- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-策略路由配置
本章節下載: 07-策略路由配置 (256.88 KB)
與單純依照IP報文的目的地址查找路由表進行轉發不同,策略路由是一種依據用戶製定的策略進行路由轉發的機製。策略路由可以對於滿足一定條件(ACL規則、報文長度等)的報文,執行指定的操作(設置報文的下一跳、出接口、缺省下一跳和缺省出接口等)。
報文到達後,其後續的轉發流程如下:
· 首先根據配置的策略路由轉發。
· 若找不到匹配的節點,或雖然找到了匹配的節點但指導報文轉發失敗時,根據路由表中除缺省路由之外的路由來轉發報文。
· 若轉發失敗,則根據策略路由中配置的缺省下一跳和缺省出接口指導報文轉發。
· 若轉發失敗,則再根據缺省路由來轉發報文。
根據作用對象的不同,策略路由可分為以下二種類型:
· 本地策略路由:對設備本身產生的報文(比如本地發出的ping報文)起作用,指導其發送。
· 轉發策略路由:對接口接收的報文起作用,指導其轉發。
策略用來定義報文的匹配規則,以及對報文執行的操作。策略由節點組成。
一個策略可以包含一個或者多個節點。節點的構成如下:
· 每個節點由節點編號來標識。節點編號越小節點的優先級越高,優先級高的節點優先被執行。
· 每個節點的具體內容由if-match子句和apply子句來指定。if-match子句定義該節點的匹配規則,apply子句定義該節點的動作。
· 每個節點對報文的處理方式由匹配模式決定。匹配模式分為permit(允許)和deny(拒絕)兩種。
應用策略後,係統將根據策略中定義的匹配規則和操作,對報文進行處理:係統按照優先級從高到低的順序依次匹配各節點,如果報文滿足這個節點的匹配規則,就執行該節點的動作;如果報文不滿足這個節點的匹配規則,就繼續匹配下一個節點;如果報文不能滿足策略中任何一個節點的匹配規則,則根據路由表來轉發報文。
在一個節點中可以配置多條if-match子句,同一類型的if-match子句隻能配置一條。
同一個節點中的不同類型if-match子句之間是“與”的關係,即報文必須滿足該節點的所有if-match子句才算滿足這個節點的匹配規則。同一類型的if-match子句之間是“或”的關係,即報文隻需滿足一條該類型的if-match子句就算滿足此類型if-match子句的匹配規則。
同一個節點中可以配置多條apply子句,但配置的多條apply子句不一定都會執行。多條apply子句之間的關係請參見“1.3.3 配置策略節點的動作”。
一個節點的匹配模式與這個節點的if-match子句、apply子句的關係如表1-1所示。
表1-1 節點的匹配模式、if-match子句、apply子句三者之間的關係
|
· 如果節點配置了apply子句,則執行此節點apply子句 ¡ 如果節點指導報文轉發成功,則不再匹配下一節點 ¡ 如果節點指導報文轉發失敗且未配置apply continue子句,則不再匹配下一節點 ¡ 如果節點指導報文轉發失敗且配置了apply continue子句,則支持繼續匹配下一節點 · 如果節點未配置apply子句,則不會執行任何動作,且不再匹配下一節點,報文將根據路由表來進行轉發 |
||
如果一個節點中未配置任何if-match子句,則認為所有報文都滿足該節點的匹配規則,按照“報文滿足所有if-match子句”的情況進行後續處理。
策略路由通過與Track聯動,增強了應用的靈活性和對網絡環境變化的動態感知能力。
策略路由可以在配置報文的下一跳、出接口、缺省下一跳、缺省出接口時與Track項關聯,根據Track項的狀態來動態地決定策略的可用性。策略路由配置僅在關聯的Track項狀態為Positive或NotReady時生效。關於策略路由與Track聯動的詳細介紹和相關配置,請參見“可靠性配置指導”中的“Track”。
策略路由配置任務如下:
(1) 配置策略
a. 創建策略節點
b. 配置策略節點的匹配規則
c. 配置策略節點的動作
(2) 應用策略
請選擇以下至少一項任務進行配置:
(3) (可選)開啟告警功能
(1) 進入係統視圖。
system-view
(2) 創建策略節點,並進入策略節點視圖。
policy-based-route policy-name [ deny | permit ] node node-number
(1) 進入係統視圖。
system-view
(2) 進入策略節點視圖。
policy-based-route policy-name [ deny | permit ] node node-number
(3) 設置匹配規則。
¡ 設置ACL匹配規則。
if-match acl { acl-number | name acl-name }
缺省情況下,未設置ACL匹配規則。
策略路由不支持匹配二層信息的ACL匹配規則。
¡ 設置IP報文長度匹配規則。
if-match packet-length min-len max-len
缺省情況下,未設置IP報文長度匹配規則。
¡ 設置應用組匹配規則。
if-match app-group app-group-name&<1-6>
缺省情況下,未設置應用組匹配規則。
應用組匹配規則隻對轉發策略路由生效,對本地策略路由不生效。
應用組的詳細介紹,請參見“安全配置指導”中的“APR”。
¡ 設置服務對象組匹配規則。
if-match object-group service object-group-name&<1-6>
缺省情況下,未設置服務對象組匹配規則。
服務對象組的詳細介紹,請參見“安全配置指導”中的“對象組”。
用戶通過配置apply子句指導策略節點的動作。
影響報文轉發路徑的apply子句有五條,優先級從高到低依次為:
(1) apply access-vpn
(2) apply next-hop
(3) apply output-interface
(4) apply default-next-hop
(5) apply default-output-interface
apply子句的含義、執行優先情況和詳細說明如表1-2所示。
表1-2 apply子句的含義以及執行優先情況等說明
|
子句 |
含義 |
執行優先情況/詳細說明 |
|
apply precedence |
設置IP報文的IP優先級 |
隻要配置了該子句,該子句就一定會執行 |
|
apply ip-df df-value |
設置IP報文的DF(Don’t Fragment,不分片)標誌 |
隻要配置了該子句,該子句就一定會執行 |
|
apply loadshare { next-hop | output-interface | default-next-hop | default-output-interface } |
設置指導報文轉發的下一跳、出接口、缺省下一跳和缺省出接口的工作模式為負載分擔模式 |
下一跳、出接口、缺省下一跳和缺省出接口的工作模式有兩種:主備模式、負載分擔模式 · 主備模式:按照配置順序,以第一個配置(下一跳、出接口、缺省下一跳或缺省出接口)作為主用,指導報文轉發。當主用失效時,按配置順序選擇後續的第一個有效配置指導報文轉發 · 負載分擔模式:出接口的負載分擔方式,如果不匹配快速轉發表,則按照配置順序逐包輪流選擇有效的出接口轉發;如果匹配快速轉發表,則按照配置順序逐流輪流選擇有效的出接口指導報文轉發。下一跳的負載分擔模式會按照下一跳的權重指導報文轉發。缺省情況下,多個下一跳會按照缺省的權重值平均分配帶寬,多個下一跳的轉發流量的比例是相同的 缺省情況下,工作模式為主備模式 負載分擔模式隻對策略路由配置的多個下一跳、出接口、缺省下一跳、缺省出接口生效 |
|
apply access-vpn |
設置報文在公網或指定VPN實例中進行轉發 |
報文如果匹配了其中一個VPN實例下的轉發表,報文將在該VPN實例中進行轉發 |
|
apply remark-vpn |
重標記報文中的VPN實例 |
本命令必須和apply access-vpn命令同時使用 |
|
apply next-hop和apply output-interface |
設置報文的下一跳、出接口 |
當兩條子句同時配置並且都有效時,係統隻會執行apply next-hop子句 |
|
apply default-next-hop和apply default-output-interface |
設置報文的缺省下一跳、缺省出接口 |
當兩條子句同時配置並且都有效時,係統隻會執行apply default-next-hop子句 執行缺省下一跳和出接口的前提是:在策略中未配置下一跳或者出接口,或者配置的下一跳和出接口無效,並且在路由表中未找到與報文目的IP地址匹配的路由表項 |
|
apply continue |
設置匹配成功的當前節點轉發失敗後繼續進行後續節點的處理 |
如果當前節點中未配置影響報文轉發路徑的五個apply子句,或者配置了這五個子句中的一個或多個,但配置的子句都失效(下一跳不可達、出接口down或者報文在指定VPN內轉發失敗)時,且查找普通路由表也轉發失敗時,會進行下一節點的處理 |
在設置報文轉發的下一跳時,對於配置接口出方向策略路由,僅支持直連下一跳,且僅支持一個下一跳。
策略路由通過查詢FIB表中是否存在下一跳或缺省下一跳地址對應的條目,判斷設置的報文轉發下一跳或缺省下一跳地址是否可用。策略路由周期性檢查FIB表,設備到下一跳的路徑發生變化時,策略路由無法及時感知,可能會導致通信發生短暫中斷。
(1) 進入係統視圖。
system-view
(2) 進入策略節點視圖。
policy-based-route policy-name [ deny | permit ] node node-number
(3) 配置動作。
¡ 設置IP報文的IP優先級。
apply precedence { type | value }
缺省情況下,未設置IP報文的優先級。
¡ 設置IP報文頭中的DF標誌。
apply ip-df df-value
缺省情況下,未設置IP報文頭中的DF標誌。
¡ 重標記報文的VPN實例。
apply remark-vpn
缺省情況下,未重標記報文的VPN實例。
(1) 進入係統視圖。
system-view
(2) 進入策略節點視圖。
policy-based-route policy-name [ deny | permit ] node node-number
(3) 配置動作。
¡ 設置報文在公網或指定VPN實例中進行轉發。
apply access-vpn { public | vpn-instance vpn-instance-name&<1-4> }
缺省情況下,設備根據路由表在公網或VPN內轉發報文。
每個節點最多可以配置公網和4個VPN實例。當滿足匹配規則後,將根據配置順序在公網或第一個可用的VPN實例轉發表進行轉發。
¡ 設置報文轉發的下一跳。
apply next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track track-entry-number ] [ weight weight-value ] }&<1-16>
缺省情況下,未設置報文轉發的下一跳。
用戶通過一次或多次配置本命令可以同時配置多個下一跳,每個節點最多可以配置16個下一跳,這些下一跳起到主備或負載分擔的作用。
¡ 設置指導報文轉發的多個下一跳工作在負載分擔模式。
apply loadshare next-hop
缺省情況下,多個下一跳工作在主備模式。
¡ 設置指導報文轉發的出接口。
apply output-interface { interface-type interface-number [ track track-entry-number ] }&<1-16>
缺省情況下,未設置指導報文轉發的出接口。
用戶通過一次或多次配置本命令可以同時配置多個出接口,每個節點最多可以配置16個出接口,這些出接口起到主備或負載分擔的作用。
¡ 設置指導報文轉發的多個出接口工作在負載分擔模式。
apply loadshare output-interface
缺省情況下,多個出接口工作在主備模式。
¡ 設置指導報文轉發的缺省下一跳。
apply default-next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track track-entry-number ] }&<1-16>
缺省情況下,未設置指導報文轉發的缺省下一跳。
用戶通過一次或多次配置本命令可以同時配置多個缺省下一跳,每個節點最多可以配置16個缺省下一跳,這些缺省下一跳起到主備或負載分擔的作用。
¡ 設置指導報文轉發的多個缺省下一跳工作在負載分擔模式。
apply loadshare default-next-hop
缺省情況下,多個缺省下一跳工作在主備模式。
¡ 設置指導報文轉發的缺省出接口。
apply default-output-interface { interface-type interface-number [ track track-entry-number ] }&<1-16>
缺省情況下,未設置指導報文轉發的缺省出接口。
用戶通過一次或多次配置本命令可以同時配置多個缺省出接口,每個節點最多可以配置16個缺省出接口,這些缺省出接口起到主備或負載分擔的作用。
¡ 設置指導報文轉發的多個缺省出接口工作在負載分擔模式。
apply loadshare default-output-interface
缺省情況下,多個缺省出接口工作在主備模式。
(1) 進入係統視圖。
system-view
(2) 進入策略節點視圖。
policy-based-route policy-name [ deny | permit ] node node-number
(3) 設置匹配成功的當前節點指定轉發路徑失敗後繼續進行後續節點的處理。
apply continue
缺省情況下,匹配成功的當前節點指定轉發路徑失敗後不再進行下一節點的匹配。
本命令僅在策略節點的匹配模式為permit時生效。
通過本配置,可以將已經配置的策略應用到本地,指導設備本身產生報文的發送。應用策略時,該策略必須已經存在,否則配置將失敗。
· 對本地報文隻能應用一個策略。應用新的策略前必須刪除本地原來已經應用的策略。
· 若無特殊需求,建議用戶不要對本地報文應用策略。否則,有可能會對本地報文的發送造成不必要的影響(如ping、telnet服務的失效)。
(1) 進入係統視圖。
system-view
(2) 對本地報文應用策略。
ip local policy-based-route policy-name
缺省情況下,未對本地報文應用策略。
通過本配置,可以將已經配置的策略應用到接口,指導接口接收的所有報文的轉發。應用策略時,該策略必須已經存在,否則配置將失敗。
· 對接口轉發的報文應用策略時,一個接口隻能應用一個策略。應用新的策略前必須刪除接口上原來已經應用的策略。
· 一個策略可以同時被多個接口應用。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 對接口轉發的報文應用策略。
ip policy-based-route policy-name
缺省情況下,未對接口轉發的報文應用策略。
開啟策略路由模塊的告警功能後,當下一跳的狀態由有效變為無效時,該模塊會生成包含下一跳地址的告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
(1) 進入係統視圖。
system-view
(2) 開啟策略路由模塊的告警功能。
snmp-agent trap enable policy-based-route
缺省情況下,策略路由模塊的告警功能處於開啟狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置策略路由後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除策略路由的統計信息。
表1-3 策略路由顯示和維護
|
操作 |
命令 |
|
顯示已經配置的策略 |
display ip policy-based-route [ policy policy-name ] |
|
顯示接口下轉發策略路由的配置信息和統計信息 |
(獨立運行模式) display ip policy-based-route interface interface-type interface-number [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display ip policy-based-route interface interface-type interface-number [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
顯示本地策略路由的配置信息和統計信息 |
(獨立運行模式) display ip policy-based-route local [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display ip policy-based-route local [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
顯示已經應用的策略路由信息 |
display ip policy-based-route setup |
|
清除策略路由的統計信息 |
reset ip policy-based-route statistics [ policy policy-name ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
