资源描述
,69,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,RA-003 IP路由策略与策略路由,ISSUE 2.0,日期:,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,理解路由策略和策略路由的基本概念,掌握应用路由策略的五种过滤工具的使用方法,掌握如何利用,Route-policy,实现,IP,单播及,IP,组播策略路由,课程目标,学习完本课程,您应该能够:,路由策略,策略路由,目录,路由策略,路由策略概述,访问控制列表(ACL),前缀列表(ip-prefix),自治系统路径信息访问列表(as-path list),团体属性列表(community-list),Route-policy,路由的发布、接收和引入,如何有选择性的发布、接收和引入路由?,对邻居发布路由,从邻居接收路由,OSPF,BGP,不同路由协议间引入路由,IP路由策略,路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤,比如只接收或发布一部分满足给定条件的路由信息;,路由器在引入其它路由协议的路由信息时,可能需要只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置或修改,以使其满足本协议的要求。,为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则,可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。,五种常见的路由过滤方法,访问控制列表(,ACL,),前缀列表(ip-prefix),自治系统路径信息访问列表(as-path list),团体属性列表(community-list),Route-policy,路由策略,路由策略概述,访问控制列表(ACL),前缀列表(ip-prefix),自治系统路径信息访问列表(as-path list),团体属性列表(community-list),Route-policy,访问控制列表(ACL),访问控制列表分为三类:,Advanced:,表示高级访问控制列表;,Basic:,表示基本访问控制列表;,Interface:,表示基于接口的访问控制列表;,在对路由信息过滤时,一般使用基本访问列表和高级访问控制列表。,使用基本访问控制列表,在定义访问列表时指定一个源IP地址或子网的范围,用于匹配路由信息的源地址。,使用高级访问列表,则可以使用协议类型、源/目的地址或端口号等多种参数匹配路由信息。,利用ACL实现路由发布和接收策略(一),在BGP视图下,对BGP邻居(组)发布或接收路由时根据ACL规则进行路由过滤,peer,group-name,|,peer-address,filter-policy,acl-number,import,|,export,H3Cacl number 2000,H3C-acl-basic-2000rule permit source 10.1.0.0 0.0.255.255,H3C-acl-basic-2000rule deny source any,H3Cbgp 65400,H3C-bgppeer 1.1.1.1 filter-policy 2000 import,从邻居1.1.1.1只接收10.1.0.0/16网段的路由,利用ACL实现路由发布和接收策略(二),在BGP/OSPF/RIP/IS-IS视图下,利用filter-policy根据ACL规则对发布或接收的路由进行过滤,filter-policy,acl-number,export,routing-protocol,filter-policy,acl-number,import,RIP只接收10.1.0.0/16网段的路由,RIP只发布10.2.0.0/16网段的路由,H3Cacl number 2000,H3C-acl-basic-2000rule permit source 10.1.0.0 0.0.255.255,H3C-acl-basic-2000rule deny source any,H3Cacl number 2001,H3C-acl-basic-2001rule permit source 10.2.0.0 0.0.255.255,H3C-acl-basic-2001rule deny source any,H3Crip,H3C-ripfilter-policy 2000 import,H3C-ripfilter-policy 2001 export,路由策略,路由策略概述,访问控制列表(ACL),前缀列表(ip-prefix),自治系统路径信息访问列表(as-path list),团体属性列表(community-list),Route-policy,前缀列表(ip-prefix),前缀列表(ip-prefix)通过IP地址以及掩码长度范围来定义一定的IP前缀范围。,ip ip-prefix,ip-prefix-name,index,index-number, ,permit,|,deny,network len,greater-equal,greater-equal,|,less-equal,less-equal,注意:,地址前缀列表的各表项之间的过滤关系是“或”的关系,即通过一条表项的过滤就意味着通过该地址前缀列表的过滤。若没有通过任一表项的过滤,则通不过该地址前缀列表的过滤。,前缀列表(ip-prefix)配置举例(一),# 定义一条名称为p1的地址前缀列表,只允许10.0.192.0/8网段的,掩码长度为17或18的路由通过。,H3C ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18,上面的掩码长度8可以看做一个大的范围,即10.0.0.0/8;后面的掩码长度大于17小于18则表示一个较小的范围,因此实际匹配的网段为:,10.0.128.0/17或,10.0.192.0/18,前缀列表(ip-prefix)配置举例(二),实际匹配的掩码长度范围817,实际匹配的网段为:,10.0.0.0/8或,10.0.0.0/9或,10.0.0.0/16或,10.0.128.0/17,# 定义一条名称为p1的地址前缀列表,只允许10.0.192.0/8网段的,掩码长度为小于17路由通过。,H3C ip ip-prefix p1 permit 10.0.192.0 8 less-equal 17,前缀列表(ip-prefix)配置举例(三),实际匹配的掩码长度范围1832,实际匹配的网段为:,10.0.192.0/18或,10.0.192.0/19或,10.0.192.0/31或,10.0.192.0/32,# 定义一条名称为p1的地址前缀列表,只允许10.0.192.0/8网段的,掩码长度为大于18的路由通过。,H3C ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 18,前缀列表(ip-prefix)配置举例(四),实际匹配的掩码长度范围8,实际匹配的网段为:,10.0.0.0/8,# 定义一条名称为p1的地址前缀列表,只允许10.0.192.0/8网段的路由通过。,H3C ip ip-prefix p1 permit 10.0.192.0 8,利用,前缀列表实现路由发布和接收策略(一),在BGP视图下,对BGP邻居(组)发布或接收路由时根据,前缀列表(ip-prefix)规则进行路由过滤,peer group-name | peer-address ip-prefix prefixname import | export ,从邻居1.1.1.1只接收,10.0.128.0/17或10.0.192.0/18网段的路由(掩码和前缀必须完全匹配),H3C ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18,H3Cbgp 65400,H3C-bgppeer 1.1.1.1 ip-prefix p1 import,注意:对于单一的BGP邻居只能对接收的路由(import)进行过滤,对特定的BGP邻居组则可以对发布(export)和接收的路由都进行过滤。,利用,前缀列表实现路由发布和接收策略(二),在BGP/OSPF/RIP/IS-IS视图下,利用filter-policy根据,前缀列表(ip-prefix)规则对发布或接收的路由进行过滤,只接收来自由,前缀列表(ip-prefix)规则所匹配的特定网关(路由器)的路由,filter-policy gateway ip-prefix-name import,只发布或接收由,前缀列表(ip-prefix)规则所匹配的路由,filter-policy ip-prefix,ip-prefix-name,import,filter-policy,ip-prefix,ip-prefix-name,export,protocol,只接收来自由,前缀列表(ip-prefix)规则所匹配的特定网关(路由器),而且配置一定前缀列表(ip-prefix)规则的路由,filter-policy ip-prefix ip-prefix-name gateway ip-prefix-name import,利用,前缀列表实现路由发布和接收策略(三),只接收来自BGP邻居10.1.1.1的路由,H3C ip ip-prefix p1 permit 10.1.1.1 32,H3Cbgp 65400,H3C-bgpfilter-policy gateway p1 import,只发布和接收,10.0.128.0/17或10.0.192.0/18网段的路由,H3C ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18,H3Cbgp 65400,H3C-bgpfilter-policy ip-prefix p1 import,H3C-bgpfilter-policy ip-prefix p1 export,利用,前缀列表实现路由发布和接收策略(四),只接收来自BGP邻居10.1.1.1,关于,10.0.128.0/17或10.0.192.0/18网段的路由,H3C ip ip-prefix p1 permit 10.1.1.1 32,H3C ip ip-prefix p2 permit 10.0.192.0 8 greater-equal 17 less-equal 18,H3Cbgp 65400,H3C-bgpfilter-policy ip-prefix p2 gateway p1 import,路由策略,路由策略概述,访问控制列表(ACL),前缀列表(ip-prefix),自治系统路径信息访问列表(as-path list),团体属性列表(community-list),Route-policy,自治系统路径信息访问列表(as-path list),AS-path,也就是自治系统路径信息,是BGP路由的重要属性之一。而自治系统路径信息访问列表(as-path list)则主要利用正则表达式的方式来定义一组用于匹配AS-path列表的规则。,ip as-path-acl,aspath-acl-number, permit | deny ,as-regular-expression,正则表达式是按照一定的模板来匹配字符串的公式。,常见的正则表达式符号,符号,说明,匹配一个字符串的开始。如“200”表示只匹配AS_PATH的第一个值为200(“/b”也可用来表示字符串的开始),$,匹配一个字符串的结束。如“200$”表示只匹配AS_PATH的最后一个值为200,.,匹配任何单个字符,包括空格。但是有些厂商实现的不一样,比如阿尔卡特的这个字符也可以匹配一个AS号。,+,匹配前面的一个字符或者一个序列,1次或者多次出现。,_,匹配一个符号。如逗号,括号,空格符号等。,*,匹配前面的一个字符或者一个序列,可以0次或者多次出现。,?,匹配前面的一个字符,可以0次或者多次出现。,( ),匹配的变化的AS或者一个独立的匹配,通常和“|”一起使用。,|,逻辑或, ,匹配的一个范围内的AS,通常和“-”一起使用,-,连接符,正则表达式的用法举例(一),AS70,ip as-path-acl 2 deny 70$ (拒绝从AS70始发的路由),ip as-path-acl 2 permit .* (允许其他AS的路由),正则表达式的用法举例(二),AS70,AS30,OK!,ip as-path-acl 2 permit _30 .+ 70$,(接受从,AS70,始发的路由但是要经过,AS30,),ip as-path-acl 2 permit _30 70$,(有可能,AS30,与,AS70,直接相连),ip as-path-acl 2 deny 70$,(拒绝从,AS70,始发的路由),ip as-path-acl 2 permit .*,(允许其他,AS,的路由),问题,ip as-path-acl 2 permit _30 .+ 70$,ip as-path-acl 2 permit _30 70$,有必要写成两句吗?,解答,实际上写成一句就可以了,ip as-path-acl 2 permit _30(.*) 70$,正则表达式的用法举例(三),AS70,AS30,OK!,AS140,ip as-path-acl 2 permit _30 .+ (70-9|80-9|90-9|10-30-9|140)$,(接受从,AS70-140,始发的路由但是要经过,AS30,),ip as-path-acl 2 permit _30 (70-9|80-9|90-9|10-30-9|140)$,(有可能,AS30,与,AS70-140,直接相连),ip as-path-acl 2 deny (70-9|80-9|90-9|10-30-9|140)$,(拒绝从,AS70-140,始发的路由),ip as-path-acl 2 permit .*,(允许其他,AS,的路由),问题,ip as-path-acl 2 permit _30 .+ (70-9|80-9|90-9|10-30-9|140)$,这条也太长了吧,能简化?,解答,可以改为,ip as-path-acl 2 permit _30 .+ (7.|8.|9.|10-3.|140)$,(作用与以前的一样),利用as-path list实现路由发布和接收策略(一),在BGP视图下,对BGP邻居(组)发布或接收路由时根据自治系统路径信息访问列表(as-path list)规则进行路由过滤,peer,group-name,|,peer-address,as-path-acl,aspath-acl-number,import,|,export,注意:对于单一的BGP邻居只能对接收的路由(import)进行过滤,对特定的BGP邻居组则可以对发布(export)和接收的路由都进行过滤。,利用as-path list实现路由发布和接收策略(二),AS65400,对IBGP邻居只发布其他AS的路由;不发布本地始发路由,H3Cip as-path-acl 100 deny $,H3Cip as-path-acl 100 permit .*,H3Cbgp 65400,H3C-bgpgroup inpeer internal,H3C-bgppeer 3.3.3.3 group inpeer,H3C-bgppeer inpeer as-path-acl 100 export,路由策略,路由策略概述,访问控制列表(ACL),前缀列表(ip-prefix),自治系统路径信息访问列表(as-path list),团体属性列表(community-list),Route-policy,团体属性列表(community-list),团体属性是BGP的重要属性之一,通过定义团体属性列表,我们可以很灵活的对一定数量的路由进行操作。,ip community-list,命令则是用来配置一个BGP团体列表的匹配规则,以方便我们对携带团体属性的BGP路由进行过滤,ip community-list,stand-comm-list-number,permit,|,deny, ,aa:nn,|,internet,|,no-export-subconfed,|,no-advertise,|,no-export,ip community-list,ext-comm-list-number, permit | deny ,as-regular-expression,团体属性列表(community-list)参数介绍,团体属性列表可分为标准以及扩展两种。,标准团体属性列表参数:,aa:nn,:团体号,aa一般为自治系统号,nn为赋值,internet,:通告所有路由。(缺省属性),no-export-subconfed,:不向本地自治系统外发送匹配路由,no-advertise,:为不向任何同伴发送匹配路由,no-export,:不向自治系统外部通告路由,但发布给其它子自治系统,扩展团体属性列表参数:,as-regular-expression,:正则表达式格式的团体属性 (以正则表达式进行团体属性值的匹配),团体属性列表配置举例,# 定义一个团体属性列表,匹配团体号65400:10,H3Cip community-list 1 permit 65400:10,# 定义一个团体属性列表,匹配团体号65400:10,不向本地自治系统外通告具有该团体属性的路由,H3Cip community-list 1 permit 65400:10 no-export-subconfed,利用团体属性列表实现路由发布和接收策略,在BGP邻居进行接收和发布路由过滤时,团体属性列表不能像前面介绍的访问控制列表,前缀列表和as-path list一样单独使用,而必须和Route-policy一起使用(作为Route-policy中的匹配条件),对特定的BGP路由赋予团体属性值,也是Route-policy的动作之一。,路由策略,路由策略概述,访问控制列表(ACL),前缀列表(ip-prefix),自治系统路径信息访问列表(as-path list),团体属性列表(community-list),Route-policy,Route-policy,Route-policy是最强大的路由策略工具,前面介绍的访问控制列表,前缀列表,as-path list和团体属性列表都可以作为Route-policy的匹配规则,以实现灵活的路由匹配和过滤,Route-policy不仅可以实现路由的过滤(permit or deny),还可以对符合规则的路由增加或修改相关的路由属性。,Route-policy可以用于在接收和发布路由时的路由策略,同时也是唯一的可用于路由引入时的路由策略工具。,配置Route-policy,定义Route-policy节点并进入Route-policy 视图:,route-policy,route-policy-name,permit,|,deny,node,node-number,一个routing policy下可以有多个节点,不同的节点号用node-number进行标识,不同node-number各个部分之间的关系是“或”的关系,每个节点下可以有多个if-match和apply子句,if-match子句之间是“与”的关系,允许模式:,当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句,如路由项不满足该节点的if-match子句,该路由策略的下一个节点将被测试,拒绝模式:,当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤,并且不会进行下一个节点的测试,Route-policy的执行规则,N,Route-policy,A,node10,node20,node30,Match att1,Match att2,Match att3,Match att4,Match att5,Match att6,根据node10的,apply子句进行,属性设置,根据node20的,apply子句进行,属性设置,根据node30的,apply子句进行,属性设置,通过node10的if-match子句,通过node20的,if-match子句,通过node30的,if-match子句,通过,Route-policy,A,通过,Route-policy,A,通过,Route-policy,A,通不过,Route-policy A,Y,N,N,N,Y,Y,Route-policy用于路由策略的if-match子句,操作,命令,匹配BGP路由信息的AS路径域,if-match as-path,acl-number,匹配BGP路由信息的团体属性,if-match community,standard-community-number,whole-match, |,extended-community-number,匹配路由信息的目的地址,if-match,acl,acl-number,|,ip-prefix,ip-prefix-name,匹配路由信息下一跳接口,if-match interface,interface-type number,匹配路由信息的下一跳,if-match ip next-hop,acl,acl-number,|,ip-prefix,ip-prefix-name,匹配路由信息的路由权值,if-match cost,value,匹配OSPF路由信息的标记域,if-match tag,value,Route-policy用于路由策略的apply子句,操作,命令,在BGP路由信息的as-path系列前加入指定的AS号,apply as-path,as-number-1,as-number-2,as-number-3,. ,在BGP路由信息中设置团体属性,apply community, ,aa:nn,|,no-export-subconfed,|,no-advertise,|,no-export, ,additive, |,additive,|,none,设置路由信息的下一跳地址,apply ip-address,default, ,next-hop,ip-address,ip-address, |,acl,acl-number,设置引入路由到IS-IS的级别:level-1、level-2还是level-1-2,apply isis,level-1,|,level-2,|,level-1-2,设置BGP路由信息的本地优先级,apply local-preference,localpref,设置路由信息的路由权值,apply cost,value,设置路由信息的路由权类型,apply cost-type,internal,|,external,设置BGP路由信息的路由源,apply origin,igp,|,egp,as-number,|,incomplete,设置OSPF路由信息的标记域,apply tag,value,利用Route-policy实现路由发布和接收策略(一),在BGP视图下,对BGP邻居(组)发布或接收路由时根据Route-policy规则进行路由过滤,peer ,group-name,|,peer-address, route-policy,route-policy-name, import | export ,注意:对于单一的BGP邻居只能对接收的路由(import)进行过滤,对特定的BGP邻居组则可以对发布(export)和接收的路由都进行过滤。,利用Route-policy实现路由发布和接收策略(二),AS65400,对EBGP邻居,仅,发布团体属性为65400:10的路由,并修改其MED值为77;不发布其他路由,H3Cip community-list 1 permit 65400:10,H3Croute-policy out permit node 10,H3C-route-policyif-match community 1,H3C-route-policyapply cost 77,H3Cbgp 65400,H3C-bgpgroup expeer external,H3C-bgppeer 202.4.1.1 group expeer as-number 65411,H3C-bgppeer expeer route-policy out export,问题,如果上面例子中的要求改为,“对EBGP邻居发布路由时将团体属性为65400:10的路由的MED值修改为77;对于其他路由不作修改”,怎么办,?,解答,很简单,在定义Route-policy的时候加上一个空的节点node 20就可以了:,H3Croute-policy out permit node 20,利用Route-policy实现路由引入时的策略(一),在进行路由引入时实现路由策略,在不同路由协议中参数也有所不同:,RIP:,import-route,protocol, allow-ibgp, cost,value, route-policy,route-policy-name,OSPF:,import-route protocol allow-ibgp cost value type value tag value route-policy route-policy-name ,BGP:,import-route protocol med med-value route-policy route-policy-name ,network ip-address address-mask route-policy route-policy-name ,利用Route-policy实现路由引入时的策略(二),AS65400,在BGP中network本地直连路由网段10.1.1.0/24时对路由打上团体属性值65400:10,引入OSPF路由时对其中的10.1.2.0/24网段打上团体属性65400:20 no-export-subconfed,,不向自治系统之外进行通告,H3Cacl number 2000,H3C-acl-basic-2000rule permit source 10.1.2.0 0.0.0.255,H3C-acl-basic-2000rule deny source any,H3Croute-policy setcom-1 permit node 10,H3C-route-policyapply community 65400:10,H3Croute-policy setcom-2 permit node 10,H3C-route-policyif-match acl 2000,H3C-route-policyapply community 65400:20 no-export-subconfed,H3C-route-policyroute-policy setcom-2 permit node 20,H3Cbgp 65400,H3C-bgpnetwork 10.1.1.0 255.255.255.0 route-policy setcom-1,H3C-bgpimport-route ospf route-policy setcom-2,小结:路由策略的选择,匹配IP地址,匹配AS-PATH,匹配团体属性,路由接收,IP Prefix,ACL, IP Prefix Gateway,route-policy(IP Prefix,ACL),AS-path list,,route-policy(AS-path list ),route-policy(,community-list),路由发布,IP Prefix,ACL, route-policy(IP Prefix,ACL),AS-path list,,route-policy(AS-path list ),route-policy(,community-list),路由引入,route-policy(IP Prefix,ACL),route-policy(AS-path list ),route-policy(,community-list),路由策略,策略路由,目录,IP策略路由,什么是策略路由?,与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由选择的机制。,路由策略和策略路由,路由策略,的操作对象是,“路由”,信息,主要通过对路由的过滤和对路由属性或参数的设置来,间接,影响数据转发。,策略路由,的操作对象是“,数据包,”,主要通过设定的策略直接指导数据的转发。,两种IP策略路由,IP策略路由通常分为两种:,IP单播策略路由,IP组播策略路由,不管是单播还是组播策略路由配置需要做两方面的工作,一是定义那些需要使用策略路由的报文,二是为这些报文指定路由,和路由策略一样,这可以通过对一个,Route-policy,的定义来实现。,if-match,子句定义了那些需要使用策略路由的报文,当报文满足,route-policy,中的,if-match,子句时,则执行策略中的,apply,子句,以完成报文的转发,IP单播策略路由,IP单播策略路由可以分为接口策略路由和本地策略路由两种:,接口策略路由:,在接口视图下配置(应用于报文到达的接口上),作用于到达该接口的报文,本地策略路由:,在系统视图下配置,对本机产生的报文进行策略路由。,策略路由可应用于安全、负载分担等目的。对于一般转发和安全等方面的使用需求,大多数情况下使用的是接口策略路由!,IP单播策略路由的配置,创建策略,Route-policy,定义Route-policy的,if-match,子句,定义Route-policy的,apply,子句,使能/禁止本地策略路由,使能/禁止接口策略路由,用于IP单播策略路由的if-match子句,IP单播策略路由提供两种if-match子句,,if-match packet-length,子句和,if-match acl,子句。一条策略中可以包含多条if-match子句,多条if-match子句可以组合使用。,操作,命令,设置IP报文长度匹配条件,if-match packet-length,min-len,max-len,设置IP地址匹配条件,if-match acl,acl-number,用于IP单播策略路由的apply子句,操作,命令,设置报文的优先级,apply,ip-precedence,precedence,设置报文的发送接口,apply output-interface,interface-type interface-number, .,. interface-type interface-number,设置报文的下一跳,apply ip-address next-hop,ip-address, .,ip address,设置报文缺省发送接口,apply default output-interface,interface-type interface-number, .,interface-type,interface-number,设置报文缺省下一跳,apply ip-address default next-hop,ip-address, .,ip address,接口策略路由和本地策略路由,配置接口策略路由,操作,命令,使能接口策略路由,ip policy route-policy,policy-name,操作,命令,使能本地策略路由,ip local policy route-policy,policy-name,配置本地策略路由,IP单播策略路由的配置举例(一),S1/0,S1/1,E0/0,TCP,10.1.1.0/24,从接口E0/0进入路由器的去往10.1.1.0/24的TCP报文强制走S1/0,对于其他的报文不作策略路由的控制,H3Cacl number 3001,H3C-acl-adv-3001rule permit tcp destination 10.1.1.0 0.0.0.255,H3Croute-policy a1 permit node 10,H3C-route-policyif-match acl 3001,H3C-route-policyapply output-interface Serial 1/0,H3C-route-policyroute-policy a1 permit node 20,H3Cinterface Ethernet 0/0,H3C-Ethernet0/0ip policy route-policy a1,问题,在上面例子中如果要求实现去往10.1.1.0/24的TCP报文在S1/0和S1/1端口上的负载分担,应该如何配置?,解答,很简单,在定义Route-policy的apply子句的时候加上一个新的接口就可以了,H3C-route-policyapply output-interface Serial 1/0 Serial 1/1,在使用策略路由时,用户可指定多个下一跳或者设置多个出接口,此时,报文的转发将在多个合法参数中负载分担,即轮流在每一个下一跳或者出接口上发送一个报文。以上叙述只对于同种配置的多个参数有效,如果同时配置了出接口和下一跳,仅在出接口的设置中进行负载分担。,IP单播策略路由的配置举例(二),从接口E0/0进入路由器的64100字节的报文设置150.1.1.2作为下一转发IP地址,大小为1011000字节的报文设置151.1.1.2作为下一转发IP地址。所有其它长度的报文都按基于目的地址的路由方法路由。,S1/0,S1/1,E0/0,150.1.1.2,151.1.1.2,H3Croute-policy a1 permit node 10,H3C-route-policyif-match packet-length 64 100,H3C-route-policyapply ip-address next-hop 150.1.1.2,H3C-route-policyroute-policy a1 permit node 20,H3C-route-policyif-match packet-length 101 1000,H3C-route-policyapply ip-address next-hop 151.1.1.2,H3C-route-policyroute-policy a1 permit node 30,H3Cinterface Ethernet 0/0,H3C-Ethernet0/0ip policy route-policy a1,IP组播策略路由概述,IP组播策略路由是对组播通常的按照路由表进行报文转发功能的一种补充和增强,它依照用户指定的策略来转发组播报文。,IP组播策略路由通过配置route-policy来实现,它是单播策略路由的一种扩展,由用户输入的一组if-match和apply语句来描述。if-match子句定义匹配准则,也就是通过当前route-policy规定所需满足的过滤条件,它规定当组播报文满足匹配条件时,不再按照通常的流程来转发,而是按照用户设置的方案(由apply语句描述)进行转发。,IP组播策略路由配置,定义route-policy,定义IP组播路由策略的if-match子句,定义route-policy的apply子句,在接口上使能IP组播策略路由,用于IP组播策略路由的if-match子句,组播策略路由只考虑策略节点中的,if-match acl,配置,其它任何,if-match,子句与组播策略路由的转发无关,操作,命令,设置组播报文需要匹配的条件,if-match,acl,acl-number,如果报文满足某个策略节点中指定的If-match条件,则执行该节点所指定的动作;如果报文不满足某个策略节点中指定的If-match条件,则继续检查下一个节点;如果所有的策略节点的条件都不满足,则报文将回到正常的转发流程中处理。,用于IP组播策略路由的apply子句,通过访问控制列表(ACL)来为IP组播策略路由指定出接口列表和下一跳IP地址列表。对于下一跳IP地址,指定的ACL是基本ACL(20002999),对于出接口设置,指定的是基于接口的ACL(10001999),操作,命令,为策略节点中配置出接口列表,apply output-interface,acl,acl-number,为策略节点中配置下一跳IP地址列表,apply ip-address next-hop,acl,acl-number,|,ip-address,ip-address, ,在接口上使能IP组播策略路由,当在路由器一个接口上配置了IP组播策略路由以后,对于所有从该接口进入路由器的组播数据报文(不包括组播协议报文,例如组播路由协议产生的报文),都将进行过滤处理。,操作,命令,在接口上使能IP组播路由策略,ip multicast-policy route-policy,policy-name,取消在接口上应用的某条IP组播路由策略,undo ip multicast-policy route-policy,policy-name,总结,路由策略,访问控制列表(ACL),前缀列表(ip-prefix),自治系统路径信息访问列表(as-path list),团体属性列表(community-list),Route-policy,策略路由,IP单播策略路由,IP组播策略路由,
展开阅读全文