华为NP课程笔记6-路由控制

一、路由控制

路由控制包括控制网络流量可达性和调整网络流量路径

控制网络流量可达性的解决方案：

（1）修改路由条目（即对接受和发布的路由进行过滤）来控制流量可达性，这种方式称为路由策略。路由策略使用Filter-Policy工具或Route-Policy工具，两者都要先使用ACL或IP-Prefix List来匹配目标流量，然后在协议视图下向目标视图发布流量。

（2）直接通过已经用户制定的策略进行转发，且该策略优于路由表转发，这种方式称为策略路由

路由策略（Routing Policy）的作用是当路由器在发布、接收和引入路由信息时，可根据实际组网需要实施一些策略，以便对路由信息进行过滤或改变路由信息的属性，如：

控制路由的发布：只发布满足条件的路由信息。

控制路由的接收：只接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。

过滤和控制引入的路由：一种路由协议在引入其它路由协议时，只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。

设置特定路由的属性：为通过路由策略过滤的路由设置相应的属性。

策略路由PBR（Policy Based Routing）与单纯依照IP报文的目的地址查找路由表进行转发有所不同，它是一种依据用户制定的策略而进行流量转发的机制。

策略路由的查找优先级比路由策略高，当路由器接收到数据包并进行转发时，会优先根据策略路由的规则进行匹配，如果能匹配上，则根据策略路由进行转发，否则按照路由表中的路由条目来进行转发。其中策略路由不改变路由表中的任何内容，它可以通过预先设置的规则来影响数据报文的转发。

二、路由策略

1、路由策略的实现分为两个步骤：

定义规则：首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则，可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、AS号等；

应用规则：根据设置的匹配规则，再将它们应用于路由的发布、接收和引入等过程中。

目前提供了如下几种过滤器供路由协议引用：

访问控制列表；

地址前缀列表；

AS路径过滤器；

团体属性过滤器；

扩展团体属性过滤器；

路由标识属性过滤器。

2、ACL只能精确匹配IP地址前缀，无法匹配掩码长度。而IP-Prefix List能够同时匹配IP地址前缀及掩码长度。IP-Prefix List不能用于IP报文的过滤，只能用于路由信息的过滤。

ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28

IP地址范围：10.0.0.0--10.0.X.X，24<=掩码长度<=28

小记：acl 2000 match-order auto //根据精确度自动排序

3、filter-policy能够对接收或发布的路由进行过滤，可应用于RIP、OSPF、BGP等协议，但对LSA是不过滤的

对于距离矢量协议和链路状态协议，Filter-Policy工具的操作过程是不同的：

距离矢量协议是基于路由表生成路由的，因此过滤器会影响从邻居接收的路由和向邻居发布的路由。

链路状态路由协议是基于链路状态数据库来生成路由的，且路由信息隐藏在链路状态LSA中，但Filter-Policy不能对发布和接收的LSA进行过滤，故Filter-Policy不影响链路状态通告或链路状态数据库的完整性以及协议路由表，而只会影响本地路由表，且只有通过过滤的路由才被添加到路由表中，没有通过过滤的路由不会被添加进路由表。

不同协议应用filter-policy export命令对待发布路由的影响范围不同：

对于距离矢量协议，会对引入的路由信息、本协议发现的路由信息进行过滤。

对于链路状态协议，只对引入的路由信息进行过滤。

对协议接受的路由进行过滤：filter-policy { acl-number | ip-prefix ip-prefix-name } import

对协议发布的路由进行过滤：filter-policy { acl-number | ip-prefix ip-prefix-name } export

4、Route-Policy是一种功能强大的路由策略工具，它可以灵活地与ACL、IP-Prefix List、As-Path-Filter等其他工具配合使用。

route-policy route-policy-name { permit | deny } node node

if-match {acl/cost/interface/ip next-hop/ip-prefix}

apply {acl/cost/interface/ip next-hop/ip-prefix}

多个node之间是或的关系，第一条node不匹配，会继续匹配下一条node；同一个 node里的if-match条目是与的关系，都满足了才能算匹配这个node。route-policy默认是deny掉所有路由。

三、策略路由

1、策略路由是一种依据用户制定的策略进行报文转发路径选择的机制，与单纯依照IP报文的目的地址查找路由表进行转发不同，可应用于安全、QoS、负载分担等目的

策略路由支持基于ACL、报文长度等信息，来灵活地指定数据包的转发路径。

2、可通过修改协议本身的一些属性来控制路由条目，从而影响流量转发路径：

若运行OSPF或ISIS协议，可通过调整接口Cost属性值来实现；

若运行RIP协议，可通过调整Metric或下一跳属性来实现；

若运行BGP协议，则可通过调整AS-Path、Local_Pref、MED、Community等属性来实现。

3、策略路由和路由策略的区别

策略路由可以不按照路由表进行报文的转发

路由策略主要控制路由信息的引入、发布、接受等

路由策略	策略路由
基于控制平面，会影响路由表表项	基于转发平面，不会影响路由表表项，且设备收到报文后，会先查找策略路由进行匹配转发，若匹配失败，则再查找路由表进行转发
只能基于目的地址进行策略制定	可基于源地址、目的地址、协议类型、报文大小等进行策略制定
与路由协议结合使用	需手工逐跳配置，以保证报文按策略进行转发
常用工具：Route-Policy、Filter-Policy等	常用工具：Traffic-Filter、Traffic-Policy、Policy-Based-Route等

4、traffic-filter

int g0/0/0

traffic-filter inbound acl 3000

其实就是ACL的端口应用

四、调整网络流量路径

1、MQC

模块化QoS命令行（modular QoS Command-Line Interface）指通过将具有某类共同特征的报文划分为一类，并为同一类流量提供同等服务，从而针对不同的业务类型提供差分服务。

MQC包含三要素：

流分类（traffic classifier）、流行为（traffic behavior）和流策略（traffic policy）

MQC流程如下：

配置流分类：按照一定规则对报文进行分类，是提供差分服务的基础

配置流行为：为符合流分类规则的报文指定流量控制或资源分配动作

配置流策略：将指定的流分类和指定的流行为绑定，形成完整的策略

应用流策略：将流策略应用到接口

traffic classifier huawei-control1

if-match acl 3000

traffic behavior huawei-control1

redirect ip-nexthop 12.1.1.2

trafic policy huawei-control1

classifier huawei-control1 behavior huawei-control1

int g0/0/2

traffic-policy huawei-control1 inbound

五、多路由协议引发的其他问题

1、多路由协议引发的次优路径

（1）利用路由过滤避免次优路由

isis 1

filter-policy 2000 import //导入外部路由时，按照ACL 2000进行过滤

（2）调整协议优先级避免次优路径

isis 1

preference 150

2、多路由协议引发的路由环路。

因为多次引用，发生路由倒灌，进而导致路由环路的产生。解决办法同上。

案列：

（1）接口地址配置、OSPF配置、ISIS配置

AR1:int g0/0/0ip address 10.1.15.1 24int g0/0/1ip address 10.1.12.1 24int g0/0/2ip address 10.1.13.1 24int lo0ip address 1.1.1.1 32ospf 100 router-id 1.1.1.1area 0network 1.1.1.1 0.0.0.0network 10.1.12.1 0.0.0.0network 10.1.13.1 0.0.0.0area 1network 10.1.15.1 0.0.0.0AR2:int g0/0/0ip address 10.1.24.2 24int g0/0/1ip address 10.1.12.2 24int lo0ip address 2.2.2.2 32ospf 100 router-id 2.2.2.2area 0network 2.2.2.2 0.0.0.0network 10.1.12.2 0.0.0.0isis 100network-entity 49.0001.0000.0000.2222.00quitint g0/0/0isis enable 100AR3:int g0/0/1ip address 10.1.34.3 24int g0/0/2ip address 10.1.13.3 24int lo0ip address 3.3.3.3 32ospf 100 router-id 3.3.3.3area 0network 3.3.3.3 0.0.0.0network 10.1.13.3 0.0.0.0isis 100network-entity 49.0001.0000.0000.3333.00quitint g0/0/1isis enable 100AR4:int g0/0/0ip address 10.1.24.4 24int g0/0/1ip address 10.1.34.4 24int lo0ip address 4.4.4.4 32isis 100network-entity 49.0001.0000.0000.4444.00quitint lo0isis enable 100int g0/0/0isis enable 100int g0/0/1isis enable 100AR5:int g0/0/0ip address 10.1.15.5 24int lo0ip address 5.5.5.5 32int lo1ip address 192.168.1.5 24ospf 100 router-id 5.5.5.5area 1network 5.5.5.5 0.0.0.0network 10.1.15.5 0.0.0.0

（2）模拟引入路由，将AR5的lo1地址引入OSPF；在AR3上将ospf路由引入ISIS

AR5:ospf 100import-route direct cost 10AR3:isis 100import-route ospf 100

此时，AR5上的192.168.1.0/24这条路由由AR3传给AR4，在通过ISIS传递给AR2，因为ISIS优先级为15，高于OSPF优先级，所以AR2路由表中的192.168.1.0/24路由是ISIS传来的路由：

此时，AR2到AR5的lo1路径是AR2->AR4->AR3->AR1-AR5。

在前面的基础上，AR2将ISIS路由引入OSPF。AR5上OSPF引入192.168.1.0/24路由开销值为10，而AR2中OSPF引入ISIS路由的开销默认为1，比AR5的开销值还要小，所以AR1路由表上192.168.1.0/24下一条地址就是AR2，从而出现了路由环路：

（3）解决方法一，在AR2上修改ISIS优先级为 160

AR2:

isis 100

preference 160

解决方法二，在AR2上引入ISIS时，过滤掉这条路由，或者增加开销值

AR2:

增加开销值：

ospf 100

import-route isis 100 cost 50

过滤该条路由：

ospf 100import-route isis 100 route-policy huaweiacl 2000rule permit source 192.168.1.0 0.0.0.255quitroute-policy huawei deny node 10if-match acl 2000route-policy huawei permit node 20