ASM培训策略路由说明

策略路由说明介绍的内容•策略路由介绍•不同品牌型号的策略路由配置方法（CISCO、中兴H3C、华为、港湾）•ASM策略路由联动配置•目前策略路由存在的问题•后续研究策略路由介绍•策略路由只不过是复杂的静态路由。静态路由是基于报文的目的地址，将报文转发到指定的下一跳路由器，但策略路由是基于报文源地址转发报文至指定的下一跳路由器。策略路由还可以链接到扩展IP访问列表，以便路由器可以基于像协议类型和端口号这样的标志进行路由选择。同策略路由一样，策略路由会对路由器的路由选择产生影响，但仅限于那些配置了策略路由的路由器。•策略路由只对接口的入方向报文做转发。普通IP报文的三层转发流程DMACSMACDIPSIPDATADIPSIPDATA查路由表，封装入接口DMACSMACDIPSIPDATA解封装出接口策略路由的报文处理流程策略路由位于IP层，在做IP转发前，如果报文命中某个策略路由对应的规则，则要进行相应的策略路由的动作(重定向到指定下一跳)，然后根据重定向的下一跳代替报文的目的IP去查FIB表(转发信息表)，做IP转发。匹配策略路由？yes根据用户设置的下一跳查找出接口根据路由表进行转发no入接口下一跳可达？yes出接口no策略路由的报文流程(处理前)Client192.168.54.22网关交换机192.168.54.1192.168.56.1Server192.168.56.2541234策略路由的报文流程(处理后)Client192.168.54.22网关交换机192.168.54.1192.168.56.1192.168.100.1Server192.168.56.2541456ASM策略路由192.168.100.12323策略路由的效果说明•可用在终端电脑上面使用tracert等命令进行路由跟踪来查看实际的路径•tracert-d192.168.56.254通过最多30个跃点跟踪到192.168.56.254的路由14ms2ms2ms192.168.54.121毫秒1毫秒1毫秒192.168.56.254通过最多30个跃点跟踪到192.168.56.254的路由12ms1ms1ms192.168.54.123ms1ms1ms192.168.100.131ms1ms1ms192.168.56.254策略路由与路由策略区别•这是两个不同的概念，应用领域不同。•策略路由主要是控制报文的转发，即可以不按照路由表进行报文的转发（因为一般报文的转发要通过查找转发表，而配上策略路由后就不用管转发表了，可以随心所欲将报文从转发出去了）。•路由策略主要控制路由信息的引入（控制哪些路由信息引到路由协议中，哪些路由器不引入，主要是针对某种路由协议，是否允许其它路由信息引进来）、发布（控制哪些发布出去，哪些不发布出去，通过同一种路由协议发布出去）、接收（控制哪些接收，哪些丢弃，）。策略路由的配置过程•配置ACL–指明要进行策略路由的ip地址信息，只对permit有效•配置策略路由–指明策略路由的一些信息(主要是下一跳）•应用策略路由–在接口上面（虚接口或者物理接口上）不同品牌型号的策略路由配置方法•华为策略路由的其它用法–华为支持使用traffic-redirect进行策略路由–华为支持使用traffic-policy进行策略路由–华为支持使用routepolicy进行策略路由–华为支持使用eacl进行策略路由•H3C策略路由的其它用法–H3C支持使用traffic-redirect进行策略路由–H3C支持使用qospolicy进行策略路由–H3C支持使用routepolicy进行策略路由–H3C支持使用polcybasedroute进行策略路由•CISCO、中兴的策略路由使用方法–CISCO、中兴目前已知使用route-map的方法•港湾策略路由的配置方法–港湾支持使用setrvice-policy进行策略路由CISCO的配置-route-map例子interfaceVlan54descriptionyangfaipaddress192.168.54.1255.255.255.0ippolicyroute-mappolicy-route!interfaceVlan100descriptionpolicy-vlanipaddress192.168.100.1255.255.255.0!access-list10permitanyroute-mappolicy-routepermit10matchipaddress10setipnext-hop192.168.100.123!CISCO的配置-查看策略路由信息•showroute-map（这条特权级可执行命令显示所配置的路由图。并且可以获知每一路由图定义的策略，同时也显示有多少报文与策略语句匹配)CISCO-3560#showroute-maproute-mapp,permit,sequence10Matchclauses:ipaddress(access-lists):panSetclauses:ipnext-hop192.168.100.123Policyroutingmatches:4packets,561bytesCISCO的配置-查看策略路由信息•showippolicy(这条特权级可执行命令显示在哪些接口应用了哪些路由图)CISCO-3560#showippolicyInterfaceRoutemapVlan54p•debugippolicy(使用这条命令可以得知正在使用什么策略路由。同时也显示一个报文是否与标准匹配的信息。如果匹配的话，则进一步显示其相应的路由信息。)CISCO-3560#debugippolicyIP:s=192.1.1.11(Ethernet0),d=152.1.1.1,len100,policymatchIP:routemapp,item10,permitIP:s=192.1.1.11(Ethernet0),d=152.1.1.1(serial0),len100,policyroutedIP:Ethernet0toserial0152.1.1.1CISCO的配置-策略路由的说明•在CISCOIOS11.0中最先应用基于策略的路由，但未必11.0以后的版本都支持策略路由•35系列的交换机的IOS不能是ipbase的版本•35系列的交换机要求先开启sdm后–sdmpreferrouting–exit–reload(必须重新启动交换机)中兴的配置•中兴配置策略路由的方法与CISCO类似，同样使用route-map来配置路由图H3C的配置-policy-based-route例子•aclnumber3040•rule0permit•policy-based-routepolicy-routepermitnode10•if-matchacl3040•applyip-addressnext-hop172.16.50.123•interfaceEthernet0/3.40•ippolicy-based-routepolicy-routeH3C的配置-查看policy-based-route信息•可用使用disippolicy-based-route来查看信息–[H3C-Router]disippolicy-based-route–policyNameinterface–policy-routeEthernet0/3.40•可以使用disippolicy-based-routestatistics看更详细情况–[H3C-Router]disippolicy-based-routestatisticsinterfaceEthernet0/3.40–InterfaceEthernet0/3.40policybasedroutingstatisticsinformation:–policy-based-route:policy-route–permitnode10–applyip-addressnext-hop172.16.50.123track1–Denied:377,–Forwarded:170–Totaldenied:377,forwarded:170H3C的配置-查看policy-based-route信息•可用使用dispolicy-based-route来查看信息–[H3C-Router]dispolicy-based-route–policy-based-route:policy-route–Node10permit:–if-matchacl3040–applyip-addressnext-hop172.16.50.123track1H3C的配置-qospolicy例子1、配置ACL策略[H3C7506E]aclnumber3040[H3C7506E-acl-adv-3040]rule10permitipsource203.133.129.160destany[H3C7506E-acl-adv-3040]quit2、配置匹配ACL的流分类1[H3C7506E]trafficclassifier1[H3C7506E-classifier-1]if-matchacl3040[H3C7506E-classifier-1]quit3、配置刚才定义的流分类1的行为，定义如果匹配就下一跳至203.133.131.200[H3C7506E]trafficbehavior1[H3C7506E-behavior-1]redirectnext-hop203.133.131.200[H3C7506E-behavior-1]quit4、将刚才设置的流分类及行为应用至QOS策略中，定义policy1[H3C7506E]qospolicy1[H3C7506E-qospolicy-1]classifier1[H3C7506E-qospolicy-1]behavior1[H3C7506E-qospolicy-1]quit5、在接口上应用定义的QOS策略policy1[H3C7506E]interfaceGigabitEthernet2/0/11[H3C7506E-GigabitEthernet2/0/11]qosapplypolicy1inbound[H3C7506E-GigabitEthernet2/0/11]quitH3C的配置-routepolicy例子#aclnumber3000rule0permitipsource192.168.1.00.0.0.254#interfaceEthernet1/0ipaddress192.168.1.1255.255.255.0ippolicyroute-policyrouteloadshare#route-policyrouteloadsharepermitnode1if-matchacl3000applyip-addressnext-hop140.1.1.2#H3C的配置-traffic-redirect例子#aclnumber3000rule0permitipsource192.168.3.00.0.0.255#interfaceGigabitEthernet6/1/1traffic-redirectinboundip-group3000rule0next-hop192.168.0.12#华为的配置-traffic-policy例子•与H3Cqospolicy类似#aclnumber3000rule1permitipsource192.168.1.00.0.0.255#trafficclassifier1if-matchacl3000#trafficbehavior1redirectip-nexthop100.0.0.1#trafficpolicy1classifier1behavior1#interfaceGigabitEthernet2/0/0traffic-policy1inbound#华为的配置-eacl例子[Route