策略路由配置与BFD.docx
- 文档编号:4523492
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:22
- 大小:200.03KB
策略路由配置与BFD.docx
《策略路由配置与BFD.docx》由会员分享,可在线阅读,更多相关《策略路由配置与BFD.docx(22页珍藏版)》请在冰豆网上搜索。
策略路由配置与BFD
策略路由配置与BFD
理解策略路由
策略路由概述
策略路由(PBR:
Policy-BasedRouting)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。
策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵活地进行路由选择。
现有用户网络,常常会出现使用到多个ISP(InternetServerProvider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。
IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行转发。
一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普通路由进行转发。
用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。
用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。
用户可以同时配置多个下一跳信息。
策略路由可以分为两种类型:
一、对接口收到的IP报文进行策略路由。
该类型的策略路由只会对从接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;
二、对本设备发出的IP报文进行策略路由。
该类型策略路由用于控制本机发往其它设备的IP报文,对于外部设备发送给本机的IP报文则不受该策略路由控制。
策略路由基本概念/特性
策略路由应用过程
应用策略路由,必须先创建路由图,然后在接口上应用该路由图。
一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。
每条策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。
match语句定义了IP/IPv6报文的匹配规则,set语句定义了对符合匹配规则的IP/IPv6报文处理动作。
在策略路由转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,然后退出策略路由的执行。
IP策略路由使用IP标准或者扩展ACL作为IP报文的匹配规则,IPv6策略路由使用IPv6扩展ACL作为IPv6报文的匹配规则。
IPv6策略路由对于同一条策略最多只能配置一个matchipv6address。
路由图策略匹配模式
在配置路由图时,可以指定每一条策略的匹配模式为permit或者deny,其意义如下:
permit:
指定该策略的匹配模式为允许模式,即当报文满足该策略的match规则时,会对该IP/IPv6报文应用相应的set规则;如报文不满足策略的所有match规则,报文将会使用该路由图的下一条策略进行匹配。
deny:
指定该策略的匹配模式为拒绝模式,即当报文满足该节点的所有match语句时,不对该IP/IPv6报文执行策略转发而是执行普通的路由转发。
IP/IPv6报文按照路由图中每一条策略的优先级由高到低依次进行匹配,只要匹配了前面的策略就执行相应的动作并退出策略转发流程;如果IP/IPv6报文不能匹配路由图中的任何策略,那么将会对IP/IPv6报文执行普通的路由转发。
下一跳规则概念
当前策略路由提供了set{ip|ipv6}next-hop、set{ip|ipv6}defaultnext-hop两条转发规则。
后面两条为设置缺省下一跳和出接口。
这两条规则的意义如下:
set{ip|ipv6}next-hop:
配置策略路由下一跳IP/IPv6地址,优先级比普通路由高,从接口上收到的匹配match规则的IP/IPv6报文将优先转发到set{ip|ipv6}next-hop所指定的下一跳,而不管该IP/IPv6报文在路由表中的实际选路结果和策略路由指定的下一跳是否一致。
set{ip|ipv6}defaultnext-hop:
该命令指定的策略路由的优先级比普通路由的低,但是比默认路由高。
从接口上收到的匹配match规则的IP/IPv6报文,如果该报文在路由表中选路失败或者选到默认路由,那么IP/IPv6报文将转发到该命令指定的下一跳。
上述前两条规则指定的下一跳必须是直连的,否则不会生效;如果下一跳不是直连的,策略路由的效果相当于没有配置该命令。
上述两条命令的优先级顺序为:
set{ip|ipv6}next-hop>网络路由/主机路由>set{ip|ipv6}defaultnext-hop>缺省路由。
这两条命令能够支持同时配置,但只有高优先级的生效。
策略路由下一跳负载均衡模式
一个路由图Sequence中能够配置多个下一跳,多个下一跳之间能够实现两种负载均衡模式:
冗余备份模式,支持优先生效,失效接管的模式,多个下一跳之间同一时刻只有一个下一跳生效。
前面的下一跳R1失效会自动切换到下一个下一跳R2,当R1重新恢复生效时,会再自动再切换回R1;
当存在多个下一跳,如R1/R2/R3等,删除R1再添加R1时,会在后面添加,如R2/R3/R1,次之的R2生效。
负载均衡模式,多个下一跳之间基于流进行负载分担。
下一跳为出接口形式,对这个功能不支持。
注意
1、锐捷产品上一个接口最多只能配置一个路由图,在同一个接口上多次配置路由图会相互覆盖,即后配置的生效。
2、策略路由子路由图(route-mapsequence)中最多只能配置一个IPV6ACL。
3、如果配置的子路由图中只有next-hop而没有配置ACL,则等价于所有报文都匹配;如果子路由图中只有ACL而没有next-hop则匹配的报文普通转发;如果子路由图中即没有ACL也没有next-hop,则等价所有报文普通转发。
4、策略路由如果配置了ACL,但是该ACL不存在,等价所有报文都匹配;如果配置了ACL,但是其中没有任何ACE,相当于匹配到了驱动添加的denyany条目,不会从下一个子路由图的ACL开始匹配;
5、交换机上,ACE的deny选项行为,执行普通转发;并且为了满足策略路由的匹配顺序,denyanyany行为是跳到下个IPV6ACL开始匹配。
6、交换机上,配置了PBR功能,会对发往本机的报文同时生效,如果用户希望发往本机的IP/IPv6报文不使用策略路由,则用户需要在PBR规则中在IP/IPV6ACL前面手工添加“deny设备IP/IPv6地址”的ACE。
7、工作在冗余备份模式下时,匹配路由子图的策略规则的IP报文转发到该路由子图中第一个解析的下一跳;如果所有的下一跳都未解析,则匹配策略规则的IP报文被丢弃;如果第一个下一跳原先未解析后来解析了,则匹配策略规则IP报文的转发将切换到第一个下一跳。
说明
PBR与BFD联动功能请参见锐捷《BFD配置》,《配置BFD命令》。
策略路由使用BFD功能
策略路由与BFD联动,可以避免在配置的策略路由不可达的情况下,路由选路不会选择该策略路由作为转发路径。
如果存在备份路由转发路径,将可以快速地切换到该备份转发路径。
工作原理
策略路由,首先需要定义一个路由图,用于指定报文转发到哪儿去的策略;路由图是一组语句组成,可以定义为“Permit”和“Deny”行为;
其次,使用set语句控制报文转发行为。
报文转发控制是通过在PBR路由图中定义一组set语句实现;依序使用每一个set语句进行报文转发;每一个语句都不会参考前面或者后面的语句。
最后,需要将待用PBR设置在报文的是入口。
如果设置在出口,则PBR不生效,按普通路由转发。
缺省配置
下表用来描述策略路由的缺省配置。
功能特性
缺省值
设备多个下一跳的负载均衡模式
redundance(冗余备份模式)
下一跳WCMP权重缺省值
1
配置策略路由
以下章节描述配置IP/IPV6PBR的功能基本过程:
配置IPv4策略路由
应用策略路由,必须要指定策略路由使用的路由图,并且要创建该路由图。
一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。
每条策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。
match语句定义了IP报文的匹配规则,set语句定义了对符合匹配规则的IP报文处理动作。
在策略路由转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,然后退出策略路由的执行。
策略路由提供了两种类型的match语句,分别是matchlen和matchipaddress,matchlength以IP报文的长度作为匹配的标准,matchipaddress以ACL作为IP报文匹配的标准。
对于同一条策略,只能配置一个matchlen,但是可以配置多个matchipaddress。
如果在同一条策略中既指定matchlength又指定matchipaddress,那么只有同时满足两个匹配规则的IP报文才会执行该策略中set规则指定的动作。
策略路由提供了两种类型的set语句:
第一类用于修改IP报文的QoS字段包括setiptos、setipprecedence、setipdscp;第二类用于控制IP报文转发,包括setvrf、setipnexthop、setipdefaultnexthop、setinterface、setdefaultinterface。
在满足所有match规则的情况下,第一类的set规则一定会被执行,第二类set规则则按照优先级顺序执行,优先级关系如下:
setvrf:
配置策略路由是IP报文选路使用的VRF实例,优先级比普通路由高,该命令不能和setip[default]nexthop、set[default]interface同时配置。
从接口上收到的匹配match规则的IP报文将使用该命令指定的VRF实例的路由表进行选路,而不管该VRF是否和收到该IP的接口所属的VRF一致。
setipnexthop:
配置策略路由下一跳,优先级比普通路由和setinterface高,如果该命令和以下三个命令的任意一个命令同时配置,那么该命令优先生效。
从接口上收到的匹配match规则的IP报文将优先转发到setipnexthop所指定的下一跳,而不管该IP报文在路由表中的实际选路结果是否和策略路由指定的下一跳一致。
setinterface:
配置策略路由的出接口,优先级比普通路由高,如果该命令和setdefaultinterface、setipdefaultnexthop同时配置,那么该命令优先生效。
从接口上收到的匹配match规则的IP报文将优先从setinterface指定出口转发出去,而不管该IP报文在路由表中的实际选路结果是否和策略路由指定出口一致。
setdefaultinterface:
该命令的优先级比普通路由低,比默认路由的优先级高,但是比setipdefaultnexthop的优先级高。
从接口上收到的匹配match规则的IP报文,如果该报文在路由表中选路失败或者选到默认路由,那么该IP报文将从该命令指定的接口转发出去。
setipdefaultnexthop:
该命令指定的策略路由比普通路由的,比默认路由高。
从接口上收到的匹配match规则的IP报文,如果该报文在路由表中选路失败或者选到默认路由,那么IP报文将转发到该命令指定的下一跳。
在配置路由图时,可以指定每一条策略的匹配模式为permit或者deny,其意义如下:
permit:
指定该策略的匹配模式为允许模式,即当报文满足该策略的所有match规则时,会对该IP报文应用相应的set规则;如报文不满足策略的所有match规则,报文将会使用该路由图的下一条策略进行匹配。
deny:
指定该策略的匹配模式为拒绝模式,即当报文满足该节点的所有match语句时,不对该IP报文执行策略转发而是执行普通的路由转发。
IP报文按照路由图中每一条策略的优先级由高到低依次进行匹配,只要匹配了前面的策略就执行相应的动作并退出策略转发流程;如果IP报文不能匹配路由图中的任何策略,那么将会对IP报文执行普通的路由转发。
配置策略路由时,setipnexthop可以指定下一跳的跟踪对象,只有跟踪对象是活动的,setipnexthop指定的下一跳才会被用于转发。
策略路由使用track功能极大的增强策略路由对于网络环境变化的感知能力,使得策略路由能够适应动态变化的网络拓扑。
配置一个策略路由分为以下几个步骤:
1.定义ACL,用做IP报文的匹配规则。
命令
作用
Step1
Ruijie(config)#ipaccess-list{extended|
standard}{id|name}
定义ACL,作为IP报文匹配规则。
2.定义路由图,一个路由图可以由好多策略组成,策略按序号大小排列,只要符合了前面策略,就退出路由图的执行;
要配置策略路由使用的路由图,在全局配置模式中执行以下命令:
命令
作用
Step2
Ruijie(config)#route-maproute-map-name
[permit|deny]sequence
定义路由图
Ruijie(config)#noroute-maproute-map-name
{[permit|deny]sequence}
删除路由图
3.定义路由图每个策略的匹配规则或条件;
要定义策略的匹配规则,在路由图配置模式中执行以下命令:
命令
作用
Step3
Ruijie(config-route-map)#matchipaddress
{access-list-number|access-list-name}
匹配访问列表中的地址。
Or:
Ruijie(config-route-map)#matchlengthmin
max
匹配报文的长度
4.定义满足匹配规则后,设备的操作;
要定义匹配规则后的操作,在路由图配置模式中执行以下命令:
命令
作用
Step4
Ruijie(config-route-map)#setvrfname
对匹配了PBR策略的报文,在指定的vrf路由表进行选路
Or:
Ruijie(config-route-map)#setipnext-hop
ip-address[weight][ip-address[weight]]
设置数据包的下一跳IP地址
Or:
Ruijie(config-route-map)#setinterface
intf_name
设置报文的出接口
Or:
Ruijie(config-route-map)#setipdefaultnext-hopip-address[weight]
[ip-address[weight]]
为路由表中没有明确路由的数据分组指定下一跳IP地址
Or:
Ruijie(config-route-map)#setdefault
interfaceintf_name
设置IP报文的默认出接口
Or:
Ruijie(config-route-map)#setipprecedence
修改该IP报文的优先级
Or:
Ruijie(config-route-map)#setiptos
修改IP报文的TOS域的值
Or:
Ruijie(config-route-map)#setipdscp
修改IP报文DSCP域的值
注意
1、在同一条策略中,不能同时配置setvrf和setip[default]nexthop、set[default]interface,但是setvrf可以同时和其它的set语句一起配置。
在指定策略路由的VRF的时候该VRF必须已经存在,否则会提示配置失败。
2、在同一条策略中,不能同时配置setipdscp和setiptos、setipprecedence,如果同时配置,那么IP报文相应域的值可能跟预期会不一致。
3、setvrf、setipnexthopsetinterface的优先级高于普通路由,匹配了策略路由的IP报文按照策略路由转发,不匹配的IP报文按普通路由转发。
4、setdefaultipnexthop、setdefaultinteface的优先级低于普通路由,只有普通路由选路失败的情况下,IP报文才会按策略路由进行选路转发。
route-map配置相关命令详见《配置协议无关命令》。
1.在指定接口中应用路由图。
要在接口上应用策略路由,在接口模式下执行以下命令:
命令
作用
Step5
Ruijie(config-if)#ippolicyroute-mapname
在接口应用策略路由
Ruijie(config-if)#noippolicyroute-map
在接口上取消应用的策略路由
2.对本地发送的报文使用策略路由
命令
作用
Step6
Ruijie(config)#iplocalpolicyroute-map
[name]
对本地发送的报文进行策略路由
Ruijie(config)#noiplocalpolicyroute-map
取消对本地发送报文应用的策略路由
例如:
在Fastethernet0/0口上配置策略路由,使得所有进入的报文都转发到下一跳为的设备
Ruijie(config)#access-list1permitany
Ruijie(config)#route-mapname
Ruijie(config-route-map)#matchipaddress1
Ruijie(config-route-map)#setipnext-hopintfastethernet0/0
Ruijie(config-route-map)#exit
Ruijie(config)#interfaceinterface-name
Ruijie(config-if)#ippolicyroute-mapname
3.配置策略路由的负载分担模式
如果策略路由使用冗余备份模式,那么在当前生效的下一跳失效以后策略路由会自动将流量切换到下一个生效的下一跳;如果策略路由使用负载均衡模式,则在当前的生效下一跳失效后将流量在其它生效下一跳进行负载分担。
在策略路由中配置负载均衡或者冗余备份模式,全局模式下使用命令:
命令
作用
Step7
Ruijie(config)#ippolicy{load-balance|
Redundance}
设置策略路由的转发是冗余备份还是负载均衡
Ruijie(config)#noippolicy
恢复策略路由的负载分担模式
注意
策略路由执行负载均衡时,WCMP(WeightedCostMultiplePath)最多支持4个下一跳,ECMP(EqualCostMultiplePath)最多支持32个下一跳。
配置默认策略路由时,WCMP最多支持4个下一跳,ECMP最多支持32个下一跳。
工作在冗余备份模式下时,第一个解析的下一跳生效,如果所有的下一跳都没有解析,则匹配策略路由的报文被丢弃;如果更高优先级的下一跳原由未解析变为解析,则生效的下一跳切换到当前最高优先级的解析的下一跳。
配置IPV6策略路由
命令
作用
Step1
Ruijie#configureterminal
进入全局配置模式
Step2
Ruijie(config)#ipv6access-listaccess-list-name
配置用于匹配IPv6ACL
Step3
Ruijie(config)#route-maproute-map-name
[permit|deny]sequence
配置策略路由使用的路由图
Step4
Ruijie(config-route-map)#matchipv6addressaccess-list-name
匹配访问列表中的地址。
Step5
Ruijie(config-route-map)#setipv6next-hopglobal-ipv6-address[weight][global-ipv6-address[weight]][global-ipv6-address...]
设置数据包的下一跳IPv6地址。
Or:
Ruijie(config-route-map)#setipv6defaultnext-hopglobal-ipv6-address[weight][global-ipv6-address[weight]][global-ipv6-address...]
为路由表中没有明确路由的数据分组指定下一跳IPv6地址。
Step6
Ruijie(config)#interfaceinterface-typeinterface-number
进入需要应用策略路由的接口。
Step7
Ruijie(config-if-interface-typeinterface-number)#ipv6policyroute-maproute-map-name
在接口应用策略路由。
Or:
Ruijie(config-if-interface-typeinterface-number)#nopv6policyroute-map
删除在接口上应用的策略路由。
Step8
Ruijie#showipv6policy
查看配置的策略路由信息。
Or:
Ruijie#showroute-map
查看配置的路由图信息。
route-map配置相关命令详见《协议无关模块命令配
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 策略 路由 配置 BFD