策略路由( policy-based-route)是一种依据用户制定的策略进行路由选择的机制。与单纯依照 IP报文的目的地址查找路由表进行转发不同,策略路由可以对于满足一定条件(ACL规则、报文长度等)的报文,执行指定的操作(设置报文的下一跳、出接口、缺省下一跳和缺省出接口等)。策略路由的优先级要高于普通路由,即报文先按照策略路由进行转发,如果无法匹配所有的策略路由条件,再按照普通路由进行转发。
报文到达后,其后续的转发流程如下(策略路由-路由表路由-缺省策略路由-缺省路由):
1、首先根据配置的策略路由转发。
2、若找不到匹配的节点或虽然找到了匹配的节点,但指导报文转发失败时,再根据路由表中除缺省路由之外的路由来转发报文。
3、若转发失败,则根据策略路由中配置的缺省下一跳和缺省出接口指导报文转发。
4、若转发失败,则再根据缺省路由来转发报文。
根据作用对象的不同,策略路由可分为本地策略路由和转发策略路由:
1、本地策略路由:对设备本身产生的报文(比如本地发出的ping报文)起作用,指导其发送。
2、转发策略路由:对接口接收的报文起作用,指导其转发。
策略用来定义报文的匹配规则,以及对报文执行的操作。策略由节点组成。
一个策略可以包含一个或者多个节点。节点的构成如下:
1、每个节点由节点编号来标识。节点编号越小节点的优先级越高,优先级高的节点优先被执行。
2、 每个节点的具体内容由if-match子句和apply子句来指定。if-match子句定义该节点的匹配规则,apply子句定义该节点的动作。
3、每个节点对报文的处理方式由匹配模式决定。匹配模式分为permit(允许)和deny(拒绝)两种。
应用策略后,系统将根据策略中定义的匹配规则和操作,对报文进行处理:系统按照优先级从高到低的顺序依次匹配各节点,如果报文满足这个节点的匹配规则,就执行该节点的动作;如果报文不满足这个节点的匹配规则,就继续匹配下一个节点;如果报文不能满足策略中任何一个节点的匹配规则,则根据路由表来转发报文。
基本策略路由:
H3C
http://www.h3c.com/cn/d_201405/829985_30005_0.htm
1、进入系统视图:system-view
2、创建策略节点,并进入策略节点视图:policy-based-route policy-name [ deny | permit ] node node-number
3、定义匹配规则:if-match acl { acl-number | name acl-name } 或 if-match packet-length min-len max-len
4、设置报文在指定VPN实例中进行转发:apply access-vpn vpn-instance vpn-instance-name&<1-n>
5、设置报文转发的下一跳:apply next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track track-entry-number ] }&<1-n>
6、设置指导报文转发的出接口:apply output-interface { interface-type interface-number [track track-entry-number ] }&<1-n>
7、设置指导报文转发的缺省下一跳:apply default-next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track track-entry-number ] }&<1-n>
8、设置指导报文转发的缺省出接口:apply default-output-interface { interface-type interface-number [ track track-entry-number ] }&<1-n>
9、设置匹配成功的当前节点指定转发路径失败后继续进行后续节点的处理:apply continue
10、对本地报文应用策略:ip local policy-based-route policy-name
11、进入接口视图:interface interface-type interface-number
12、对接口转发的报文应用策略:ip policy-based-route policy-name
<RouterA> system-view
[RouterA] acl number 3101
[RouterA-acl-adv-3101] rule permit tcp
[RouterA] policy-based-route aaa permit node 5
[RouterA-pbr-aaa-5] if-match acl 3101
[RouterA-pbr-aaa-5] apply next-hop 1.1.2.2
[RouterA-pbr-aaa-5] quit
[RouterA] ip local policy-based-route aaa
华为:
http://support.huawei.com/enterprise/docinforeader!loadDocument1.action?contentId=DOC1000112138&partNo=10162
1、进入系统视图:system-view
2、创建策略节点,并进入策略节点视图:policy-based-route policy-name [ deny | permit ] node node-number
3、定义匹配规则:if-match acl acl-number 或 if-match packet-length min-len max-len
4、设置报文在指定VPN实例中进行转发:apply access-vpn vpn-instance vpn-instance-name&<1-31>
5、设置报文转发的下一跳:apply ip-address next-hop ip-address
6、设置指导报文转发的出接口:apply output-interface interface-type interface-number
7、设置指导报文转发的缺省下一跳:apply ip-address default next-hop ip-address
8、设置指导报文转发的缺省出接口:apply default output-interface interface-type interface-number
10、对本地报文应用策略:ip local policy-based-route policy-name
11、接口策略路由需要用到流行为。
<RouterA> system-view
[RouterA] acl number 3101
[RouterA-acl-adv-3101] rule permit tcp
[RouterA] policy-based-route aaa permit node 5
[RouterA-pbr-aaa-5] if-match acl 3101
[RouterA-pbr-aaa-5] apply ip-address next-hop 1.1.2.2
[RouterA-pbr-aaa-5] quit
[RouterA] ip local policy-based-route aaa
流策略:
H3C
*用于策略路由的 QoS 策略只能应用到端口/VLAN/全局的入方向。
1、进入系统视图:system-view
2、定义类并进入类映射视图:traffic classifier tcl-name [ operator { and | or } ]
3、定义匹配报文的规则:if-match match-criteria
4、退回系统视图:quit
5、定义流行为并进入流行为视图:traffic behavior behavior-name
6、配置流量重定向到下一跳:redirect next-hop { ipv4-add1 [ ipv4-add2 ] | ipv6-add1 [ interface-type interface-number ] [ ipv6-add2 [ interface-type interface-number ] ] }
7、退回系统视图:quit
8、定义 QoS 策略并进入策略视图:qos policy policy-name
9、在策略中为类指定采用的流行为:classifier tcl-name behavior behavior-name
10、退回系统视图:quit
11、应用全局策略:qos apply policy policy-name global inbound
12、进入以太网接口视图:interface interface-type interface-number
13、应用接口策略:qos apply policy policy-name inbound
14、进入VLAN视图:interface Vlan-interface Vlan-number
15、应用 VLAN 策略到指定的 VLAN:qos vlan-policy policy-name vlanvlan-id-list inbound
华为:
http://support.huawei.com/enterprise/docinforeader!loadDocument1.action?contentId=DOC1000112138&partNo=10162
*此处只列出与H3C不同之处。
6、配置流量重定向到下一跳:redirect ip-nexthop { ipv4-add1 [ ipv4-add2 ] | ipv6-add1 [interface-type interface-number ] [ ipv6-add2 [ interface-type interface-number ] ] }
8、创建流策略:traffic policy policy-name
11、应用全局策略:traffic-policy policy-name global inbound [ slot slot-id ]
12、进入以太网接口视图:interface interface-type interface-number
13、应用接口策略:traffic-policy policy-name { inbound | outbount }
14、进入VLAN视图:interface Vlan-interface Vlan-number
15、应用 VLAN 策略到指定的 VLAN:traffic-policy policy-name { inbound | outbount }