通过配置路由引入可以实现不同协议间的路由信息交互,但是随着网络环境的变化,或者设计
及操作上的不当则很可能造成路由环路及次优路径的产生,这将造成网络资源的不必要耗费,更严
重的将导致通信产生故障。因此为了避免这些网络问题的产生,则需要在进行路由引入的操作时增
加一些限定条件,即借助路由策略来实现路由控制。
1.路由策略介绍
路由策略是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。应用了路由策略,
路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。
在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持 BGP to IGP功能,还能在GP引入BGP路由时,使用BGP私有属性作为匹配条件。
2.路由策略原理
一个 Route-Policy由多个节点构成,路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。一个节点包括多个 match和 apply子句。 if-match子句用来定义该节点的匹配条件, apply子句用
来定义通过过滤的路由行为。 if-match子句的过滤规则关系是“与”,即该节点的所有 f-match子句都必须匹配
Route-Policy节点间的过滤关系是“或”,即只要通过了一个节点的过滤,就可通过该 Route-Policy。如果
没有通过任何一个节点的过滤,路由信息将无法通过该 Route-Policy。对于同一个 Route-Policy节点,在匹
配过程中,各个 match子句间是“与”的关系,即路由信息必须同时满足所有匹配条件,才可以执行 apply
子句的动作。
当路由与该节点的所有 -match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。匹配模式
分为 permit和deny两种:如果匹配模式是 permit,那么路由将被允许通过,并且执行该节点的Appy子句
对路由信息的一些属性进行设置;如果匹配模式是deny,路由将被拒绝通过。
3.路由选路工具
路由策略中|- match子句中匹配的的6种过滤器包括访问控制列表( Access Control List,ACL)、地
址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。这6种过滤器具有各
自的匹配条件和匹配模式,因此这6种过滤器在以下特定情况中可以单独使用,实现路由过滤。下面我们把常
用的访问控制列表和地址前缀列表进行讲解
访问控制列表( Access Control List,ACL)是由 permit或deny语句组成的一系列有顺序规则的集合
它通过匹配报文的信息实现对报文的分类。根据ACL定义的规则判断哪些报文可以接收,哪些报文需要拒绝
从而实现对报文的过滤。ACL本身只是一组规则,只能区分某一类报文,无法实现过滤报文的功能。对这类报
文的处理方法,需要由引用ACL的具体功能来决定。
同时每个ACL作为一个规则组,可以包含多个规则。规则通过规则1D(rue-d)来标识,规则|D可以
由用户进行配置,也可以由系统自动根据步长生成。一个ACL中所有规则均按照规则D从小到大排序。规则
D之间会留下一定的间隔。如果不指定规则|D时,具体间隔大小由“ACL的步长”来设定。用户可以根据规
则|D方便地把新规则插入到规则组的某一位置。当报文到达设备时,查找引擎从报文中取出信息组成查找键值
键值与ACL中的规则进行匹配,只要有一条规则和报文匹配,就停止查找,称为命中规则。查找完所有规则
如果没有符合条件的规则,称为未命中规则。华为ACL缺省隐含最后一条规则为 permit。ACL类型根据不同
的划分规则可以有不同的分类。
1.按照创建ACL时的命名方式分类
(1)数字型ACL
(2)命名型ACL
2.按照ACL的功能分类
(1)基于接口的ACL根据报文的入接口定义规则,实现对报文的匹配过滤。通过命令 traffic- filter调用
ACL。
(2)基本ACL可使用报文的源P地址、VPN实例、分片标记和时间段信息来定义规则。
(3)高级ACL既可使用报文的源P地址,也可使用目的地址、IP优先級、ToS、DSCP、|P协议类型、
CMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。高级访问控制列表可以定义比
基本访问控制列表更准确、更丰富、更灵活的规则。
(4)二层ACL可根据报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、以太帧协议类型等。
二,策略路由介绍
传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用
户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由使网络管理者不仅能
够根据报文的目的地址,而且能够根据报文的源地址、报文大小和链路质量等属性来制定策略路由,以改变数
据包转发路径,满足用户需求。
( Policy- Based Routing,PBR)是一种依据用户制定的策略进行路由选择的机制,分为本地策
策略路由
略路由、接口策略路由和智能策略路由( Smart Policy Routing,SPR)。根据用户实际需求制定策略进行路
由选择,增强路由选择的灵活性和可控性,使不同的数据流通过不同的链路进行发送,提高链路的利用效率。
在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务的成本。策略路由
支持基于ACL、报文长度等信息,来灵活地指定数据包的转发路径。
1,本地策略路由原理
本地策略路由仅对本机下发的报文进行处理,对转发的报文不起作用。一条本地策略路由可以配置多个策略点,并且这些策略点具有不同的优先级,本机下发报文优先匹配优先级高的策略点。
如图42所示,本机下发报文时,根据本地策略路由节点的优先级,依次匹配各节点绑定的匹配规则,本地策略路由支持基于ACL或报文长度的匹配规则。
如果找到了匹配的本地策略路由节点,则按照以下步骤发送报文。
1.查看用户是否设置了报文的优先级
(1)如果用户设置了报文的优先级,首先根据用户设置的优先级设置报文的优先级,然后继续向下执行。
(2)如果用户未设置报文的优先级,则继续执行
2.查看用户是否设置了本地策略路由的出接口
(1)如果用户设置了出接口,将报文从出接口发送出去,不再执行后续步骤
(2)如果用户未设置出接口,则继续执行
3.查看用户是否设置了本地策略路由的下一跳(用户可以设置两个下一跳以达到负载分担的目的)
(1)如果用户设置了策略路由的下一跳,将报文发往下一跳,不再继续执行。
(2)如果用户未设置下一跳,按照正常流程根据报文的目的地址查找路由。如果没有查找到路由,则继
续执行
4.查看用户是否设置了本地策略路由的缺省出接口
(1)如果用户设置了缺省出接口,将报文从缺省出接口发送出去,不再执行后续步骤
(2)如果用户未设置缺省出接口,则继续执行。
查看用户是否设置了本地策略路由的缺省下
(1)如果用户设置了缺省下一跳,将报文发往缺省下一跳,不再继续执行。
(2)如果用户未设置缺省下一跳,则继续执行。
6.根据目的地址查找路由
丢弃报文,产生| CMP UNREACH消息,如果没有找到匹配的本地策略路由节点,按照发送P报文的一般流程,根据目的地址查找路由。
3接口策略路由原理
接口策略路由只对转发的报文起作用,对本地下发的报文(比如本地的Png报文)不起作用。接口策略路由通过在流行为中配置重定向实现,只对接口入方向的报文生效。缺省情况下,设备按照路由表的下一跳进行报文转发,如果配置了接口策略路由,则设备按照接口策略路由指定的下一跳进行转发。
在按照接口策略路由指定的下一跳进行报文转发时,如果设备上没有该下一跳|P地址对应的ARP表项,设备会触发ARP学习。如果一直学习不到下一跳P地址对应的ARP表项,则报文按照路由表指定的下一跳进行转发;如果设备上有或者学习到了此ARP表项,则按照接口策略路由指定的下一跳|P地址进行报文转发。
4.智能策略路由原理
智能策略路由是基于业务需求的策略路由,通过匹配链路质量和网络业务对链路质量的需求,实现智能选路.随着网络业务需求的多样化,业务数据的集中放置,链路质量对网络业务越来越重要。越来越多的用户把关注点从网络的连通性转移到业务的可用性上,如业务的可获得性、响应速度和业务质量等。这些复杂的业务需求给传统的基于逐跳的路由协议提出了挑战,它们无法感知链路的质量和业务的需求,所以带给用户的业务体验也得不到保障,即使路由可达,但链路质量可能已经很差甚至无法正常转发报文了。智能策略路由( Smartblicy Routing.SPR)就是在这一背景下产生的一种策略路由,它可以主动探测链路质量并匹配业务的需求从而选择一条最优链路转发业务数据,可以有效地避免网络黑洞、网络震荡等问题
SPR支持通过以下属性对业务进行区分:
SPR支持通过以下属性对业务进行区分
(1)根据协议类型区分:|P,TCP,UDP,GRE,lGMP,IP|NP,OSPF,ICMP。
(2)根据报文应用区分:DSCP,TOS, IP Precedence, Fragment,VPN,TCP-flag。
(3)根据报文信息区分: Source IP Address, Destination| P Address, Protocol, Source Port, Destination
Port, Source IP Prefi, Destination IP Prefiⅸx。
不同的业务对链路的时延D( Delay)、抖动时间J( Jitter、丢包率L(Los以及综合度量指标( Composite
Measure Indicator,cM)有不同的要求,如果业务对链路的某一项质量参数没有要求,就不需要配置该参
数的阈值。