策略路由基本知识

第1页策略路由Policy-basedRouting第2页课程目标通过本课程的学习，您可以掌握如下知识点：策略路由的概念策略路由的原理策略路由的规划策略路由的调试第3页提纲策略路由简介策略路由的实现原理策略路由的规划设计策略路由部署应用案例第4页一般路由的概念普通路由转发,基于路由表进行报文的转发路由表的建立直连路由、主机路由；静态配置路由条目；动态路由协议学习生成；查看命令——showiproute第5页策略路由的概念策略路由(Policy-BasedRouting)，顾名思义，即是根据一定的策略进行报文转发，因此策略路由是一种比目的路由更灵活的路由机制。第6页策略路由与路由策略辨析策略路由路由器转发数据报文时根据配置的规则对报文进行过滤匹配成功则按照一定的转发策略进行报文转发也可以修改报文的IP优先字段因此，策略路由是对IP路由机制的有效增强对象:需要转发的数据报文路由策略通过路由策略控制路由的接收、发布、引入的方法，实现对路由的优化对象:路由本身第7页提纲策略路由简介策略路由的实现原理策略路由的规划设计策略路由部署应用案例第8页策略路由的用途基于源的路由可以使不同的用户选择不同的ISP通过设置IPPrecedence或Tos来实现QOS实现负载均衡第9页策略路由的流程入口数据包策略路由？有匹配条目吗？YNPermit？N正常路由（基于目标）NYY策略路由SetMatch使用Route-map来配置策略路由的流程第10页策略路由的处理模式逐包模式每个包都进行查表后才进行转发流模式第一个包查路由转发表，如果存在路由，将该路由项以source、dest、tos、入接口等索引放置到cache中，以后同样的流就可以直接查cache第11页策略路由的处理流程——流模式SETROUTEMAP匹配查转发表Cache/NP第一个流后续流是否加入转发cache/NP入接口报文转发报文iproute-cachepolicy开启快速交换策略路由第12页Route-map原理类似于复杂的Access-list自顶向下地处理，一旦有一条匹配，则立刻结束route-map查找Route-map每个条目都被赋予编号，可以任意地插入或删除条目第13页route-map的执行route-maptestpermit10matchxyzmatchasetbsetcroute-maptestpermit20matchqsetrdenyall(系统隐含)If(xoryorz)andathenset(bandc)elseifqthensetrelsesetnothing第14页提纲策略路由简介策略路由的实现原理策略路由的规划设计策略路由部署应用案例第15页策略路由的适用环境多出口情况下——校园网（internet网、教育网）——企业网（双出口上网）旁路组网需要修改报文TOS、dscp；第16页策略路由的配置步骤定义重分布路由图一个路由图可以由好多策略组成，策略按序号大小排列，只要符合了前面策略，就退出路由图的执行定义路由图每个策略的匹配规则或条件定义满足匹配规则后，路由器对符合规则的数据包进行IP优先值和下一跳的设置在指定接口中应用路由图第17页策略路由的配置路由器通过route-map语句对符合条件的数据包实施路由策略permit:对符合条件的数据包实施策略deny:对符合条件的数据包不实施策略Sequence:0-65535,route-map语句的执行顺序（插入/删除route-map语句)Router(config)#route-maproute-map-name[permit|deny]sequence第18页匹配规则匹配ACL匹配第三层数据包的长度定义匹配规则，只有符合规则的数据包才进行策略路由，如果没有配置匹配规则，则所有数据包都符合规则。要定义策略的匹配规则，在路由图配置模式中执行以下命令：Route(config-route-map)#matchipaddressaccess-list-numberRouter(config-route-map)#matchipaddress{access-list-number|name}[...access-list-number|name]Router(config-route-map)#matchlengthminmax•第19页定义出口对符合规则的数据包进行下一跳的设置。要定义匹配规则后的操作，在路由图配置模式中执行以下命令：Router(config-route-map)#setinterfacetypenumberRouter(config-route-map)#setipnext-hopip-address路由器先检查策略路由，后检查路由表Router(config-route-map)#setipnext-hopip-address[...ip-address]定义发出的数据包的下一跳地址Router(config-route-map)#setinterfacetypenumber[...typenumber]定义发出的数据包的出口第20页特殊下一跳路由器先检查路由表，后检查策略路由Router(config-route-map)#setipdefaultnext-hopip-address[...ip-address]定义到达目的网络时无显式路由时的隐含下一跳地址第21页配置策略路由setipnext-hopip-add和setipdefaultnext-hop第22页应用到端口Router(config-if)#ippolicyroute-mapmap-tag在入口上应用策略路由Router(config-if)#iproute-cachepolicy开启快速交换策略路由第23页策略路由示例1.1.0.0ISPA.1.2.0.0ISPB.第24页策略路由示例RouterA(config)#access-list1permitip1.1.0.00.0.255.255RouterA(config)#access-list2permitip1.2.0.00.0.255.255RouterA(config)#route-mapaccesspermit10RouterA(config-route-map)#matchipaddress1RouterA(config-route-map)#setipdefaultnext-hop6.6.6.6RouterA(config-route-map)#route-mapaccesspermit20RouterA(config-route-map)#matchipaddress2RouterA(config-route-map)#setipdefaultnext-hop7.7.7.7RouterA(config-route-map)#route-mapaccesspermit30RouterA(config-route-map)#setdefaultinterfacenull0RouterA(config)#interfaceethernet0RouterA(config-if)#ipaddress1.1.1.1255.255.255.0RouterA(config-if)#ippolicyroute-mapaccessRouterA(config)#interfaceserial0RouterA(config-if)#ipaddress6.6.6.5255.255.255.0RouterA(config)#interfaceserial1RouterA(config-if)#ipaddress7.7.7.6255.255.255.0第25页策略路由的验证调试显示IP策略应用情况router#showippolicyInterfaceRoutemapFastEthernet2testDebugippolicyIP:s=1.1.1.2(FastEthernet1/1),d=192.168.2.250(NULL),len=60,precedence=0,policymatchRouteMaptest,item=10,permitIP:s=1.1.1.2(FastEthernet1/1),d=192.168.2.250(FastEthernet1/0),len=60,precedence=0,policyrouted第26页显示策略路由的配置server_r1#showroute-mapwordroute-maptest,permit,sequence10Matchclauses:ipaddress(access-lists):1Setclauses:defaultinterfaceFastEthernet0Policyroutingmatches:42packets,2520bytesroute-maptest,permit,sequence20Matchclauses:ipaddress(access-lists):2Setclauses:ipnext-hop10.10.13.3Policyroutingmatches:12packets,720bytes显示所有或指定路由映射的信息第27页提纲策略路由简介策略路由的实现原理策略路由的规划设计策略路由部署应用案例第28页策略路由部署应用案例一网络拓扑172.16.0.2/30172.16.0.1/30210.38.0.2/30192.168.1.1/30210.38.0.1/30G1/1G1/2G1/3192.168.1.2/30s8610222.200.80.1/24222.200.80.2用户使用教育网地址211.66.88.1/24211.66.88.2A用户B用户rg3760第29页策略路由部署应用案例一用户需求OICQ应用全走电信出口全部用户222.200.80.1/24数据流通过教育网上网(A用户)211.66.88.1/24访问教育网走教育网非教育网流量走电信(B用户)第30页策略路由部署应用案例一如何实现？route-maptestpermit10matchipaddress103setipnext-hop172.16.0.1route-maptestpermit20matchipaddress105setipnext-hop210.38.0.1ipaccess-listextended10310permittcpanyanyeq800020permitudpanyanyeq8000//OICQ端口ipaccess-listextended10510permitip222.200.80.10.0.0.255any20permitipany58.192.0.00.1.255.255省略…//.教育网地址段intge1/3ippolicyroute-maptest//应用到入接口第31页策略路由部署应用案例二网络拓扑172.16.0.2/30172.16.0.1/30210.38.0.2/30211.66.88.1/24210.38.0.1/30G1/1G1/2G1/3211.66.88.2s8610222.200.80.1/24222.200.80.2G1/4A用户B用户s8610s8610第32页策略路由部署应用案例二用户需求OICQ应用全走电信出口全部用户222.200.80.1/24数据流通过教育网上网(A用户)211.66.88.1/24访问教育网走教育网非教育网流量走电信(B用户)第33页策略路由部署应用案例二如何实现？route-maptestpermit10matchipaddress103setipnext-hop172.16.0.1route-maptestpermit20matchipaddress105setipnext-ho