策略路由基本知识课件.ppt

1、2023-5-13策略路由基本知识策略路由基本知识策略路由基本知识策略路由基本知识课程目标课程目标q 通过本课程的学习，您可以掌握如下知识点：通过本课程的学习，您可以掌握如下知识点：v策略路由的概念策略路由的概念v策略路由的原理策略路由的原理v策略路由的规划策略路由的规划v策略路由的调试策略路由的调试策略路由基本知识提提 纲纲q 策略路由简介策略路由简介q 策略路由的实现原理策略路由的实现原理q 策略路由的规划设计策略路由的规划设计q 策略路由部署应用案例策略路由部署应用案例策略路由基本知识一般路由的概念一般路由的概念q 普通路由转发普通路由转发,基于路由表进行报文的转发基于路由表进行报文的转

2、发q 路由表的建立路由表的建立v直连路由、主机路由；直连路由、主机路由；v 静态配置路由条目；静态配置路由条目；v 动态路由协议学习生成；动态路由协议学习生成；查看命令查看命令show ip route策略路由基本知识策略路由的概念策略路由的概念q 策略路由策略路由(Policy-Based Routing)，顾名思义，顾名思义，即是根据一定的策略进行报文转发，因此策略即是根据一定的策略进行报文转发，因此策略路由是一种比目的路由更灵活的路由机制。路由是一种比目的路由更灵活的路由机制。策略路由基本知识策略路由与路由策略辨析策略路由与路由策略辨析q 策略路由策略路由路由器转发数据报文时路由器转发数

3、据报文时 根据配置的规则对报文进行过滤根据配置的规则对报文进行过滤 匹配成功则按照一定的转发策略进行报文转发匹配成功则按照一定的转发策略进行报文转发 也可以修改报文的也可以修改报文的IP优先字段优先字段 因此，策略路由是对因此，策略路由是对IP路由机制的有效增强路由机制的有效增强 对象对象:需要转发的数据报文需要转发的数据报文q 路由策略路由策略 通过路由策略控制路由的接收、发布、引入的方法，实现对路由的优化通过路由策略控制路由的接收、发布、引入的方法，实现对路由的优化 对象对象:路由本身路由本身策略路由基本知识提提 纲纲q 策略路由简介策略路由简介q 策略路由的实现原理策略路由的实现原理q

4、策略路由的规划设计策略路由的规划设计q 策略路由部署应用案例策略路由部署应用案例策略路由基本知识策略路由的用途策略路由的用途q 基于源的路由可以使不同的用户选择不同的基于源的路由可以使不同的用户选择不同的ISPq 通过设置通过设置IP Precedence或或Tos来实现来实现QOSq 实现负载均衡实现负载均衡策略路由基本知识策略路由的流程策略路由的流程入口入口数据包数据包策略路由？策略路由？有匹配条目吗？有匹配条目吗？YNPermit？N 正常路由（基于目标）正常路由（基于目标）NYY策策略略路路由由SetMatch使用Route-map来配置策略路由的流程策略路由基本知识策略路由的处理模式

5、策略路由的处理模式q 逐包模式逐包模式每个包都进行查表后才进行转发每个包都进行查表后才进行转发q 流模式流模式 第一个包查路由转发表，如果存在路由，将该第一个包查路由转发表，如果存在路由，将该路由项以路由项以source、dest、tos、入接口等索引放、入接口等索引放置到置到cache中，以后同样的流就可以直接查中，以后同样的流就可以直接查cache策略路由基本知识策略路由的处理流程策略路由的处理流程流模式流模式SETROUTEMAP匹配查转发表Cache/NP第一个流后续流是否加入转发cache/NP入接口报文转发报文ip route-cache policy 开启快速交换策略路由开启快速

6、交换策略路由策略路由基本知识Route-map原理原理 类似于复杂的类似于复杂的Access-list 自顶向下地处理，一旦有一条匹配，则立刻结自顶向下地处理，一旦有一条匹配，则立刻结束束route-map查找查找 Route-map每个条目都被赋予编号，可以任意每个条目都被赋予编号，可以任意地插入或删除条目地插入或删除条目策略路由基本知识route-map的执行的执行route-map test permit 10match x y zmatch aset bset croute-map test permit 20match qset rdeny all(系统隐含系统隐含)If(x or

7、y or z)and athen set (b and c)else if qthen set relse set nothing策略路由基本知识提提 纲纲q 策略路由简介策略路由简介q 策略路由的实现原理策略路由的实现原理q 策略路由的规划设计策略路由的规划设计q 策略路由部署应用案例策略路由部署应用案例策略路由基本知识策略路由的适用环境策略路由的适用环境 q 多出口情况下多出口情况下 校园网（校园网（internet网、教育网）网、教育网）企业网（双出口上网）企业网（双出口上网）q 旁路组网旁路组网q 需要修改报文需要修改报文TOS、dscp；策略路由基本知识策略路由的配置步骤策略路由的配

8、置步骤q 定义重分布路由图定义重分布路由图 一个路由图可以由好多策略组成，策略按序号大小排列，只要符合了前一个路由图可以由好多策略组成，策略按序号大小排列，只要符合了前面策略，就退出路由图的执行面策略，就退出路由图的执行 q 定义路由图每个策略的匹配规则或条件定义路由图每个策略的匹配规则或条件 q 定义满足匹配规则后，路由器对符合规定义满足匹配规则后，路由器对符合规则的数据包进行则的数据包进行IP优先值和下一跳的设优先值和下一跳的设置置q 在指定接口中应用路由图在指定接口中应用路由图策略路由基本知识策略路由的配置策略路由的配置q 路由器通过路由器通过route-map语句对符合条件的数据包实施

9、路语句对符合条件的数据包实施路由策略由策略vpermit:对符合条件的数据包实施策略对符合条件的数据包实施策略vdeny:对符合条件的数据包不实施策略对符合条件的数据包不实施策略Sequence:0-65535,route-map语句的执行顺序语句的执行顺序（插入（插入/删除删除route-map语句语句)Router(config)#route-map route-map-name permit|deny sequence策略路由基本知识匹配规则匹配规则q 匹配ACLq 匹配第三层数据包的长度v定义匹配规则，只有符合规则的数据包才进行策略路由定义匹配规则，只有符合规则的数据包才进行策略路由，

10、如果没，如果没有配置匹配规则，则所有数据包都符合规则。有配置匹配规则，则所有数据包都符合规则。要定义策略的匹配要定义策略的匹配规则，在路由图配置模式中执行以下命令：规则，在路由图配置模式中执行以下命令：vRoute(config-route-map)#match ip address access-list-numberRouter(config-route-map)#match ip address access-list-number|name.access-list-number|nameRouter(config-route-map)#match length min max 策略路由

11、基本知识定义出口定义出口v对符合规则的数据包进行下一跳的设置。要定义匹配规则后的操对符合规则的数据包进行下一跳的设置。要定义匹配规则后的操作，在路由图配置模式中执行以下命令：作，在路由图配置模式中执行以下命令：vRouter(config-route-map)#set interface type numbervRouter(config-route-map)#set ip next-hop ip-addressv路由器先检查策略路由，后检查路由表路由器先检查策略路由，后检查路由表Router(config-route-map)#set ip next-hop ip-address.ip-ad

12、dress 定义发出的数据包的下一跳地址定义发出的数据包的下一跳地址Router(config-route-map)#set interface type number.type number 定义发出的数据包的出口定义发出的数据包的出口策略路由基本知识特殊下一跳特殊下一跳路由器先检查路由表，后检查策略路由路由器先检查路由表，后检查策略路由Router(config-route-map)#set ip default next-hop ip-address.ip-address 定义到达目的网络时无显式路由时的隐含下一跳地址定义到达目的网络时无显式路由时的隐含下一跳地址策略路由基本知识配置策略

13、路由配置策略路由q set ip next-hop ip-add和和set ip default next-hop策略路由基本知识应用到端口应用到端口Router(config-if)#ip policy route-map map-tag 在入口上应用策略路由在入口上应用策略路由Router(config-if)#ip route-cache policy 开启快速交换策略路由开启快速交换策略路由策略路由基本知识策略路由示例策略路由示例1.1.0.0 ISP A.1.2.0.0 ISP B.策略路由基本知识策略路由示例策略路由示例RouterA(config)#RouterA(config)

14、#access-list 1 permit ip 1.1.0.0 0.0.255.255access-list 1 permit ip 1.1.0.0 0.0.255.255RouterA(config)#RouterA(config)#access-list 2 permit ip 1.2.0.0 0.0.255.255access-list 2 permit ip 1.2.0.0 0.0.255.255RouterA(config)#RouterA(config)#route-map access permit 10route-map access permit 10RouterA(con

15、fig-route-map)#RouterA(config-route-map)#match ip address 1match ip address 1RouterA(config-route-map)#RouterA(config-route-map)#set ip set ip default default next-hop 6.6.6.6next-hop 6.6.6.6RouterA(config-route-map)#RouterA(config-route-map)#route-map access permit 20route-map access permit 20 Rout

16、erA(config-route-map)#RouterA(config-route-map)#match ip address 2match ip address 2RouterA(config-route-map)#RouterA(config-route-map)#set ip set ip defaultdefault next-hop 7.7.7.7 next-hop 7.7.7.7RouterA(config-route-map)#RouterA(config-route-map)#route-map access permit 30route-map access permit

17、30RouterA(config-route-map)#RouterA(config-route-map)#set default interface null0set default interface null0RouterA(config)#RouterA(config)#interface ethernet 0interface ethernet 0RouterA(config-if)#RouterA(config-if)#ip address 1.1.1.1 255.255.255.0ip address 1.1.1.1 255.255.255.0RouterA(config-if)

18、#RouterA(config-if)#ip policy route-map accessip policy route-map accessRouterA(config)#RouterA(config)#interface serial 0interface serial 0RouterA(config-if)#RouterA(config-if)#ip address 6.6.6.5 255.255.255.0ip address 6.6.6.5 255.255.255.0RouterA(config)#RouterA(config)#interface serial 1interfac

19、e serial 1RouterA(config-if)#RouterA(config-if)#ip address 7.7.7.6 255.255.255.0ip address 7.7.7.6 255.255.255.0策略路由基本知识策略路由的验证调试策略路由的验证调试q 显示显示IP策略应用情况策略应用情况router#show ip policy Interface Route map FastEthernet2 test q Debug ip policyIP:s=1.1.1.2(FastEthernet 1/1),d=192.168.2.250(),len=60,preceden

20、ce=0,policy match RouteMap test,item=10,permitIP:s=1.1.1.2(FastEthernet 1/1),d=192.168.2.250(FastEthernet 1/0),len=60,precedence=0,policy routed策略路由基本知识显示策略路由的配置显示策略路由的配置server_r1#show route-map route-map test,permit,sequence 10 Match clauses:ip address(access-lists):1 Set clauses:default interface

21、FastEthernet0 Policy routing matches:42 packets,2520 bytes route-map test,permit,sequence 20 Match clauses:ip address(access-lists):2 Set clauses:ip next-hop 10.10.13.3 Policy routing matches:12 packets,720 bytesq显示所有或指定路由映射的信息显示所有或指定路由映射的信息 策略路由基本知识提提 纲纲q 策略路由简介策略路由简介q 策略路由的实现原理策略路由的实现原理q 策略路由的规划设计

22、策略路由的规划设计q 策略路由部署应用案例策略路由部署应用案例策略路由基本知识策略路由部署应用案例一策略路由部署应用案例一 q 网络拓扑网络拓扑172.16.0.2/30172.16.0.1/30210.38.0.2/30192.168.1.1/30210.38.0.1/30G1/1G1/2G1/3192.168.1.2/30s8610222.200.80.1/24222.200.80.2用户使用教育网地址211.66.88.1/24211.66.88.2A用户用户B用户用户rg3760策略路由基本知识策略路由部署应用案例一策略路由部署应用案例一q 用户需求用户需求 OICQ应用全走电信出口应

23、用全走电信出口 全部用户全部用户 222.200.80.1/24数据流通过教育网上网数据流通过教育网上网 (A用户用户)211.66.88.1/24访问教育网走教育网访问教育网走教育网 非教育网流量走电信非教育网流量走电信 (B用户用户)策略路由基本知识策略路由部署应用案例一策略路由部署应用案例一q 如何实现？如何实现？route-map test permit 10 match ip address 103 set ip next-hop 172.16.0.1route-map test permit 20 match ip address 105 set ip next-hop 210.3

24、8.0.1 ip access-list extended 10310 permit tcp any any eq 800020 permit udp any any eq 8000 /OICQ端口端口 ip access-list extended 105 10 permit ip 222.200.80.1 0.0.0.255 any 20 permit ip any 58.192.0.0 0.1.255.255 省略省略/.教育网地址段教育网地址段int ge 1/3ip policy route-map test /应用到入接口应用到入接口策略路由基本知识策略路由部署应用案例二策略路由部

25、署应用案例二q 网络拓扑网络拓扑172.16.0.2/30172.16.0.1/30210.38.0.2/30211.66.88.1/24210.38.0.1/30G1/1G1/2G1/3211.66.88.2s8610222.200.80.1/24222.200.80.2G1/4A用户用户B用户用户s8610s8610策略路由基本知识策略路由部署应用案例二策略路由部署应用案例二q 用户需求用户需求 OICQ应用全走电信出口应用全走电信出口 全部用户全部用户 222.200.80.1/24数据流通过教育网上网数据流通过教育网上网 (A用户用户)211.66.88.1/24访问教育网走教育网访问

26、教育网走教育网 非教育网流量走电信非教育网流量走电信 (B用户用户)策略路由基本知识策略路由部署应用案例二策略路由部署应用案例二q 如何实现？如何实现？route-map test permit 10 match ip address 103 set ip next-hop 172.16.0.1route-map test permit 20 match ip address 105 set ip next-hop 210.38.0.1 ip access-list extended 10310 permit tcp any any eq 800020 permit udp any any e

27、q 8000 /OICQ端口端口 ip access-list extended 105 10 deny ip any 211.66.88.0 0.0.0.255 20 deny ip any 222.200.80.0 0.0.0.255 30 permit ip 222.200.80.1 0.0.0.255 any 40 permit ip any 58.192.0.0 0.1.255.255 省略省略/.教育网地址段教育网地址段int range ge 1/3-4ip policy route-map test /应用到入接口应用到入接口策略路由基本知识策略路由部署应用案例三策略路由部署应

28、用案例三q 网络拓扑网络拓扑策略路由基本知识策略路由部署应用案例三策略路由部署应用案例三q 用户需求用户需求 访问网通的网络走网通线路访问网通的网络走网通线路 访问其他网络使用负载均衡的方式分别走两条电信线路访问其他网络使用负载均衡的方式分别走两条电信线路 策略路由基本知识策略路由部署应用案例三策略路由部署应用案例三q 如何实现？如何实现？access-list 90 permit 192.168.0.0 0.0.0.254 /定义偶数定义偶数IPaccess-list 91 permit 192.168.0.1 0.0.0.254 /定义奇数定义奇数IProute-map Telcom pe

29、rmit 10 match ip address 90 set ip default next-hop 202.109.204.1 /定义偶数定义偶数IP往电信往电信1线路转发线路转发route-map Telcom permit 20 match ip address 91 set ip default next-hop 61.154.8.1 /定义奇数定义奇数IP往电信往电信2线路转发线路转发ip nat pool pool1 prefix-length 24 address 202.109.204.2 202.109.204.2 match interface GigabitEthern

30、et 0/1 address 210.51.32.2 210.51.32.2 match interface FastEthernet 0/2ip nat pool pool2 prefix-length 24 address 61.154.8.2 61.154.8.2 match interface GigabitEthernet 0/1 address 210.51.32.2 210.51.32.2 match interface FastEthernet 0/2策略路由基本知识策略路由部署应用案例三策略路由部署应用案例三ip nat inside source list 90 pool

31、pool1ip nat inside source list 91 pool pool2 /定义奇偶定义奇偶IP nat地址池地址池!ip route 58.16.0.0 255.255.0.0 220.249.160.97省略若干网通路由省略若干网通路由ip route 222.160.0.0 255.252.0.0 220.249.160.97 /路由表中只存在网通路由表中只存在网通路由路由interface GigabitEthernet 0/0 ip policy route-map Telcom 策略路由基本知识策略路由部署应用案例三策略路由部署应用案例三q 如何实现？电信中断后网通

32、备份如何实现？电信中断后网通备份策略路由基本知识策略路由部署应用案例三策略路由部署应用案例三q 如何实现？如何实现？route-map Telcom permit 10 match ip address 90 set ip default next-hop 202.109.204.1 210.51.32.1 route-map Telcom permit 20 match ip address 91 set ip default next-hop 61.154.8.1 210.51.32.1 策略路由基本知识总结总结q 策略路由简介策略路由简介q 策略路由的实现原理策略路由的实现原理q 策略路由的规划设计策略路由的规划设计q 策略路由部署应用案例策略路由部署应用案例2023-5-13策略路由基本知识