策略路由

   一.策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由，路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。它是一种依据用户制定的策略进行路由选择的机制，与单纯依照IP报文的目的地址查找路由表进行转发不同，可应用于安全、负载分担等目的。VRP策略路由支持基于acl包过滤、地址长度等信息，灵活地指定路由。而acl报文过滤则可以根据报文的源ip、目的ip、协议、端口号、优先级、tos、时间段、***等各种丰富的信息将报文分类，然后控制将这些报文按照不同的路由转发出去。

   策略路由分类

   1.接口策略路由

   接口策略路由只对转发的报文起作用，对本地产生的报文（比如本地的ping报文）不起作用。而本地策略路由只对本地产生的报文起作用，对转发的报文不起作用。

接口策略路由配置在接口视图下。       

   2.本地策略路由

   本地产生的报文的策略路由配置在系统视图下。

注意：组播策略路由只支持转发的报文，不对路由器本机产生的报文进行策略路由。

    

针对简单流分类和复杂流分类，可以根据到来的数据包的匹配的以下特征，来设定策略路由：

 802.1p优先级

 VLAN ID

 源/目的MAC地址

 源/目的的IP地址（包括IP  MASK部分）

 TCP/UDP源/目的端口号

 IP优先级

 DSCP的优先级

 IP的协议类型字段

当在接收报文的接口设定了策略路由后，交换机在该接口，检测到来的数据报文，当检测到有匹配相应流分类特征的数据数据报文经过时，就查找相应的策略路由表项，按照策略路由表项所指定的下一跳IP地址或是缺省路由IP地址，来选择转发路径。

 

二 策略路由的流程：

     

1.策略路由只对入口数据包有效。

2.应用策略路由，必须要指定策略路由使用的路由映射，并且要创建路由映射。一个路由映射由很多条策略组成，每个策略都定义了1个或多个的匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由映射任何策略的数据包将按照通常的路由转发进行处理，符合路由映射中某个策略的数据包就按照该策略中定义的操作进行处理。

 

3.匹配原则：

 

 (1).匹配项

   匹配项就是if-match语句，根据这些匹配项将报文按照某个规则进行分类，分为满足规则和不满足规则两类。

    （1）.只有满足所有的if－match，才算匹配，即各匹配条件是与的关系。

  （2）.“匹配退出，不匹配继续”的原则。即只要任意一个节点满足匹配,则不再继续往下匹配，如果不匹配则继续匹配下一个节点。

 (2).操作项

    操作项就是apply语句，也就是满足匹配项的报文将怎么处理、从哪个接口转发出去。 

4.转发接口的优先级：

      从高到低 依次是：

        1.策略路由的出接口

        2.策略路由的下一跳

        3.路由表中的下一跳

        4.策略路由的缺省出接口

        5.策略路由的缺省下一跳

 

(1)当配置有优先级高的策略，则优先级低的配置将被忽略。

(2)单播策略路由可以同时配置两个下一跳或设置两个出接口，报文转发将采用负载分担的方式进行。

案例一：

    

 功能需求：

      OICQ应用全走电信出口

     222.200.80.1/24数据流通过教育网上网

     211.66.88.1/24访问教育网走教育网

     非教育网流量走电信

 配置方法：

   route-map test permit 10

    match ip address   103

    set ip next-hop   172.16.0.1

  route-map test permit 20

    match ip address   105

    set ip next-hop   210.38.0.1

   

  ip access-list extended 103

  10 permit tcp any any eq 8000

 

  20 permit udp any any eq 8000    //OICQ端口

 

ip access-list extended 105

10 deny ip any 211.66.88.0 0.0.0.255

20 deny ip any 222.200.80.0 0.0.0.255

30 permit ip 222.200.80.1 0.0.0.255 any

40 permit ip any 58.192.0.0 0.1.255.255    //教育网地址段

  int range ge 1/3-4

ip policy route-map test     //应用到入接口

 

 

 

 

 

三.路由策略

  1.作用：

     1. 过滤路由信息的手段

     2.发布路由信息时只发送部分信息

     3.接收路由信息时只接收部分信息

     4.进行路由引入时引入满足特定条件的信息支持等值路由

     5.设置路由协议引入的路由属性

2.五种过滤器：

 （1）. 路由策略（routing policy）

      设定匹配条件，属性匹配后进行设置，由if-match和apply字句组成

 （2）访问列表（access-list）

   用于匹配路由信息的目的网段地址或下一跳地址，过滤不符合条件的路由信息

 （3）前缀列表（prefix-list）

匹配对象为路由信息的目的地址或直接作用于路由器对象（gateway）

 （4）自治系统路径信息访问列表（aspath-list）

仅用于BGP协议，匹配BGP路由信息的自治系统路径域

 （5）团体属性列表（community-list）

仅用于BGP协议，匹配BGP路由信息的自治系统团体域

 

3.路由策略与过滤器的关系：

（1） 在路由引入（import-route ）时使用routing policy

   routing policy由一系列的if-match子句和apply子句组成

   匹配AS-path时使用AS-path list

   匹配Community时使用Community list

   匹配IP address时使用IP Prefix和Access list

（2）在路由发布（export）和路由接收（import）时使用地址前缀列表（IP Prefix）和访问控制列表

   接收时：IP Prefix、Access list和Gateway（特定路由器）

   发布时：IP Prefix和Access list

4.路由策略的执行规则：

      

5.路由策略与策略路由的区别：

 （1）.策略路由与路由策略是两个不同的概念，应用领域不同。

（2）.策略路由主要是控制报文的转发，即可以不按照路由表进行报文的转发（因为一般报文的转发要通过查找转发表，而配上策略路由后就不用管转发表了，可以随心所欲将报文转发出去了）。

（3）.路由策略主要控制路由信息的引入（控制哪些路由信息引到路由协议中，哪些路由不引入，主要是针对某种路由协议，是否允许其它路由信息引进来）、发布（控制哪些发布出去，哪些不发布出去，通过同一种路由协议发布出去）、接收（控制哪些接收，哪些丢弃）。