本文講述了思科Cisco策略路由與路由策略。分享給大家供大家參考，具體如下：
 

一、策略路由

1. 路由策略與策略路由

2. 策略路由的特點(diǎn)

3.策略路由的配置

3.1 接口下配置

3.2 全局配置

3.3 策略路由的冗余設(shè)置

3.4 default語(yǔ)句

3.5 為流量打ToS標(biāo)記

二、路由策略

1.抓取流量的列表

1.1 ACL訪問(wèn)控制列表

1.2 prefix-list前綴列表

2. 路由策略工具

2.1 distribute-list分發(fā)列表

2.2  route-map路由鏡像

2.3  OSPF filter-list

一、策略路由

1. 路由策略與策略路由

• 路由策略是對(duì)路由信息本身的參數(shù)進(jìn)行修改、控制等，最終影響路由表的生成，說(shuō)白了路由策略就是告訴設(shè)備怎么學(xué)，一般與BGP結(jié)合使用比較多。
• 策略路由PBR，策略基于路由重點(diǎn)在路由，就是通過(guò)策略控制數(shù)據(jù)包的轉(zhuǎn)發(fā)方向。也有人把策略路由稱之為一個(gè)復(fù)雜的靜態(tài)路由。
• 一般來(lái)講，策略路由是先于路由表執(zhí)行的。即設(shè)備在轉(zhuǎn)發(fā)報(bào)文時(shí)，首先將報(bào)文與策略路由的匹配規(guī)則進(jìn)行比較。若符合匹配條件，則按策略路由進(jìn)行轉(zhuǎn)發(fā)；如果報(bào)文無(wú)法匹配策略路由的條件，再按照普通路由進(jìn)行轉(zhuǎn)發(fā)。
• 策略路由在轉(zhuǎn)化層面不如路由表。原因是匹配的東西過(guò)多，底層芯片處理支持有限。使用原則是能不用就不用。如果出現(xiàn)非目的地址的轉(zhuǎn)發(fā)策略，果斷用。

2. 策略路由的特點(diǎn)

• 傳統(tǒng)的路由表轉(zhuǎn)發(fā)只能通過(guò)數(shù)據(jù)的目標(biāo)地址做決策；策略路由可以根據(jù)源地址、目的地址、源端口、目的端口、協(xié)議、TOS等流量特征來(lái)做策略提供路由，靈活性高。
• 為QoS服務(wù)。使用route-map及策略路由可以根據(jù)數(shù)據(jù)包的特征修改其相關(guān)QoS項(xiàng)，進(jìn)行為QoS服務(wù)。 
• 負(fù)載均衡。使用策略路由可以設(shè)置數(shù)據(jù)包的行為，比如下一跳、下一接口等，這樣在存在多條鏈路的情況下，可以根據(jù)數(shù)據(jù)包的應(yīng)用不同而使用不同的鏈路，進(jìn)而提供高效的負(fù)載均衡能力。 
• 策略路由PBR默認(rèn)只對(duì)穿越流量生效，不能處理本路由器產(chǎn)生流量

3.策略路由的配置

3.1 接口下配置

接口下只能捕獲該接口的入接口流量做策略（不能處理本路由器產(chǎn)生流量）

R1(config)#access-list 100 permit ip host 1.1.1.1 any   //用ACL捕獲流量
R1(config)#route-map pbr permit 10     //定義route-map
R1(config-route-map)#match ip add 100   //調(diào)用被ACL捕獲的流量
R1(config-route-map)#set ip next-hop 10.1.1.1    //設(shè)置下一跳
R1(config-route-map)#exit
R1(config)#int f0/0  
R1(config-if)#ip policy route-map pbr      //接口下調(diào)用

3.2 全局配置

能夠捕獲所有入接口流量以及本路由器產(chǎn)生的流量（源地址是本路由器流量）

R1(config)#access-list 100 permit ip host 1.1.1.1 any   //用ACL捕獲流量
R1(config)#route-map pbr permit 10     //定義route-map
R1(config-route-map)#match ip add 100   //調(diào)用被ACL捕獲的流量
R1(config-route-map)#set ip next-hop 10.1.1.1    //設(shè)置下一跳
R1(config-route-map)#exit
R1(config)#ip local policy route-map pbr          //全局下調(diào)用

3.3 策略路由的冗余設(shè)置

R1(config)#route-map PBR permit 10
R1(config-route-map)#set ip next-hop verify-availability 10.1.24.2 1 track 1   //設(shè)置track監(jiān)控，若track監(jiān)控成功，執(zhí)行該語(yǔ)句；若失敗，則轉(zhuǎn)為執(zhí)行下條語(yǔ)句
R1(config-route-map)#set ip next-hop 10.1.34.3
R1(config-route-map)#exit
R1(config)#ip local policy route-map PBR
R1(config)#track 1 ip sla 1   //定義一個(gè)track監(jiān)控 sla的探測(cè)結(jié)果
R1(config-track)#ip sla 1     //定義一個(gè)sla
R1(config-ip-sla)#icmp-echo 10.1.12.1 source-ip 10.4.4.4  //設(shè)置其探針
R1(config)#ip sla schedule 1 life forever start-time now   //設(shè)置sla 1的執(zhí)行時(shí)間

3.4 default語(yǔ)句

在route-map的set ip default這個(gè)位置輸入，定義為被捕獲的流量先查路由表，如果能精確匹配（如果抓的為10.5.5.5，路由表中有10.5.5.5/24這不叫精確匹配；如果10.5.5.5/32則叫精確匹配）就執(zhí)行路由表；如果不能則執(zhí)行策略路由。

sex ip next-hop和set ip default next-hop命令十分相似，但操作順序完全不同。set ip next-hop命令使得路由器首先檢查策略路由，不符合策略后使用路由表進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)處理；set ip default next-hop命令使得路由器首先檢查路由表，若發(fā)現(xiàn)沒(méi)有明確路由則使用策略路由進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)處理。

R1(config)#access-list 100 permit ip host 1.1.1.1 any   //用ACL捕獲流量
R1(config)#route-map pbr permit 10     //定義route-map
R1(config-route-map)#match ip add 100   //調(diào)用被ACL捕獲的流量
R1(config-route-map)#set ip default next-hop 10.1.1.1    //設(shè)置下一跳
R1(config-route-map)#exit
R1(config)#int f0/0  
R1(config-if)#ip policy route-map pbr      //接口下調(diào)用

3.5 為流量打ToS標(biāo)記

R1(config)#route-map PBR permit 10
R1(config-route-map)#match ip address 1
R1(config-route-map)#set ip precedence priority   //設(shè)置隊(duì)列優(yōu)先級(jí)（優(yōu)先出接口）

二、路由策略

在控制層面抓取流量后，對(duì)流量進(jìn)行修改編輯，最終影響設(shè)備路由表的生成，從而控制選路

1.抓取流量的列表

1.1 ACL訪問(wèn)控制列表

專用于限制數(shù)據(jù)層面流量；也可用于抓取控制層面的流量，但因?yàn)椴黄ヅ渥泳W(wǎng)掩碼，故將無(wú)法精確的抓取控制層面流量

1.2 prefix-list前綴列表

用于專用于抓取控制層面流量；規(guī)則是自上而下逐一匹配，上條匹配按上條執(zhí)行，不再查看下條；末尾隱含拒絕所有

R1(config)#ip prefix-list xxx permit 1.1.1.0/24 ge 26 le 28       允許1.1.1.0/24掩碼范圍在26到28位之間
R1(config)#ip prefix-list xxx seq 6 permit 2.2.2.0/24       還可以利用序號(hào)插入
R1(config)#ip prefix-list xxx permit 0.0.0.0/0 le 32      允許所有

2. 路由策略工具

2.1 distribute-list分發(fā)列表

• 在控制層面流量的進(jìn)或出接口上，限制路由條目的發(fā)送和接收。本身并沒(méi)有過(guò)濾功能，需借助ACL或者前綴列表抓取流量。
• 在DV性協(xié)議中，在in和out方向均可實(shí)施；
• 在LS協(xié)議中，僅僅在in方向?qū)嵤?，并且不能過(guò)濾LSA，僅僅阻止該路由加表；
• 在重發(fā)布過(guò)程中（將A協(xié)議重發(fā)布到B協(xié)議時(shí)），進(jìn)入B協(xié)議，使用out+A協(xié)議

  R1(config)#ip prefix-list a deny 2.2.2.0/24
  R1(config)#ip prefix-list a permit 0.0.0.0/0 le 32
  R1(config)#router rip
  R1(config-router)#distribute-list prefix a out s1/0
  

2.2  route-map路由鏡像

功能性非常強(qiáng)的策略列表，可以用來(lái)過(guò)濾路由也可用來(lái)調(diào)整路由的屬性，自身具備過(guò)濾功能；其末尾隱含拒絕所有，故需創(chuàng)建一個(gè)空表，用于允許所有。需配合ACL或前綴列表使用

R1(config)#access-list 1 permit 2.2.2.0 0.0.0.255
R1(config)#route-map a deny 10
R1(config-route-map)#match ip address 1
R1(config-route-map)#exit
R1(config)#route-map permit 20
R1(config-route-map)#exit
R1(config)#router ospf 110
R1(config-router)#redistribute rip subnets route-map a

2.3  OSPF filter-list

只能針對(duì)三類LSA，并且在所有ABR上都需配置，需配合前綴列表使用

R1(config)#ip prefix-list a deny 2.2.2.0/24
R1(config)#ip prefix-list a permit 0.0.0.0/0 le 32
R1(config)#router ospf 110
R1(config-router)#area 0 filter-list prefix a in

BGP相關(guān)路由策略下次寫吧。

最新評(píng)論