华为设备路由策略原理与实验

概述：

路由策略可以在路由协议发布、接收和引入路由时配置使用，也可用于过滤路由和改变路由属性。

路由策略各工具之间的调用关系：

条件工具：用于把需要的路由“抓取”出来。
策略工具：用于把“抓取”出来的路由执行某个动作，比如允许、拒绝、修改属性值。
等。
调用工具：用于将路由策略应用到某个具体的路由协议里面，使其生效。

调用工具中的filter-policy和peer又自带策略工具的功能，因此这两个东西又可以直接调用条件工具。其他的调用工具都必须通过route-policy来间接的调用条件工具。

需要注意peer不能直接调用ACL和团体属性过滤器，可以调用其他的所有条件工具。

路由策略的结构：

Route-Policy由节点号、匹配模式、if-match子句（条件语句）和apply子句（执行语句）这四个部分组成。

一、节点号
一个Route-Policy可以由多个节点（node）构成。路由匹配Route-Policy时遵循以下两个规则：

顺序匹配：在匹配过程中，系统按节点号从小到大的顺序依次检查各个表项，因此在指定节点号时，要注意符合期望的匹配顺序。
唯一匹配：Route-Policy各节点号之间是“或”的关系，只要通过一个节点的匹配，就认为通过该过滤器，不再进行其它节点的匹配。

二、匹配模式
节点的匹配模式有两种：permit和deny。

permit指定节点的匹配模式为允许。当路由项通过该节点的过滤后，将执行该节点的apply子句，不进入下一个节点；如果路由项没有通过该节点过滤，将进入下一个节点继续匹配。
deny指定节点的匹配模式为拒绝。这时apply子句不会被执行。当路由项满足该节点的所有if-match子句时，将被拒绝通过该节点，不进入下一个节点；如果路由项不满足该节点的if-match子句，将进入下一个节点继续匹配。

注意事项：
通常在多个deny节点后设置一个不含if-match子句和apply子句的permit模式的Route-Policy，用于允许其它所有的路由通过。

三、 if-match子句（条件语句）
if-match子句用来定义一些匹配条件。Route-Policy的每一个节点可以含有多个if-match子句，也可以不含if-match子句。如果某个permit节点没有配置任何if-match子句，则该节点匹配所有的路由。

四、apply子句（执行语句）
apply子句用来指定动作。路由通过Route-Policy过滤时，系统按照apply子句指定的动作对路由信息的一些属性进行设置。Route-Policy的每一个节点可以含有多个apply子句，也可以不含apply子句。如果只需要过滤路由，不需要设置路由的属性，则不使用apply子句。

路由策略匹配结果：

工作流程图：

对于一条路由，在使用Route-Policy以后，最终结果是允许还是拒绝这条路由呢？这个最终的结果对于业务的影响是非常大的，可能会直接影响某种业务的通与不通。这就涉及到Route-Policy匹配规则的问题了。

Route-Policy每个node节点的过滤结果要综合以下两点：

Route-Policy的node节点的匹配模式（permit或deny）。
if-match子句（如引用的地址前缀列表或者访问控制列表）中包含的匹配条件（permit或deny）。
对于每一个node节点，以上两点的排列组合会出现表1所示的4种情况。

Route-Policy每个node节点的过滤结果要综合以下两点：

Route-Policy的node节点的匹配模式（permit或deny）。
if-match子句（如引用的地址前缀列表或者访问控制列表）中包含的匹配条件（permit或deny）。
对于每一个node节点，以上两点的排列组合会出现下表所示的4种情况：

上述四种组合情况中，前两种比较好理解，也比较常用。后两种相对难理解一点，其实当Rule为deny的时候，无论mode是什么，匹配到了都不允许通过本节点，继续往下匹配。

这里我们以第三种情况为例，举例说明一下。假设if-match子句中包含的匹配条件是deny，node节点对应的匹配条件permit，配置如下：
acl number 2001
rule 5 deny source 172.16.16.0 0 //拒绝172.16.16.0

acl number 2002
rule 5 permit source 172.16.16.0 0 //允许172.16.16.0

route-policy RP permit node 10 //在这个节点，172.16.16.0这条路由被拒绝，继续往下
if-match acl 2001

route-policy RP permit node 20 //在这个节点，172.16.16.0这条路由被允许
if-match acl 2002

这种情况下，有一个关键点就是在node 10,172.16.16.0这条路由被拒绝，同时会继续往下匹配，或许下一个节点就允许通过了呢？果然，继续往下走，到node 20这个节点的时候172.16.16.0又被允许了，所以Route-Policy的最终匹配结果是允许172.16.16.0这条路由。

注意事项：
华为设备默认所有未匹配的路由将被拒绝通过Route-Policy。如果Route-Policy中定义了一个以上的节点，应保证各节点中至少有一个节点的匹配模式是permit。因为Route-Policy用于路由信息过滤时：

如果某路由信息没有通过任一节点，则认为该路由信息没有通过该Route-Policy。
如果Route-Policy的所有节点都是deny模式，则没有路由信息能通过该Route-Policy。

实验：

用户需求：
如图所示，某园区网络主要划分为生产网段和办公网段。LSW3下挂的终端访问下面的网段的时候流量模型如下：
10.10.1.0/24-----生产网段，优先走LSW1出去，LSW2作为备份链路。
10.10.2.0/24-----办公网段，优先走LSW2出去，LSW1作为备份链路。
10.10.3.0/24-----其他网段，随便走那边都行，负载分担即可。
这种流量模型，可以保证生产网络与办公网络的流量分离，便于维护和故障定位。同时，这种流量模型有利于流量均衡的分配到两条链路上，同时互相作为备份链路，有利于网络的稳定性。

配置过程：
1.LSW1、LSW2、LSW3三个设备之间建立OSPF邻居关系。
2.LSW1和LSW2上配置到达上述网段的静态路由，并引入OSPF，从而通告给LSW3。
3.LW1和LSW2上配置路由策略，调整流量模型满足用户规划的需求。

这里仅给出涉及路由策略的关键配置：
LSW1关键配置：

acl number 2000
rule 5 permit source 10.10.1.0 0 //用于匹配生产网段路由

acl number 2001
rule 5 permit source 10.10.2.0 0 //用于匹配办公网段路由

route-policy RP permit node 10
if-match acl 2000
apply cost 10 //设置生产网段路由的cost值为10

route-policy RP permit node 20
if-match acl 2001
apply cost 20 //设置办公网段路由的cost值位20

route-policy RP permit node 30 //剩余网段的路由允许进来，不做任何处理

ip route-static 10.10.1.0 255.255.255.0 192.168.14.2
ip route-static 10.10.2.0 255.255.255.0 192.168.14.2
ip route-static 10.10.3.0 255.255.255.0 192.168.14.2

LSW2关键配置：

acl number 2000
rule 5 permit source 10.10.1.0 0 //用于匹配生产网段路由

acl number 2001
rule 5 permit source 10.10.2.0 0 //用于匹配办公网段路由

route-policy RP permit node 10
if-match acl 2000
apply cost 20 //设置生产网段路由的cost值为20

route-policy RP permit node 20
if-match acl 2001
apply cost 10 //设置办公网段路由的cost值为10

route-policy RP permit node 30 //剩余网段的路由允许进来，不做任何处理

ip route-static 10.10.1.0 255.255.255.0 192.168.25.2
ip route-static 10.10.2.0 255.255.255.0 192.168.25.2
ip route-static 10.10.3.0 255.255.255.0 192.168.25.2

结果验证
完成上述配置以后，可以在LSW3上查看IP路由表，确认流量模型是否正确。

display ip routing-table Route Flags: R - relay, D - download to fibRouting Tables: PublicDestinations : 9        Routes : 10      Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface10.10.1.0/24  O_ASE   150  10          D   192.168.13.1    Vlanif1310.10.2.0/24  O_ASE   150  10          D   192.168.23.1    Vlanif2310.10.3.0/24  O_ASE   150  1           D   192.168.23.1    Vlanif23O_ASE   150  1           D   192.168.13.1    Vlanif13127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0192.168.13.0/24  Direct  0    0           D   192.168.13.2    Vlanif13192.168.13.2/32  Direct  0    0           D   127.0.0.1       Vlanif13192.168.23.0/24  Direct  0    0           D   192.168.23.2    Vlanif23192.168.23.2/32  Direct  0    0           D   127.0.0.1       Vlanif23

从LSW3的路由表中可以看到，到达生产网段10.10.1.0/24的流量优先走LSW1，到达办公网段10.10.2.0/24的流量优先走LSW2，到达其他网段的流量在LSW1和LSW2两条链路上进行负载分担。流量模型符合预期。

检测命令
使用display route-policy [ route-policy-name ]命令查看路由策略的详细配置信息。

整理资料来源：《交换机在江湖》