为接口策略路由和本地策略路由两种：略路由两种：接口策略路由：接口策略路由：在接口视图下配置（应用于报文到达的接口上），作用于到达该接口的报文本地策略路由：本地策略路由：在系统视图下配置，对本机产生的报文进行策略路由。 策略路由可应用于安全、负载分担等目的。对于一般转发和安全等方面的使用需求，大多数情况下使用的是接口策略路由！57ip单播策略路由的配置单播策略路由的配置 l 创建策略创建策略route-policyl 定义定义route-policy的的if-match子句子句l

51、定义定义route-policy的的apply子句子句l 使能使能/禁止本地策略路由禁止本地策略路由l 使能使能/禁止接口策略路由禁止接口策略路由 58用于用于ip单播策略路由的单播策略路由的if-match子句子句l ip单播策略路由提供两种单播策略路由提供两种if-match子句，子句，if-match packet-length子句和子句和if-match acl子句。一条策略中可以包含多条子句。一条策略中可以包含多条if-match子句，多条子句，多条if-match子句可以组合使用。子句可以组合使用。 操作操作命令命令设置设置ip报文长度匹报文长度匹配条件配条件if-match pa

52、cket-length min-len max-len设置设置ip地址匹配条地址匹配条件件if-match acl acl-59用于用于ip单播策略路由的单播策略路由的apply子句子句操作操作命令命令设置报文的优先级设置报文的优先级apply ip-precedence precedence设置报文的发送接设置报文的发送接口口apply output-interface interface-type interface-number . interface-type interface-number 设置报文的下一跳设置报文的下一跳apply ip-address next-hop ip-a

53、ddress . ip address 设置报文缺省发送设置报文缺省发送接口接口apply default output-interface interface-type interface-number . interface-type interface-number 设置报文缺省下一设置报文缺省下一跳跳apply ip-address default next-hop ip-address . ip address 60接口策略路由和本地策略路由接口策略路由和本地策略路由l 配置接口策略路由配置接口策略路由l 配置本地策略路由配置本地策略路由操作操作命令命令使能接口策略路由使能接口策略路

54、由ip policy route-policy policy-name操作操作命令命令使能本地策略路由使能本地策略路由ip local policy route-policy policy-61ip单播策略路由的配置举例单播策略路由的配置举例s1/0s1/1e0/0tcp10.1.1.0/24从接口e0/0进入路由器的去往10.1.1.0/24的tcp报文强制走s1/0，对于其他的报文不作策略路由的控制h3cacl number 3001h3c-acl-adv-3001rule permit tcp destination 10.1.1.0 0.0.0.255h3croute-policy a

55、1 permit node 10h3c-route-policyif-match acl 3001h3c-route-policyapply output-interface serial 1/0h3c-route-policyroute-policy a1 permit node 20h3cinterface ethernet 0/0h3c-ethernet0/0ip policy route-policy 62问题问题在上面例子中如果要求实现去往在上面例子中如果要求实现去往10.1.1.0/24的的tcp报文在报文在s1/0和和s1/1端端口上的负载分担，应该如何配置？口上的负载分担，应该

56、如何配置？63解答解答很简单，在定义很简单，在定义route-policy的的apply子句子句的时候加上一个新的接口就可以了的时候加上一个新的接口就可以了h3c-route-policyapply output-interface serial 1/0 serial 1/1在使用策略路由时，用户可指定多个下一跳或者设置多个出接口，此时，报文的转发将在多个合法参数中负载分担，即轮流在每一个下一跳或者出接口上发送一个报文。以上叙述只对于同种配置的多个参数有效，如果，如果同时配置了出接口和下一跳，仅在出接口的同时配置了出接口和下一跳，仅在出接口的设置中进行负载分担。设置中进行负载分担。 64ip组

57、播策略路由概述组播策略路由概述 l ip组播策略路由是对组播通常的按照路由表进行报组播策略路由是对组播通常的按照路由表进行报文转发功能的一种补充和增强，它依照用户指定的文转发功能的一种补充和增强，它依照用户指定的策略来转发组播报文。策略来转发组播报文。l ip组播策略路由通过配置组播策略路由通过配置route-policy来实现，它来实现，它是单播策略路由的一种扩展，由用户输入的一组是单播策略路由的一种扩展，由用户输入的一组if-match和和apply语句来描述。语句来描述。65ip组播策略路由配置组播策略路由配置 l 定义定义route-policyl 定义定义ip组播路由策略的组播路由策略的if-match子句子句l 定义定义route-policy的的apply子句子句l 在接口上使能在接口上使能ip组播策略路由组播策略路由66用于用于ip组播策略路由的组播策略路由的if-match子句子句l 组播策略路由只考虑策略节点中的组播策略路由只考虑策略节点中的if-match acl配配置，其它任何置，其它任何if-match子句与组播策略路由的转发子句与组播策略路由的转发无关无关 操作操作命令命令设置组播报文需要匹配的条件设置组播报文需要匹配的