华为设备路由策略原理与实验
概述:
路由策略可以在路由协议发布、接收和引入路由时配置使用,也可用于过滤路由和改变路由属性。
路由策略各工具之间的调用关系:
- 条件工具:用于把需要的路由“抓取”出来。
- 策略工具:用于把“抓取”出来的路由执行某个动作,比如允许、拒绝、修改属性值。
等。 - 调用工具:用于将路由策略应用到某个具体的路由协议里面,使其生效。
调用工具中的filter-policy和peer又自带策略工具的功能,因此这两个东西又可以直接调用条件工具。其他的调用工具都必须通过route-policy来间接的调用条件工具。
需要注意peer不能直接调用ACL和团体属性过滤器,可以调用其他的所有条件工具。
路由策略的结构:
Route-Policy由节点号、匹配模式、if-match子句(条件语句)和apply子句(执行语句)这四个部分组成。
一、节点号
一个Route-Policy可以由多个节点(node)构成。路由匹配Route-Policy时遵循以下两个规则:
- 顺序匹配:在匹配过程中,系统按节点号从小到大的顺序依次检查各个表项,因此在指定节点号时,要注意符合期望的匹配顺序。
- 唯一匹配:Route-Policy各节点号之间是“或”的关系,只要通过一个节点的匹配,就认为通过该过滤器,不再进行其它节点的匹配。
二、匹配模式
节点的匹配模式有两种:permit和deny。
- permit指定节点的匹配模式为允许。当路由项通过该节点的过滤后,将执行该节点的apply子句,不进入下一个节点;如果路由项没有通过该节点过滤,将进入下一个节点继续匹配。
- deny指定节点的匹配模式为拒绝。这时apply子句不会被执行。当路由项满足该节点的所有if-match子句时,将被拒绝通过该节点,不进入下一个节点;如果路由项不满足该节点的if-match子句,将进入下一个节点继续匹配。
注意事项:
通常在多个deny节点后设置一个不含if-match子句和apply子句的permit模式的Route-Policy,用于允许其它所有的路由通过。
三、 if-match子句(条件语句)
if-match子句用来定义一些匹配条件。Route-Policy的每一个节点可以含有多个if-match子句,也可以不含if-match子句。如果某个permit节点没有配置任何if-match子句,则该节点匹配所有的路由。
四、apply子句(执行语句)
apply子句用来指定动作。路由通过Route-Policy过滤时,系统按照apply子句指定的动作对路由信息的一些属性进行设置。Route-Policy的每一个节点可以含有多个apply子句,也可以不含apply子句。如果只需要过滤路由,不需要设置路由的属性,则不使用apply子句。
路由策略匹配结果:
工作流程图:
对于一条路由,在使用Route-Policy以后,最终结果是允许还是拒绝这条路由呢?这个最终的结果对于业务的影响是非常大的,可能会直接影响某种业务的通与不通。这就涉及到Route-Policy匹配规则的问题了。
Route-Policy每个node节点的过滤结果要综合以下两点:
- Route-Policy的node节点的匹配模式(permit或deny)。
- if-match子句(如引用的地址前缀列表或者访问控制列表)中包含的匹配条件(permit或deny)。
对于每一个node节点,以上两点的排列组合会出现表1所示的4种情况。
Route-Policy每个node节点的过滤结果要综合以下两点:
- Route-Policy的node节点的匹配模式(permit或deny)。
- if-match子句(如引用的地址前缀列表或者访问控制列表)中包含的匹配条件(permit或deny)。
对于每一个node节点,以上两点的排列组合会出现下表所示的4种情况:
上述四种组合情况中,前两种比较好理解,也比较常用。后两种相对难理解一点,其实当Rule为deny的时候,无论mode是什么,匹配到了都不允许通过本节点,继续往下匹配。
这里我们以第三种情况为例,举例说明一下。假设if-match子句中包含的匹配条件是deny,node节点对应的匹配条件permit,配置如下:
acl number 2001
rule 5 deny source 172.16.16.0 0 //拒绝172.16.16.0
acl number 2002
rule 5 permit source 172.16.16.0 0 //允许172.16.16.0
route-policy RP permit node 10 //在这个节点,172.16.16.0这条路由被拒绝,继续往下
if-match acl 2001
route-policy RP permit node 20 //在这个节点,172.16.16.0这条路由被允许
if-match acl 2002
这种情况下,有一个关键点就是在node 10,172.16.16.0这条路由被拒绝,同时会继续往下匹配,或许下一个节点就允许通过了呢?果然,继续往下走,到node 20这个节点的时候172.16.16.0又被允许了,所以Route-Policy的最终匹配结果是允许172.16.16.0这条路由。
注意事项:
华为设备默认所有未匹配的路由将被拒绝通过Route-Policy。如果Route-Policy中定义了一个以上的节点,应保证各节点中至少有一个节点的匹配模式是permit。因为Route-Policy用于路由信息过滤时:
- 如果某路由信息没有通过任一节点,则认为该路由信息没有通过该Route-Policy。
- 如果Route-Policy的所有节点都是deny模式,则没有路由信息能通过该Route-Policy。
实验:
用户需求:
如图所示,某园区网络主要划分为生产网段和办公网段。LSW3下挂的终端访问下面的网段的时候流量模型如下:
10.10.1.0/24-----生产网段,优先走LSW1出去,LSW2作为备份链路。
10.10.2.0/24-----办公网段,优先走LSW2出去,LSW1作为备份链路。
10.10.3.0/24-----其他网段,随便走那边都行,负载分担即可。
这种流量模型,可以保证生产网络与办公网络的流量分离,便于维护和故障定位。同时,这种流量模型有利于流量均衡的分配到两条链路上,同时互相作为备份链路,有利于网络的稳定性。
配置过程:
1.LSW1、LSW2、LSW3三个设备之间建立OSPF邻居关系。
2.LSW1和LSW2上配置到达上述网段的静态路由,并引入OSPF,从而通告给LSW3。
3.LW1和LSW2上配置路由策略,调整流量模型满足用户规划的需求。
这里仅给出涉及路由策略的关键配置:
LSW1关键配置:
acl number 2000
rule 5 permit source 10.10.1.0 0 //用于匹配生产网段路由
acl number 2001
rule 5 permit source 10.10.2.0 0 //用于匹配办公网段路由
route-policy RP permit node 10
if-match acl 2000
apply cost 10 //设置生产网段路由的cost值为10
route-policy RP permit node 20
if-match acl 2001
apply cost 20 //设置办公网段路由的cost值位20
route-policy RP permit node 30 //剩余网段的路由允许进来,不做任何处理
ip route-static 10.10.1.0 255.255.255.0 192.168.14.2
ip route-static 10.10.2.0 255.255.255.0 192.168.14.2
ip route-static 10.10.3.0 255.255.255.0 192.168.14.2
LSW2关键配置:
acl number 2000
rule 5 permit source 10.10.1.0 0 //用于匹配生产网段路由
acl number 2001
rule 5 permit source 10.10.2.0 0 //用于匹配办公网段路由
route-policy RP permit node 10
if-match acl 2000
apply cost 20 //设置生产网段路由的cost值为20
route-policy RP permit node 20
if-match acl 2001
apply cost 10 //设置办公网段路由的cost值为10
route-policy RP permit node 30 //剩余网段的路由允许进来,不做任何处理
ip route-static 10.10.1.0 255.255.255.0 192.168.25.2
ip route-static 10.10.2.0 255.255.255.0 192.168.25.2
ip route-static 10.10.3.0 255.255.255.0 192.168.25.2
结果验证
完成上述配置以后,可以在LSW3上查看IP路由表,确认流量模型是否正确。
display ip routing-table Route Flags: R - relay, D - download to fibRouting Tables: PublicDestinations : 9 Routes : 10 Destination/Mask Proto Pre Cost Flags NextHop Interface10.10.1.0/24 O_ASE 150 10 D 192.168.13.1 Vlanif1310.10.2.0/24 O_ASE 150 10 D 192.168.23.1 Vlanif2310.10.3.0/24 O_ASE 150 1 D 192.168.23.1 Vlanif23O_ASE 150 1 D 192.168.13.1 Vlanif13127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.13.0/24 Direct 0 0 D 192.168.13.2 Vlanif13192.168.13.2/32 Direct 0 0 D 127.0.0.1 Vlanif13192.168.23.0/24 Direct 0 0 D 192.168.23.2 Vlanif23192.168.23.2/32 Direct 0 0 D 127.0.0.1 Vlanif23
从LSW3的路由表中可以看到,到达生产网段10.10.1.0/24的流量优先走LSW1,到达办公网段10.10.2.0/24的流量优先走LSW2,到达其他网段的流量在LSW1和LSW2两条链路上进行负载分担。流量模型符合预期。
检测命令
使用display route-policy [ route-policy-name ]命令查看路由策略的详细配置信息。
整理资料来源:《交换机在江湖》
华为设备路由策略原理与实验相关推荐
- 华为设备路由策略配置命令
(一)配置过滤器命令 配置地址前缀列表命令 [Huawei]ip ip-prefix a1 permit 10.1.1.0 24 //配置地址前缀列表 [Huawei]ip ip-prefix a2 ...
- 路由策略原理及配置请查收......
路由协议在发布.接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1.控制路由的接收和发布 只发布和接收必要.合法的路由信息,以控制路由表的容量,提 ...
- 华为防火墙NAT策略原理+实验验证!
文章目录 前言 一:华为防火墙的NAT分类 1.1:NAT NO-PAT 1.2:NAPT 1.3:出接口地址( Easy-IP) 1.4:NAT Server 1.5:Smart NAT 1.6:三 ...
- VRRP浮动路由(浮动路由原理,了解HSRP路由选举原理,实验过程与总结)
文章目录 前言 单一链路存在的问题 HSRP是思科的私有协议 HSRP (热备份路由选择协议)介绍 VRRP浮动路由原理 Master路由器选举原理 浮动路由原理 实验详解 实验目的 实验过程 主机设 ...
- 重发布-路由策略实验1(1.8)
目标: 1.首先为每个路由器配置环回和每个接口的ip r1: [r1]interface lo0 [r1-LoopBack0]ip add 1.1.1.1 24 [r1-LoopBack0]int g ...
- 路由策略和策略路由配置与管理-1
路由策略和策略路由配置与管理 "路由策略"与"策略路由"之间的区别就在于它们的主体(或者说"作用对象")不同,前者的主体是"路由& ...
- 路由器重温——路由策略和策略路由-1
"路由策略"与"策略路由"之间的区别就在于它们的主体(或者说"作用对象")不同,前者的主体是"路由",是对符合条件的路由 ...
- 华为设备ENSP静态路由的配置实战
华为设备ENSP静态路由的配置 1. 实验网络拓扑 2. 实验需求: 1) 使用华为模拟器ENSP 2) 将两台PC机ping通 3. 实验步骤: 1) ...
- 【实验】华为静态路由基础配置
一.静态路由功能介绍 静态路由就是手工配置的路由,使得数据包能够按照预定的路径传送到指定的目标网络.当不能通过动态路由协议学到一些目标网络的路由时,配置静态路由就会显得十分重要. 二.静态路由应用场景 ...
最新文章
- 在Android中使用Handler和Thread线程执行后台操作
- ubuntu安装openssh-server 报依赖错误的解决过程
- redis(9)--数据库
- 1203正规式转换为有穷自动机
- 通信线路工程验收规范 gb51171-2016_老杨一建通信学堂通信线路工程施工技术
- 曲苑杂坛(一):互联网如今这么卷,我们该怎么做?
- Win11微软输入法打不出汉字怎么办?
- 求细胞数量:一矩形阵列由数字 0 到 9 组成,数字 1 到 9 代表细胞,细胞的定义为沿细胞数字上下左右若还是细胞数字则为同一细胞,求给定矩形阵列的细胞个数。
- java domino 单点登录_Domino单点登录LTPAtoken生成原理
- 越狱Season 1-Episode 1: the pilot
- 车间ERP管理系统软件哪家好(上)
- 如何查看主机名和IP地址
- CSS中如何让背景颜色半透明
- 自抗扰控制ADRC之反馈控制律(NLSEF)
- 用python画地球_如何用PYTHON程序模拟一个太阳系?
- 云计算与网络安全:无代理安全防护更出色
- 【Android多屏适配】动态改变Listview item高度
- 巧用 @JvmName 解决 Kotlin 函数签名冲突
- 「镁客早报」世界产权组织称:2018年国际专利申请华为排名第一;微软股价大涨,市值超9000亿美元... 1
- jmeter分布式环境搭建
热门文章
- Windows扫雷游戏秘籍
- 救市重炮轮番轰炸 美欧央行联手将无限额注资
- Less学习--注释、变量、转义、可变插值
- vscode 新建cpp文件_vscode怎样新建项目和文件 值得收藏
- 征途服务器维护后可以判国家吗,12月22日全服更新维护公告
- 计算机房灭火器单具基准,灭火器计算题这6个步骤吃透了,此考点的分数也不会丢了...
- 五大经典算法-动态规划 及其算法应用
- oracle数据库数据合并,Oracle合并数据
- 从国足1:5输泰国看项目管理之项目失败责任该有谁负
- Sublime Text操作之CSS