ASM培训策略路由说明

战略路由阐明引见的内容战略路由引见不同品牌型号的战略路由配置方法〔CISCO、中兴H3C、华为、港湾〕ASM战略路由联动配置目前战略路由存在的问题后续研讨战略路由引见战略路由只不过是复杂的静态路由。静态路由是基于报文的目的地址，将报文转发到指定的下一跳路由器，但战略路由是基于报文源地址转发报文至指定的下一跳路由器。战略路由还可以链接到扩展IP访问列表，以便路由器可以基于像协议类型和端口号这样的标志进展路由选择。同战略路由一样，战略路由会对路由器的路由选择产生影响，但仅限于那些配置了战略路由的路由器。战略路由只对接口的入方向报文做转发。普通IP报文的三层转发流程DMACSMACDIPSIPDATADIPSIPDATA查路由表，封装入接口DMACSMACDIPSIPDATA解封装出接口战略路由的报文处置流程战略路由位于IP层，在做IP转发前，假设报文命中某个战略路由对应的规那么，那么要进展相应的战略路由的动作(重定向到指定下一跳)，然后根据重定向的下一跳替代报文的目的IP去查FIB表(转发信息表)，做IP转发。匹配战略路由？yes根据用户设置的下一跳查找出接口根据路由表进展转发no入接口下一跳可达？yes出接口no战略路由的报文流程(处置前)战略路由的报文流程(处置后)战略路由的效果阐明可用在终端电脑上面运用tracert等命令进展路由跟踪来查看实践的途径tracert-d192.168.56.254经过最多30个跃点跟踪到192.168.56.254的路由14ms2ms2ms192.168.54.12<1毫秒<1毫秒<1毫秒192.168.56.254经过最多30个跃点跟踪到192.168.56.254的路由12ms1ms1ms192.168.54.123ms1ms1ms192.168.100.131ms1ms1ms192.168.56.254战略路由与路由战略区别这是两个不同的概念，运用领域不同。战略路由主要是控制报文的转发，即可以不按照路由表进展报文的转发〔由于普通报文的转发要经过查找转发表，而配上战略路由后就不用管转发表了，可以随心所欲将报文从转发出去了〕。路由战略主要控制路由信息的引入〔控制哪些路由信息引到路由协议中，哪些路由器不引入，主要是针对某种路由协议，能否允许其它路由信息引进来〕、发布〔控制哪些发布出去，哪些不发布出去，经过同一种路由协议发布出去〕、接纳〔控制哪些接纳，哪些丢弃，〕。战略路由的配置过程配置ACL指明要进展战略路由的ip地址信息，只对permit有效配置战略路由指明战略路由的一些信息(主要是下一跳〕运用战略路由在接口上面〔虚接口或者物理接口上〕不同品牌型号的战略路由配置方法华为战略路由的其它用法华为支持运用traffic-redirect进展战略路由华为支持运用traffic-policy进展战略路由华为支持运用routepolicy进展战略路由华为支持运用eacl进展战略路由H3C战略路由的其它用法H3C支持运用traffic-redirect进展战略路由H3C支持运用qospolicy进展战略路由H3C支持运用routepolicy进展战略路由H3C支持运用polcybasedroute进展战略路由CISCO、中兴的战略路由运用方法CISCO、中兴目前知运用route-map的方法港湾战略路由的配置方法港湾支持运用setrvice-policy进展战略路由CISCO的配置-route-map例子interfaceVlan54descriptionyangfaipaddress192.168.54.1255.255.255.0ippolicyroute-mappolicy-route!interfaceVlan100descriptionpolicy-vlanipaddress192.168.100.1255.255.255.0!access-list10permitanyroute-mappolicy-routepermit10matchipaddress10setipnext-hop192.168.100.123!CISCO的配置-查看战略路由信息showroute-map〔这条特权级可执行命令显示所配置的路由图。并且可以获知每一路由图定义的战略，同时也显示有多少报文与战略语句匹配)CISCO-3560#showroute-map route-mapp,permit,sequence10 Matchclauses: ipaddress(access-lists):pan Setclauses: ipnext-hop192.168.100.123 Policyroutingmatches:4packets,561bytesCISCO的配置-查看战略路由信息showippolicy(这条特权级可执行命令显示在哪些接口运用了哪些路由图)CISCO-3560#showippolicy InterfaceRoutemap Vlan54pdebugippolicy(运用这条命令可以得知正在运用什么战略路由。同时也显示一个报文能否与规范匹配的信息。假设匹配的话，那么进一步显示其相应的路由信息。)CISCO-3560#debugippolicyIP:s=192.1.1.11(Ethernet0),d=152.1.1.1,len100,policymatchIP:routemapp,item10,permitIP:s=192.1.1.11(Ethernet0),d=152.1.1.1(serial0),len100,policyroutedIP:Ethernet0toserial0152.1.1.1CISCO的配置-战略路由的阐明在CISCOIOS11.0中最先运用基于战略的路由，但未必11.0以后的版本都支持战略路由35系列的交换机的IOS不能是ipbase的版本35系列的交换机要求先开启sdm后sdmpreferroutingexitreload(必需重新启动交换机)中兴的配置中兴配置战略路由的方法与CISCO类似，同样运用route-map来配置路由图H3C的配置-policy-based-route例子aclnumber3040rule0permitpolicy-based-routepolicy-routepermitnode10if-matchacl3040applyip-addressnext-hop172.16.50.123interfaceEthernet0/3.40 ippolicy-based-routepolicy-routeH3C的配置-查看policy-based-route信息可用运用disippolicy-based-route来查看信息[H3C-Router]disippolicy-based-routepolicyNameinterfacepolicy-routeEthernet0/3.40可以运用disippolicy-based-routestatistics看更详细情况[H3C-Router]disippolicy-based-routestatisticsinterfaceEthernet0/3.40InterfaceEthernet0/3.40policybasedroutingstatisticsinformation:policy-based-route:policy-routepermitnode10applyip-addressnext-hop172.16.50.123track1Denied:377,Forwarded:170Totaldenied:377,forwarded:170H3C的配置-查看policy-based-route信息可用运用dispolicy-based-route来查看信息[H3C-Router]dispolicy-based-routepolicy-based-route:policy-routeNode10permit:if-matchacl3040applyip-addressnext-hop172.16.50.123track1H3C的配置-qospolicy例子1、配置ACL战略[H3C7506E]aclnumber3040[H3C7506E-acl-adv-3040]rule10permitipsource203.133.129.160destany[H3C7506E-acl-adv-3040]quit2、配置匹配ACL的流分类1[H3C7506E]trafficclassifier1[H3C7506E-classifier-1]if-matchacl3040[H3C7506E-classifier-1]quit3、配置刚刚定义的流分类1的行为，定义假设匹配就下一跳至203.133.131.200[H3C7506E]trafficbehavior1[H3C7506E-behavior-1]redirectnext-hop203.133.131.200[H3C7506E-behavior-1]quit4、将刚刚设置的流分类及行为运用至QOS战略中，定义policy1[H3C7506E]qospolicy1[H3C7506E-qospolicy-1]classifier1[H3C7506E-qospolicy-1]behavior1[H3C7506E-qospolicy-1]quit5、在接口上运用定义的QOS战略policy1[H3C7506E]interfaceGigabitEthernet2/0/11[H3C7506E-GigabitEthernet2/0/11]qosapplypolicy1inbound[H3C7506E-GigabitEthernet2/0/11]quitH3C的配置-routepolicy例子#aclnumber3000

rule0permitipsource192.168.1.00.0.0.254

#

interfaceEthernet1/0

ipaddress192.168.1.1255.255.255.0ippolicyroute-policyrouteloadshare

#route-policyrouteloadsharepermitnode1

if-matchacl3000

applyip-addressnext-hop140.1.1.2

#

H3C的配置-traffic-redirect例子#aclnumber3000rule0permitipsource192.168.3.00.0.0.255#interfaceGigabitEthernet6/1/1traffic-redirectinboundip-group3000rule0next-hop192.168.0.12#华为的配置-traffic-policy例子与H3Cqospolicy类似#aclnumber3000

rule1permit

ipsource

192.168.1.00.0.0.255#trafficclassifier1if-matchacl3000

#trafficbehavior1

redirectip-nexthop100.0.0.1#trafficpolicy1

classifier1behavior1

#

interfaceGigabitEthernet2/0/0

traffic-policy1inbound

#华为的配置-eacl例子[RouterA]rule-mapintervlanr1ipany15.15.15.00.0.0.255[RouterA]flow-actiona1redirectip30.0.0.5backup[RouterA]eacle1r1a1[RouterA-pos8/0/0]access-grouproutereacle1华为的配置-traffic-redirect例子同H3Ctraffic-redirect华为的配置-routepolicy例子同H3Croutepolicy港湾的配置-setrvice-policy例子class-mapasm-class matchsource-address172.19.150.20255.255.255.0exitpolicy-mapasm-policy matchclass-mapasm-class policy-routenext-hop10.10.10.10 exitexitinterfaceethernet2/5 setrvice-policyinputasm-policyexitASM的配置ASM具有两个IP地址，其中一个是管理地址，这个配置在eth2上面，网关也配置在eth2上面。一个地址是路由地址，这个地址配置在eth0上面要求路由地址的网线直接和做战略路由的交换机进展衔接，该端口为非trunk口ASM管理页面上设置的下一跳地址为与eth0的交换机地址，然后点击获取下一跳MAC地址。目前战略路由存在的问题1.第二个下一跳的问题 绍兴银行配置了两个下一跳〔都在一个vlan〕，但是在第一个下一跳出现问题的时候，没有转到第二个下一跳。公司运用3560进展测试的时候是可以的，这里存在的能够缘由有 A.IOS的版本不一样 B.交换机的型号不一样 C.绍兴银行是热备，我们这边没有目前战略路由存在的问题2.战略路由失效问题 义乌市政府配置了两个下一跳〔都在一个vlan〕，第一个下一跳失效以后会到第二个下一跳，但是第二个下一跳失效之后不能回到以前的路由。公司运用MSR20进行测试的时候是可以的，这里存在的能够缘由有 A.系统的版本不一样 B.交换机的型号不一样目前战略路由存在的问题3.下一跳存在激活IP的情况 公司测试的时候配置一个下一跳，然后存在一个激活的端口〔都在一个vlan〕，会出现第一个ip失效时候，不回到以前的路由。这里能够存在的缘由有 A.对于CISCO，可以采用track进展跟踪，这个要进展测试和用户实践环境的校验，能够会出现IOS版本的问题〔绍兴银行〕 B.对于H3C，可以采用track进展跟踪，这个要进展测试和用户实践环境的校验，能够会出现系统版本的问题 C.对于huawei和其它厂家，目前技术未知且无法进展测试目前战略路由存在的问题4.双机热备的问题 宁波工商存在两个中心交换机，配置战略路由的时候对两个ASM设备划分了两个VLAN，且只在一个交换机上面进展配置，这样会导致这个交换机出现问题时候全网访问不受控制，达不到真正的冗余。目前战略路由存在的问题针对以上几个问题建议未来部署方式：1.假设我们可以研讨透第三个问题，且运用第三个问题的研讨结果处理问题1和问题2，那么我们未来的部署方式为 A.在两个中心交换机上面划分一个一样的VLAN B.将两个ASM分别接在两个中心交换机上面 C.中心交换机设置两个下一跳〔针对网络的来源地址进展一个负载的分担〕 D.采用问题3的处理方法进展跟踪

该部署方式可以做到真正的冗余且可靠

2.假设问题三的研讨结果遭到很大的限制〔比如交换机不支持〕，那么我们未来的部署方式为 A.找一个一切报文都聚集的交换机〔普通为主中心交换机〕上面划分两个不同的VLAN B.两个ASM接在配置的交换机上面的两个不同VLAN C.配置的交换机设置两个下一跳〔针对网络的来源地址进展一个负载的分担〕该部署方式在主中心交换机出现缺点的时候不能进展冗余，且能够存在义乌的战略路由失效问题对于主中心交换机出现缺点的时候不能进展冗余，建议经过管理的方法进展弥补〔中心交换机都出现问题，导致重大网络事情，我们也没有必要进展网络控制〕3.假设出现义乌的战略路由失效问题，那么我们按照下面的方法进展部署 A.找一个一切报文都聚集的交换机〔普通为主中心交换机〕上面划分一个VLAN B.两个ASM接在配置的交换机上面的一个VLAN C.配置的交换机设置两个下一跳 D.将第二个ASM运转方式设置为紧急方式〔即允许一切的报文经过〕后续研讨-地址不可达的研讨假设网线直接衔接〔疑心交换时机判别能否可以将报文交给下一跳，根据mac地址，根据icmp？〕拔掉网线时候会检测出来。地址不可达h3c有track技术，cisco也有track技术，华为未知后续研讨-CISCO的TrackCisco可以进展track的跟踪，判别能否可以通讯配置的过程是先运用ipsla配置，然后运用track配置，然后在next-hop中指定setipnext-hopverify-availability192.168.3.21track123〔交换机和路由器的配置命令好似不一致)ipslamonitor1typeechoprotocolipIcmpEcho192.168.3.2ipslamonitorschedule1lifeforeverstart-timenowtrack123rtr1reachabilityroute-maptestpermit10matchipaddresslan-erpsetipnext-hopverify-availability192.168.3.21track123后续研讨-H3C的track配置配置nqa配置track修正战略路由配置Nqa配置运用nqa命令进展配置Nqa支持各种类型的检测，我们采用常用的ping检测nqaentryadminpolicyroutetypeicmp-echode