华为路由器路由策略和策略路由.docx

华为路由器路由策略和策略路由.docx

《华为路由器路由策略和策略路由.docx》由会员分享，可在线阅读，更多相关《华为路由器路由策略和策略路由.docx（18页珍藏版）》请在冰豆网上搜索。

华为路由器路由策略和策略路由

华为路由器路由策略和策略路由

路由策略和策略路由

一、路由策略简介

路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。

路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如：

1、控制路由的接收和发布

只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。

2、控制路由的引入

在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。

3、设置特定路由的属性

修改通过路由策略过滤的路由的属性，满足自身需要。

路由策略具有以下价值：

通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。

引对应一个节点。

路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。

若所有节点都匹配失败，路由信息将被过滤。

根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。

说明：

当IP地址为0.0.0.0时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。

3、AS路径过滤器（AS_PathFilter）

AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。

AS_Path属性记录了BGP路由所经过的所有AS编号。

4、团体属性过滤器（CommunityFilter）

团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。

BGP的团体属性是用来标识一组具有共同性质的路由。

5、扩展团体属性过滤器（ExtcommunityFilter）

扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器，可在VPN配置中利用VPNTarget区分路由时单独使用。

目前，扩展团体属性过滤器仅应用于对VPN中的VPNTarget属性的匹配。

VPNTarget属性在BGP/MPLSIPVPN网络中控制VPN路由信息在各Site之间的发布和接收。

6、RD属性过滤器（RouteDistinguisherFilter）

RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器，可在VPN配置中利用RD属性区分路由时单独使用。

VPN实例通过路由标识符RD实现地址空间独立，区分使用相同地址空间的前缀。

BGPtoIGP功能

BGPtoIGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。

在IGP引入BGP路由时，可以应用路由策略。

只有当设备支持BGPtoIGP功能时，路由策略中才可以使用BGP私有属性作为匹配条件。

如果设备不支持BGPtoIGP功能，那么IGP就不能够识别BGP路由的私有属性，将导致匹配条件失效。

三、配置路由策略

1、配置过滤器

1、配置地址前缀列表

当需要根据路由的目的地址控制路由的发布和接收时，配置地址前缀列表。

如果地址前缀列表不与路由策略中if-match语句配合使用，地址前缀列表中至少配置一个节点的匹配模式是permit，否则所有路由将都被过滤。

具体配置

[Huawei]ipip-prefix1permit10.1.0.016?

greater-equalSetthegreater-than-or-equal-tovalueofthemasklength#掩码长度可以匹配范围的下限值

less-equalSettheless-than-or-equal-tovalueofthemasklength#掩码长度可以匹配范围的上限值

2、配置AS属性过滤器

AS路径过滤器是利用BGP路由携带的AS-Path列表对路由进行过滤。

在不希望接收某些AS的路由时，可以利用AS路径过滤器对携带这些AS号的路由进行过滤。

当网络环境比较复杂时，如果利用ACL或者地址前缀列表过滤BGP路由，则需要定义多个ACL或者前缀列表，配置比较繁琐。

这时也可以使用AS路径过滤器。

具体配置

[Huawei]ipas-path-filter1deny?

TEXTAregular-expressionof1to255charactersformatchingAS_Pathattributes#用正则表达式来表示

正则表达式的使用见正则表达式章节

3、配置团体属性过滤器

团体属性可以标识具有相同特征的路由，而不用考虑零散路由前缀和繁多的AS号。

团体属性过滤器与团体属性配合使用，可以在不便使用地址前缀列表和AS属性过滤器时，降低路由管理难度。

例如某公司一国外分部只需要接收国内总部和邻国分部的路由，不需要接收其他国外分部的路由。

此时只需为各国分部分配不同的团体属性，就可以方便的实现路由管理，而不用去考虑每个国家内零散的路由前缀和繁多的AS号。

团体属性过滤器有两种类型：

基本团体属性过滤器和高级团体属性过滤器。

高级团体属性过滤器支持正则表达式，比基本团体属性过滤器匹配团体属性更灵活。

具体配置

1、基本团体属性过滤

[Huawei]ipcommunity-filterbasic1permit?

INTEGER<0-4294967295>Specifycommunitynumber

STRING<3-11>Specifyaa<0-65535>:

nn<0-65535>

internetInternet（well-knowncommunityattributes）

#缺省情况下所有路由都具有此属性，可以被通告给所有的BGP对等体

no-advertiseDonotadvertisetoanypeer（well-knowncommunityattributes）

#具有此属性的路由在收到后不能被通告给任何其他的BGP对等体

no-exportDonotexporttoexternalpeers（well-knowncommunityattributes）

#具有此属性的路由在收到后不能被发布到本地AS之外

no-export-subconfedDonotsendoutsideasub-confederation（well-knowncommunityattributes）

#具有此属性的路由在收到后不能被发布到本地AS之外，也不能发布到联盟中的其他子AS

2、高级团体属性过滤

[Huawei]ipcommunity-filteradvanced1permit?

TEXTAregular-expressionof1to255charactersformatchingcommunityattributes#正则表达式

4、配置扩展团体属性过滤器

当VPN场景中需要根据RT属性进行过滤时，可以使用扩展团体属性过滤器。

[Huawei]ipextcommunity-filter?

INTEGER<1-199>Extendedcommunity-filternumber（basic）

INTEGER<200-399>Extendedcommunity-filternumber（advanced）

advancedAdvancedextcommunity-filter

basicBasicextcommunity-filter

5、配置RD属性过滤器

当VPN场景中需要根据RD属性进行过滤时，可以使用扩展团体属性过滤器。

[Huawei]iprd-filter1?

denySpecifyadenyrule

permitSpecifyapermitrule

2、配置路由策略

Route-Policy的每个节点由一组if-match子句和apply子句组成。

if-match：

定义节点匹配规则，即路由信息通过当前路由策略所需满足的条件。

apply：

路由策略动作，即满足if-match子句后所执行的一些属性配置动作，对路由的某些属性进行修改。

1、创建Route-Policy

Route-Policy中可以包含多个匹配条件和操作动作。

Route-Policy中至少配置一个节点的匹配模式是permit，否则所有路由将都被过滤。

具体配置

[Huawei]route-policy1permitnode?

INTEGER<0-65535>Indexofthenode

2、配置If-match子句（可选）

If-match子句用来定义路由策略的匹配条件，匹配对象是路由策略过滤器和路由信息的一些属性。

在一个路由策略节点中，如果不配置if-match子句，则表示路由信息在该节点匹配成功。

如果配置一条或多条if-match子句，则各个if-match子句之间是“与”的关系，即路由信息必须同时满足所有if-match子句，才算该节点匹配成功。

但命令if-matchas-path-filter、if-matchcommunity-filter、if-matchextcommunity-filter、if-matchinterface和if-matchroute-type除外，这五个命令的各自if-match子句间是“或”的关系，与其它命令的if-match子句间仍是“与”的关系。

例如在一个节点中配置多条if-matchas-path-filter子句，则if-matchas-path-filter子句间是“或”的关系，与其它命令的if-match子句间仍是“与”的关系。

说明：

if-match子句匹配未配置的过滤器时，默认该if-match子句匹配成功。

对于同一个路由策略节点，命令if-matchacl和命令if-matchip-prefix不能同时配置，后配置的命令会覆盖先配置的命令。

修改包括多条if-match子句相互配合的路由策略时，建议配置路由策略生效时间，否则不完整的策略会造成路由振荡。

具体配置：

1、创建路策略视图

[Huawei]route-policytest1permitnode1

[Huawei-route-policy]

下列命令之间是并列关系，请根据实际情况配置路由策略中的if-match子句

2、设置匹配规则

[Huawei-route-policy]if-match?

aclSpecifyanACL#基于acl的匹配规则

as-path-filterBGPASpathlist#基于as路径过滤器

community-filterMatchBGPcommunityfilter#基于团体属性过滤器

costMatchmetricofroute#基于路由开销

extcommunity-filterMatchBGP/VPNextendedcommunityfilter

interfaceSpecifytheinterfacematchingthefirsthopofroutes#基于出接口

ipIPinformation

ip-prefixSpecifyanaddressprefix-list#基于IP第前缀列表

ipv6IPv6Information

mpls-labelGivetheLabel#基于mpls标签

rd-filterRoute-distinguisherfilter#基于RD属性

route-typeMatchroute-typeofroute#基于is-is路由类型

tagMatchtagofroute#基于路由信息标记

-------------------------

[Huawei-route-policy]if-matchcommunity-filter1?

INTEGER<1-99>SpecifyCommunity-filternumber（basic）

INTEGER<100-199>SpecifyCommunity-filternumber（advanced）

whole-matchDoexactmatchingofcommunities#要求完全匹配

---------------------------------

[Huawei-route-policy]if-matchip?

group-addressMatchgroupaddressofroute#组播IP地址

next-hopMatchnext-hopaddressofroute

route-sourceMatchadvertisingsourceaddressofroute

--------------------

[Huawei-route-policy]if-matchroute-type?

external-type1OSPFExternalType1routes

external-type1or2OSPFExternalroutes（OSPFtype1/2）

external-type2OSPFExternalType2routes

internalInternalroute（includingOSPFintra/interarea）

is-is-level-1IS-ISLevel-1routes

is-is-level-2IS-ISLevel-2routes

nssa-external-type1OSPFNSSAExternalType1routes

nssa-external-type1or2OSPFNSSAExternalType1andType2routes

nssa-external-type2OSPFNSSAExternalType2routes

3、配置Apply子句（可选）

Apply子句用来为路由策略指定动作，用来设置匹配成功的路由的属性。

在一个节点中，如果没有配置apply子句，则该节点仅起过滤路由的作用。

如果配置一个或多个apply子句，则通过节点匹配的路由将执行所有apply子句。

具体配置：

1、设置BGP路由的AS_Path属性动作

[Huawei-route-policy]applyas-path2001010?

additiveAppendtooriginalAsNumber#在原有的路径前面添加as号

overwriteOverwriteoriginalAsNumber#覆盖原有as号

2、设置备份出接口

主要用于IPFR（快速重路由）场景，手动为路由配置一个备份出接口，一般需要与applybackup-nexthop命令配合使用，除了P2P链路外都需要设置下一跳。

[Huawei-route-policy]applybackup-interface?

EthernetEthernetinterface

GigabitEthernetGigabitEthernetinterface

NULLNULLinterface

SerialSerialinterface

3、设置备份出接口下一跳动作

[Huawei-route-policy]applybackup-nexthop?

X.X.X.XSpecifyIP-address

autoFindbackupnexthopaddressautomatic

4、删除指定的BGP路由的团体属

当需要删除几个团体属性时，可通过一条ipcommunity-filter命令仅配置一个团体属性的方法，将需要删除的团体属性都分条配置到一个团体属性过滤器，最后应用包含applycomm-filterdelete命令的路由策略删除该团体属性过滤器中的所有团体属性。

[Huawei-route-policy]applycomm-filter2delete

5、删除全部BGP团体属性或改变BGP团体属性

[Huawei-route-policy]applycommunity?

INTEGER<0-4294967295>Specifycommunitynumber

STRING<3-11>Specifyaa<0-65535>:

nn<0-65535>

internetInternet（well-knowncommunityattributes）#改变为internet类型，下同

no-advertiseDonotadvertisetoanypeer（well-knowncommunityattributes）#改变为no-advertise类型

no-exportDonotexporttoexternalpeers（well-knowncommunityattributes）

no-export-subconfedDonotsendoutsideasub-confederation（well-knowncommunityattributes）

noneNocommunityattribute#删除所有团体属性

6、设置路由的开销值

Huawei-route-policy]applycost?

+Addmetric#原有基础上增加

-Subtractmetric

INTEGER<0-4294967295>Specifymetricvalue#直接设定

7、设置开销类型

[Huawei-route-policy]applycost-type?

externalIS-ISexternalmetric

internalIS-ISinternalmetric/SetBGPMEDtoIGPmetricofnexthop

type-1OSPFExternalType1routes

type-2OSPFExternalType2routes

8、设置EBGP路由的衰减参数

[Huawei-route-policy]applydampening?

INTEGER<1-45>Half-lifeperiodforaroute,inminutes

9、设置BGP路由的扩展团体属性（Route-Target）

[Huawei-route-policy]applyextcommunityrt?

STRING<3-21>IP:

NN<0-65535>orAS<0-65535>:

NN<0-4294967295>orAS<0-65535>.<0-65535>:

NN<0-65535>

10、设置IPv4路由的下一跳地址

[Huawei-route-policy]applyip-addressnext-hop?

X.X.X.XSpecifyIP-address

peer-addressPeeraddress

11、设置IS-IS的路由级别

[Huawei-route-policy]applyisis?

level-1Importintoalevel-1area

level-1-2Importintolevel-1andlevel-2

level-2Importintolevel-2sub-domain

12、设置BGP路由的本地优先级

[Huawei-route-policy]applylocal-preference?

INTEGER<0-4294967295>Specifyalocalpreferencevalue

13、设置路由MPLS标签

[Huawei-route-policy]applympls-label

14、设置BGP路由的Origin属性

[Huawei-route-policy]applyorigin?

egpRemoteEGP#路由信息源为EGP优先级中等

igpLocalIGP#优先级最高

incompleteUnknownheritage#未知，优先级最低

15、设置路由引入到OSPF的特定区域

[Huawei-route-policy]applyospf?

backboneImportintoOSPFbackbonearea#骨干区域

stub-areaImportintoOSPFNSSAarea#stub区域

16、设置路由协议的优先级

[Huawei-route-policy]applypreference?

INTEGER<1-255>GivethePreferenceValue（RoutePreference）

17设置BGP路由的首选值：

applypreferred-valuepreferred-value

[Huawei-route-policy]applypreferred-value?

INTEGER<0-65535>SpecifyBGPPreferred-value（weight）valueforroutingtable

18、设置路由的标记域：

applytagtag

[Huawei-route-policy]applytag?

INTEGER<0-4294967295>Tagvalue

4、配置路由策略生效时间

为了保障网络的稳定性，修改路由策略时需要控制路由策略的生效时间。

具体配置

1、设置路由策略应用延迟时间（缺省为路由策略变化后，RM将立即通知协议应用新策略）

[Huawei]route-policy-changenotify-delay?

INTEGER<1-180>Specifydelaytime（insecond）ofroutepolicychangenotify

2、配置BGP协议立即应用新策略

refreshbgpall?

exportTriggeroutboundsoftreconfiguration#触发出方向软复位

importTriggerinboundsoftreconfiguration

#如果配置策略命令后，需要立即看到策略过滤的效果。

可以通过执行这个命令，配置BGP协议立即应用新策略。

受该定时器影响的相关的策略有访问控制列表、地址前缀列表、AS路