1、07路由策略配置目 录1 路由策略配置 1-11.1 路由策略简介 1-11.1.1 路由策略的应用 1-11.1.2 路由策略的实现 1-11.1.3 过滤器 1-11.2 配置过滤列表 1-31.2.1 配置准备 1-31.2.2 配置地址前缀列表 1-31.2.3 配置AS路径过滤列表 1-41.2.4 配置团体属性列表 1-41.2.5 配置扩展团体属性列表 1-51.3 配置路由策略 1-51.3.1 配置准备 1-51.3.2 创建一个路由策略 1-51.3.3 配置if-match子句 1-61.3.4 配置apply子句 1-71.3.5 配置continue子句 1-91.4
2、 路由策略的显示和维护 1-91.5 路由策略典型配置举例 1-101.5.1 在IPv4路由引入中应用路由策略 1-101.5.2 在IPv6路由引入中应用路由策略 1-121.5.3 配置应用路由策略过滤接收的BGP路由 1-141.6 常见错误配置举例 1-161.6.1 无法实现IPv4路由信息过滤 1-161.6.2 无法实现IPv6路由信息过滤 1-161 路由策略配置本章所介绍的路由策略包括IPv4路由策略和IPv6路由策略,二者的配置基本一致,不同的部分在各节中另行说明。1.1 路由策略简介路由策略(Routing Policy)是为了改变网络流量所经过的途径而修改路由信息的技
3、术,主要通过改变路由属性(包括可达性)来实现。1.1.1 路由策略的应用路由策略的应用灵活广泛,主要有下面几种方式: 控制路由的发布路由协议在发布路由信息时,通过路由策略对路由信息进行过滤,只发布满足条件的路由信息。 控制路由的接收路由协议在接收路由信息时,通过路由策略对路由信息进行过滤,只接收满足条件的路由信息,可以控制路由表项的数量,提高网络的安全性。 管理引入的路由路由协议在引入其它路由协议发现的路由时,通过路由策略只引入满足条件的路由信息,并控制所引入的路由信息的某些属性,以使其满足本协议的要求。 设置路由的属性对通过路由策略的路由设置相应的属性。1.1.2 路由策略的实现路由策略的实
4、现步骤如下:(1) 首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则。可以用路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。(2) 然后再将匹配规则应用于路由的发布、接收和引入等过程的路由策略中。可以灵活使用过滤器来定义各种匹配规则,过滤器的相关内容见下一节介绍。1.1.3 过滤器过滤器可以看作是路由策略过滤路由的工具,单独配置的过滤器没有任何过滤效果,只有在路由协议的相关命令中应用这些过滤器,才能够达到预期的过滤效果。路由协议可以引用访问控制列表、地址前缀列表、AS路径访问列表、团体属性列表、扩展团体属性列表、路由策略几种过滤器。下面对各种过滤
5、器逐一进行介绍。1. 访问控制列表访问控制列表包括针对IPv4报文的ACL和针对IPv6报文的ACL。用户在定义ACL时可以指定IP(v6)地址和子网范围,用于匹配路由信息的目的网段地址或下一跳地址。ACL的相关内容请参见“ACL和QoS配置指导”中的“ACL”。2. 地址前缀列表地址前缀列表包括IPv4地址前缀列表和IPv6地址前缀列表。地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于用户理解。使用地址前缀列表过滤路由信息时,其匹配对象为路由信息的目的地址信息域;另外,用户可以指定gateway选项,指明只接收某些路由器发布的路由信息。关于gateway选项的设置请参见“三层技术-I
6、P路由命令参考”中的“RIP”和“OSPF”。一个地址前缀列表由前缀列表名标识。每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号来标识,索引号指明了在地址前缀列表中进行匹配检查的顺序。每个表项之间是“或”的关系,在匹配的过程中,路由器按升序依次检查由索引号标识的各个表项,只要有某一表项满足条件,就意味着通过该地址前缀列表的过滤(不再进入下一个表项的测试)。3. AS路径访问列表(as-path)as-path仅用于BGP。BGP的路由信息中,包含有自治系统路径域。as-path就是针对自治系统路径域指定匹配条件。as-path的相关内容请参见“三层技
7、术-IP路由配置指导”中的“BGP”。4. 团体属性列表(community-list)community-list仅用于BGP。BGP的路由信息包中,包含一个community属性域,用来标识一个团体。community-list就是针对团体属性域指定匹配条件。团体属性列表的相关内容请参见“三层技术-IP路由配置指导”中的“BGP”。5. 扩展团体属性列表(extcommunity-list)extcommunity-list仅用于BGP。BGP扩展团体属性有两种,一种是用于VPN的Route-Target(路由目标)扩展团体,另一种则是Source of Origin(源节点)扩展团体。扩
8、展团体属性列表就是针对这两种属性指定匹配条件。扩展团体属性列表的相关内容请参见“MPLS配置指导”中的“MPLS L3VPN”。6. 路由策略路由策略是一种比较复杂的过滤器,它不仅可以匹配路由信息的某些属性,还可以在条件满足时改变路由信息的属性。路由策略可以使用前面几种过滤器定义自己的匹配规则。一个路由策略可以由多个节点(node)构成,每个节点是匹配检查的一个单元,在匹配过程中,系统按节点序号升序依次检查各个节点。不同节点间是“或”的关系,如果通过了其中一个节点,就意味着通过该路由策略,不再对其他节点进行匹配。每个节点可以由一组if-match和apply子句组成。 if-match子句定义
9、匹配规则,匹配对象是路由信息的一些属性。同一节点中的不同if-match子句是“与”的关系,只有满足节点内所有if-match子句指定的匹配条件,才能通过该节点的匹配测试。 apply子句指定动作,也就是在通过节点的匹配后,对路由信息的一些属性进行设置。if-match和apply子句可以根据应用进行设置,都是可选的。 如果只过滤路由,不设置路由的属性,则不需要使用apply子句。 如果某个permit节点没有配置任何if-match子句,则该节点匹配所有的路由。 通常在多个deny节点后设置一个不含if-match子句和apply子句的路由策略,用于允许其它的路由通过。1.2 配置过滤列表1
10、.2.1 配置准备在配置过滤列表之前,需要准备以下数据: 前缀列表名称 匹配的地址范围 扩展团体属性列表序号1.2.2 配置地址前缀列表1. 配置IPv4地址前缀列表IPv4地址前缀列表由列表名标识,每个前缀列表可以包含多个表项。各表项以网络前缀的形式,独立指定一个匹配范围,并使用索引号标识。在匹配过程中,系统按索引号升序依次检查各个表项,只要路由信息满足一个表项,就认为通过该过滤列表,不再去匹配其他表项。表1-1 配置IPv4地址前缀列表操作命令说明进入系统视图system-view-配置IPv4地址前缀列表ip ip-prefix ip-prefix-name index index-nu
11、mber deny | permit ip-address mask-length greater-equal min-mask-length less-equal max-mask-length 必选缺省情况下,没有配置IPv4地址前缀列表如果所有表项都是deny模式,则任何路由都不能通过该过滤列表。这种情况下,建议在多条deny模式的表项后定义一条permit 0.0.0.0 0 less-equal 32表项,允许其它所有IPv4路由信息通过。例如,按如下配置可以保证仅过滤掉10.1.0.0/16、10.2.0.0/16、10.3.0.0/16三个网段的路由,而其它网段的路由信息可以通过
12、。 system-viewSysname ip ip-prefix abc index 10 deny 10.1.0.0 16Sysname ip ip-prefix abc index 20 deny 10.2.0.0 16Sysname ip ip-prefix abc index 30 deny 10.3.0.0 16Sysname ip ip-prefix abc index 40 permit 0.0.0.0 0 less-equal 322. 配置IPv6地址前缀列表IPv6地址前缀列表由列表名标识,每个前缀列表可以包含多个表项。各表项可以独立指定一个网络前缀形式的匹配范围,并使用
13、索引号标识。在匹配的过程中,系统按索引号升序依次检查各个表项,只要路由信息满足一个表项,就认为通过该过滤列表,不再去匹配其他表项。表1-1 配置IPv6地址前缀列表操作命令说明进入系统视图system-view-配置IPv6地址前缀列表ip ipv6-prefix ipv6-prefix-name index index-number deny | permit ipv6-address prefix-length greater-equal min-prefix-length less-equal max-prefix-length 必选缺省情况下,没有配置IPv6地址前缀列表如果所有表项都
14、是deny模式,则任何路由都不能通过该过滤列表。这种情况下,需要在多条deny模式的表项后定义一条permit : 0 less-equal 128的表项,以允许其它所有IPv6路由信息通过。例如,按如下配置可以保证仅过滤掉2000:1:/48、2000:2:/48、2000:3:/48三个网段的路由,而其它网段的路由信息可以通过。 system-viewSysname ip ipv6-prefix abc index 10 deny 2000:1: 48Sysname ip ipv6-prefix abc index 20 deny 2000:2: 48Sysname ip ipv6-pre
15、fix abc index 30 deny 2000:3: 48Sysname ip ipv6-prefix abc index 40 permit : 0 less-equal 1281.2.3 配置AS路径过滤列表一个AS过滤列表可以包含多个表项。在匹配过程中,各表项之间是“或”的关系,即只要路由信息通过该列表中的一条表项,就认为通过该AS路径过滤列表。表1-1 配置AS路径过滤列表操作命令说明进入系统视图system-view-配置AS路径过滤列表ip as-path as-path-number deny | permit regular-expression必选缺省情况下,没有配置A
16、S路径过滤列表1.2.4 配置团体属性列表一个团体属性列表可以定义多个表项。在匹配过程中,各表项之间是“或”的关系,即只要路由信息通过该列表中的一条表项,就认为通过该团体属性列表。表1-1 配置团体属性列表操作命令说明进入系统视图system-view-配置团体属性列表配置基本团体属性列表ip community-list basic-comm-list-num deny | permit community-number-list internet | no-advertise | no-export | no-export-subconfed *二者必选其一缺省情况下,没有配置团体属性列表
17、配置高级团体属性列表ip community-list adv-comm-list-num deny | permit regular-expression1.2.5 配置扩展团体属性列表一个扩展团体属性列表可以定义多个表项。在匹配过程中,各表项之间是“或”的关系,即只要路由信息通过该列表中的一条表项,就认为通过该扩展团体属性列表。表1-1 配置扩展团体属性列表操作命令说明进入系统视图system-view-配置扩展团体属性列表ip extcommunity-list ext-comm-list-number deny | permit rt route-target &必选缺省情况下,没有配
18、置扩展团体属性列表1.3 配置路由策略路由策略用来根据路由信息的某些属性过滤路由信息,并改变与路由策略规则匹配的路由信息的属性。匹配条件可以使用前面几种过滤列表。一个路由策略可由多个节点构成,每个节点又分为: if-match子句:定义匹配规则,即路由信息通过当前Route-policy所需满足的条件,匹配对象是路由信息的某些属性。 apply子句:指定动作,也就是在满足由if-match子句指定的过滤条件后所执行的一些配置命令,对路由的某些属性进行修改。1.3.1 配置准备在配置路由策略之前,需完成以下任务: 配置过滤列表 配置路由协议在配置之前,需要准备以下数据: 路由策略的名称、节点序号
19、 匹配条件 要修改的路由属性值1.3.2 创建一个路由策略表1-1 创建一个路由策略操作命令说明进入系统视图system-view-创建路由策略并进入该路由策略视图route-policy route-policy-name deny | permit node node-number必选缺省情况下,没有创建路由策略 permit指定节点的匹配模式为允许模式。当路由信息通过该节点的过滤后,将执行该节点的apply子句,不进入下一个节点的测试;如果路由信息没有通过该节点过滤,将进入下一个节点继续测试。 deny指定节点的匹配模式为拒绝模式(此模式下apply子句不会被执行)。当路由项满足该节点的
20、所有if-match子句时,将被拒绝通过该节点,不进入下一个节点的测试;如果路由项不满足该节点的if-match子句,将进入下一个节点继续测试。 如果路由策略中定义了一个以上的节点,则各节点中至少应该有一个节点的匹配模式是permit。当路由策略用于路由信息过滤时,如果某路由信息没有通过任一节点,则认为该路由信息没有通过该路由策略。如果路由策略的所有节点都是deny模式,则没有路由信息能通过该路由策略。1.3.3 配置if-match子句表1-1 配置if-match子句操作命令说明进入系统视图system-view-进入路由策略视图route-policy route-policy-name
21、 deny | permit node node-number必选配置IPv4的路由信息的匹配条件配置IPv4路由信息的目的地址范围的匹配条件if-match acl acl-number可选缺省情况下,没有配置IPv4路由信息的目的地址范围的匹配条件if-match ip-prefix ip-prefix-name配置IPv4的路由信息的下一跳地址或源地址的匹配条件if-match ip next-hop | route-source acl acl-number | ip-prefix ip-prefix-name 可选缺省情况下,没有配置IPv4的路由信息的下一跳地址或源地址的匹配条件配
22、置IPv6的路由信息的匹配条件if-match ipv6 address | next-hop | route-source acl acl-number | prefix-list ipv6-prefix-name 可选缺省情况下,没有配置IPv6的路由信息的匹配条件配置BGP路由信息的AS路径域的匹配条件if-match as-path as-path-number&可选缺省情况下,没有配置BGP路由信息的AS路径域的匹配条件匹配BGP路由信息的团体属性if-match community basic-community-list-number whole-match | adv-comm
23、unity-list-number &可选缺省情况下,不匹配BGP路由信息的团体属性。配置路由信息的路由开销的匹配条件if-match cost value可选缺省情况下,没有配置路由信息的路由开销的匹配条件配置BGP扩展团体属性的匹配条件if-match extcommunity ext-comm-list-number&可选缺省情况下,没有配置BGP扩展团体属性的匹配条件配置路由信息的出接口的匹配条件if-match interface interface-type interface-number &可选缺省情况下,没有配置路由信息的出接口的匹配条件配置路由信息的MPLS标签的匹配条件i
24、f-match mpls-label可选缺省情况下,没有配置路由信息的MPLS标签的匹配条件配置路由信息的类型的匹配条件if-match route-type external-type1 | external-type1or2 | external-type2 | internal | is-is-level-1 | is-is-level-2 | nssa-external-type1 | nssa-external-type1or2 | nssa-external-type2 *可选缺省情况下,没有配置路由信息的类型的匹配条件配置RIP、OSPF、IS-IS路由信息的标记域的匹配条件if
25、-match tag value可选缺省情况下,没有配置RIP、OSPF、IS-IS路由信息的标记域的匹配条件 对于同一个Route-policy节点,在匹配的过程中,各个if-match子句间是“与”的关系,即路由信息必须同时满足所有匹配条件,才可以执行apply子句的动作。 在一个节点中,可以没有if-match子句,也可以有多个if-match子句。当不指定if-match子句时,如果该节点的匹配模式为允许模式,则所有路由信息都会通过该节点的过滤;如果该节点的匹配模式为拒绝模式,则所有路由信息都会被拒绝。 如果if-match子句对应的ACL不存在,则默认满足该匹配条件;如果if-mat
26、ch子句对应的ACL中没有匹配的ACL规则或者ACL规则处于非激活状态,则默认不满足该匹配条件。 路由策略应使用非VPN的ACL进行路由过滤。 IPv4路由策略和IPv6路由策略在配置if-match子句时,不同之处在于匹配路由信息的目的地址、下一跳和源地址的命令不同。 将路由策略应用到BGP时,BGP协议不支持配置路由信息的出接口的匹配条件。1.3.4 配置apply子句表1-1 配置apply子句操作命令说明进入系统视图system-view-创建路由策略并进入该路由策略视图route-policy route-policy-name deny | permit node node-num
27、ber必选缺省情况下,不创建路由策略配置BGP路由信息的AS_PATH属性apply as-path as-number& replace 可选缺省情况下,没有配置BGP路由信息的AS_PATH属性删除指定的BGP团体属性apply comm-list comm-list-number delete可选缺省情况下,不删除路由团体属性配置BGP路由信息的团体属性apply community none | additive | community-number& | aa:nn& | internet | no-advertise | no-export | no-export-subconfe
28、d * additive 可选缺省情况下,没有配置BGP路由信息的团体属性配置路由信息的路由开销apply cost + | - value可选缺省情况下,没有配置路由信息的路由开销配置路由信息的开销类型apply cost-type external | internal | type-1 | type-2 可选缺省情况下,没有配置路由开销类型配置BGP扩展团体属性apply extcommunity rt as-number:nn | ip-address:nn & additive 可选缺省情况下,没有配置BGP扩展团体属性配置路由信息的下一跳地址配置IPv4路由信息的下一跳地址appl
29、y ip-address next-hop ip-address 可选缺省情况下,没有配置IPv4路由信息的下一跳地址配置IPv6路由信息的下一跳地址apply ipv6 next-hop ipv6-address可选缺省情况下,没有配置IPv6路由信息的下一跳地址配置引入路由到IS-IS某个级别的区域apply isis level-1 | level-1-2 | level-2 可选缺省情况下,没有配置引入路由到IS-IS某个级别的区域配置BGP路由信息的本地优先级apply local-preference preference可选缺省情况下,没有配置BGP路由信息的本地优先级配置MPL
30、S标签apply mpls-label可选缺省情况下,没有配置MPLS标签配置BGP路由信息的ORIGIN属性apply origin egp as-number | igp | incomplete 可选缺省情况下,没有配置BGP路由信息的ORIGIN属性配置路由协议的优先级apply preference preference可选缺省情况下,没有配置路由协议的优先级配置BGP路由信息的首选值apply preferred-value preferred-value可选缺省情况下,没有配置BGP路由信息的首选值配置RIP、OSPF、IS-IS路由信息的标记域apply tag value可选缺省情况下,没有配置RIP、OSPF、IS-IS
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 