网络系统建设与运维 课件 P03-09. 策略路由

网络系统建设与运维正常的IP路由转发是根据IP分组的目的地址进行的，即将目的地址和IP路由表进行逐行匹配，并根据最长匹配原则选择最终的出接口和下一跳，然而实践中可能会遇到一些特殊的需求，比如根据IP分组的源地址进行路由选择，这类需求是无法依靠传统的路由表来实现的，我们统称这种基于某些策略来进行的路由为策略路由，他被广泛部署在园区网的出口路由器中，本项目介绍策略路由的工作原理、配置过程和注意事项。深入篇项目9策略路由一、学习目标1、了解策略路由的工作原理；2、了解策略路由和路由策略的区别；3、掌握策略路由的部署。二、网络拓扑图深入篇项目9策略路由三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；深入篇项目9策略路由设备型号数量路由器ROUTER4路由器AR326012、为计算机和相关接口配置IP地址；深入篇项目9策略路由设备连接端口IP地址R1E0/0/0R2G0/0/010.0.12.1/24R2G0/0/0R1E0/0/010.0.12.2/24R2G0/0/1R3E0/0/010.0.23.2/24R2G0/0/2R4E0/0/010.0.24.2/24R3E0/0/0R2G0/0/110.0.23.3/24R3E0/0/1R5E0/0/010.0.35.3/24R4E0/0/0R2G0/0/210.0.24.4/24R4E0/0/1R5E0/0/110.0.45.4/24R5E0/0/0R3E0/0/110.0.35.5/24R5E0/0/1R4E0/0/110.0.45.5/24R1LOOPBACK0--1.1.1.1/32R1LOOPBACK1--1.1.1.11/32R2LOOPBACK0--2.2.2.2/32R3LOOPBACK0--3.3.3.3/32R4LOOPBACK0--4.4.4.4/32R5LOOPBACK0--5.5.5.5/323、全网部署OSPF路由，全网互通；4、在R2上部署策略路由，使得分别来自1.1.1.1和1.1.1.11的IP包选择不同的下一跳（R3或者R4）到达R5。深入篇项目9策略路由四、认知与配置过程传统的IP路由表是根据目的IP地址进行路径选择的，然而实践中可能会碰到一些特殊情况，比如需要根据IP包的源地址进行路由选择（这类IP包可能有特殊的业务需求），传统的的IP路由表是无法实现该功能的，这类不以目的IP地址作为路由依据的数据转发过程统称为策略路由。路由器执行路由时，首先匹配策略路由，如果匹配成功则直接转发，不再使用传统的IP路由表；如果匹配不成功，再按传统IP路由表执行路由，或者说，策略路由的优先级是要高于传统IP路由的。所有关于策略路由的配置是独立于IP路由表之外的，不会对IP路由表做任何修改；而路由策略则正好相反，其目的就是要修改IP路由表，二者之间有着本质区别。深入篇项目9策略路由首先配置全网的OSPF路由，实现全网互通（略），查看R2的OSPF路由表：可以看到R2已经有了全网的明细路由，同时对于5.5.5.5这个目的地址，有两条完全等价的路由（负载均衡），下一跳分别是R3和R4，这与我们的预期一致。深入篇项目9策略路由<R2>disospfrouting1、跟踪从R1到R5的实际路径可以看到对于1.1.1.1和1.1.1.11这两个源地址的IP包，到达5.5.5.5的路径都是经过R4的（第二跳为10.0.24.4），这是华为路由器依据负载均衡策略执行的默认路由动作。下面的配置，通过策略路由，使得源地址为1.1.1.11的IP包，经过R3到达R5。深入篇项目9策略路由<R1>tracert-a1.1.1.15.5.5.5<R1>tracert-a1.1.1.115.5.5.52、定义ACL匹配数据流3、定义流量类别（匹配ACL）4、定义流量行为深入篇项目9策略路由[R2]acl3000[R2-acl-adv-3000]rulepermitipsource1.1.1.110destination5.5.5.50[R2]trafficclassifiertc1[R2-classifier-tc1]if-matchacl3000[R2]trafficbehaviortb1[R2-behavior-tb1]redirectip-nexthop10.0.23.35、定义流量策略6、将流量策略绑定至特定接口该命令将流量策略tp1绑定在了R2的G0/0/0接口上，方向为入（inbound）。深入篇项目9策略路由[R2]trafficpolicytp1[R2-trafficpolicy-tp1]classifiertc1behaviortb1[R2-GigabitEthernet0/0/0]traffic-policytp1inbound五、测试并验证结果再次跟踪从1.1.1.11到5.5.5.5的实际路径：可以看到第二跳已经变成了10.0.23.3（即经过R3），说明策略路由的配置是成功并且生效的。再次查看R2的路由表：可以看到R2的路由表没有任何变化，说明策略路由不会对IP路由表做任何修改，他只是一个策略而已。深入篇项目9策略路由<R1>tracert-a1.1.1.115.5.5.5<R2>disospfrouting六、项目小结与知识拓展1、当需要人为的控制路由走向（需要更改路由表）时，使用路由策略，当需要人为的控制数据走向（不更改路由表）时，使用策略路由，路由器收到一个分组后，先匹配策略路由，如果匹配成功，则直接转发，不再使用路由表；如果匹配不成功，再按照路由表进行数据转发。2、策略路由的常用工具有：PolicyBasedRouting，Traffic-filter,Traffic-Policy等，但实用性最强的是Traffic-Policy，他对经过本地的所有IP分组都有效，一般将他绑定在路由器特定接口的入方向上。所有的策略路由配置都只能在AR系列路由器上进行，ROUTER不支持。Traffic-filter的典型应用是配合ACL进行数据过滤，如：深入篇项目9策略路由[R1-GigabitEthernet0/0/1]traffic-filteroutboundacl3000PolicyBasedRouting则只对本地始发的IP分组有效，功能有限，使用方法如下：定义从2.2.2.2始发去往5.5.5.5的流量走R3线路。深入篇项目9策略路由iplocalpolicy-based-routepbr#aclnumber300