1、.路由策略和策略路由一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器
2、的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当
3、路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的
4、匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他
5、节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用
6、。 BGP的团体属性是用来标识一组具有共同性质的路由。5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN网络中控制VPN路由信息在各Site之间的发布和接收。6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性
7、区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。三、配置路由策略1、配置过滤器1、配置地址前缀列表 当需要根据路由的目的地址控制路由的发布和接收时,配置地址前缀列
8、表。 如果地址前缀列表不与路由策略中if-match语句配合使用,地址前缀列表中至少配置一个节点的匹配模式是permit,否则所有路由将都被过滤。具体配置Huaweiip ip-prefix 1 permit 10.1.0.0 16 ? greater-equal Set the greater-than-or-equal-to value of the mask length#掩码长度可以匹配范围的下限值 less-equal Set the less-than-or-equal-to value of the mask length #掩码长度可以匹配范围的上限值 2、配置AS属性过滤器
9、AS路径过滤器是利用BGP路由携带的AS-Path列表对路由进行过滤。在不希望接收某些AS的路由时,可以利用AS路径过滤器对携带这些AS号的路由进行过滤。当网络环境比较复杂时,如果利用ACL或者地址前缀列表过滤BGP路由,则需要定义多个ACL或者前缀列表,配置比较繁琐。这时也可以使用AS路径过滤器。具体配置Huaweiip as-path-filter 1 deny ? TEXT A regular-expression of 1 to 255 characters for matching AS_Path attributes # 用正则表达式来表示正则表达式的使用见正则表达式章节3、配置团
10、体属性过滤器 团体属性可以标识具有相同特征的路由,而不用考虑零散路由前缀和繁多的AS号。 团体属性过滤器与团体属性配合使用,可以在不便使用地址前缀列表和AS属性过滤器时,降低路由管理难度。 例如某公司一国外分部只需要接收国内总部和邻国分部的路由,不需要接收其他国外分部的路由。此时只需为各国分部分配不同的团体属性,就可以方便的实现路由管理,而不用去考虑每个国家内零散的路由前缀和繁多的AS号。 团体属性过滤器有两种类型:基本团体属性过滤器和高级团体属性过滤器。高级团体属性过滤器支持正则表达式,比基本团体属性过滤器匹配团体属性更灵活。具体配置1、基本团体属性过滤Huaweiip community-
11、filter basic 1 permit ? INTEGER Specify community number STRING Specify aa:nn internet Internet(well-known community attributes)#缺省情况下所有路由都具有此属性,可以被通告给所有的BGP对等体 no-advertise Do not advertise to any peer (well-known community attributes)#具有此属性的路由在收到后不能被通告给任何其他的BGP对等体 no-export Do not export to extern
12、al peers(well-known community attributes)#具有此属性的路由在收到后不能被发布到本地AS之外 no-export-subconfed Do not send outside a sub-confederation(well-known community attributes)#具有此属性的路由在收到后不能被发布到本地AS之外,也不能发布到联盟中的其他子AS 2、高级团体属性过滤Huaweiip community-filter advanced 1 permit ? TEXT A regular-expression of 1 to 255 chara
13、cters for matching community attributes #正则表达式4、配置扩展团体属性过滤器 当VPN场景中需要根据RT属性进行过滤时,可以使用扩展团体属性过滤器。Huaweiip extcommunity-filter ? INTEGER Extended community-filter number (basic) INTEGER Extended community-filter number (advanced) advanced Advanced extcommunity-filter basic Basic extcommunity-filter5、配置
14、RD属性过滤器 当VPN场景中需要根据RD属性进行过滤时,可以使用扩展团体属性过滤器。Huaweiip rd-filter 1 ? deny Specify a deny rule permit Specify a permit rule2、配置路由策略 Route-Policy的每个节点由一组if-match子句和apply子句组成。 if-match: 定义节点匹配规则,即路由信息通过当前路由策略所需满足的条件。 apply: 路由策略动作,即满足if-match子句后所执行的一些属性配置动作,对路由的某些属性进行修改。1、创建Route-Policy Route-Policy中可以包含多
15、个匹配条件和操作动作。 Route-Policy中至少配置一个节点的匹配模式是permit,否则所有路由将都被过滤。具体配置Huaweiroute-policy 1 permit node ? INTEGER Index of the node2、配置If-match子句(可选) If-match子句用来定义路由策略的匹配条件,匹配对象是路由策略过滤器和路由信息的一些属性。 在一个路由策略节点中,如果不配置if-match子句,则表示路由信息在该节点匹配成功。如果配置一条或多条if-match子句,则各个if-match子句之间是“与”的关系,即路由信息必须同时满足所有if-match子句,才
16、算该节点匹配成功。 但命令if-match as-path-filter、if-match community-filter、if-match extcommunity-filter、if-match interface和if-match route-type除外,这五个命令的各自if-match子句间是“或”的关系,与其它命令的if-match子句间仍是“与”的关系。 例如在一个节点中配置多条if-match as-path-filter子句,则if-match as-path-filter子句间是“或”的关系,与其它命令的if-match子句间仍是“与”的关系。 说明: if-match子
17、句匹配未配置的过滤器时,默认该if-match子句匹配成功。 对于同一个路由策略节点,命令if-match acl和命令if-match ip-prefix不能同时配置,后配置的命令会覆盖先配置的命令。 修改包括多条if-match子句相互配合的路由策略时,建议配置路由策略生效时间,否则不完整的策略会造成路由振荡。具体配置:1、创建路策略视图Huaweiroute-policy test1 permit node 1 Huawei-route-policy下列命令之间是并列关系,请根据实际情况配置路由策略中的if-match子句2、设置匹配规则Huawei-route-policyif-mat
18、ch ? acl Specify an ACL#基于acl的匹配规则 as-path-filter BGP AS path list#基于as路径过滤器 community-filter Match BGP community filter#基于团体属性过滤器 cost Match metric of route#基于路由开销 extcommunity-filter Match BGP/VPN extended community filter interface Specify the interface matching the first hop of routes#基于出接口 ip I
19、P information ip-prefix Specify an address prefix-list#基于IP第前缀列表 ipv6 IPv6 Information mpls-label Give the Label#基于mpls标签 rd-filter Route-distinguisher filter#基于RD属性 route-type Match route-type of route#基于is-is路由类型 tag Match tag of route#基于路由信息标记-Huawei-route-policyif-match community-filter 1 ? INTE
20、GER Specify Community-filter number(basic) INTEGER Specify Community-filter number(advanced) whole-match Do exact matching of communities #要求完全匹配即团体过滤器中的团体属性和路由信息的团体属性必须完全一致,且完全匹配,但仅对基本团体属性过滤器生效。-Huawei-route-policyif-match ip ? group-address Match group address of route#组播IP地址 next-hop Match next-h
21、op address of route route-source Match advertising source address of route-Huawei-route-policyif-match route-type ? external-type1 OSPF External Type 1 routes external-type1or2 OSPF External routes (OSPF type 1/2) external-type2 OSPF External Type 2 routes internal Internal route (including OSPF int
22、ra/inter area) is-is-level-1 IS-IS Level-1 routes is-is-level-2 IS-IS Level-2 routes nssa-external-type1 OSPF NSSA External Type1 routes nssa-external-type1or2 OSPF NSSA External Type1 and Type2 routes nssa-external-type2 OSPF NSSA External Type2 routes3、配置Apply子句(可选) Apply子句用来为路由策略指定动作,用来设置匹配成功的路由的
23、属性。 在一个节点中,如果没有配置apply子句,则该节点仅起过滤路由的作用。如果配置一个或多个apply子句,则通过节点匹配的路由将执行所有apply子句。具体配置:1、设置BGP路由的AS_Path属性动作Huawei-route-policyapply as-path 200 10 10 ? additive Append to original As Number#在原有的路径前面添加as号 overwrite Overwrite original As Number#覆盖原有as号2、设置备份出接口 主要用于IP FR(快速重路由)场景,手动为路由配置一个备份出接口,一般需要与app
24、ly backup-nexthop命令配合使用,除了P2P链路外都需要设置下一跳。Huawei-route-policyapply backup-interface ? Ethernet Ethernet interface GigabitEthernet GigabitEthernet interface NULL NULL interface Serial Serial interface3、设置备份出接口下一跳动作Huawei-route-policyapply backup-nexthop ? X.X.X.X Specify IP-address auto Find backup ne
25、xthop address automatic4、删除指定的BGP路由的团体属 当需要删除几个团体属性时,可通过一条ip community-filter命令仅配置一个团体属性的方法,将需要删除的团体属性都分条配置到一个团体属性过滤器,最后应用包含apply comm-filter delete命令的路由策略删除该团体属性过滤器中的所有团体属性。Huawei-route-policyapply comm-filter 2 delete5、删除全部BGP团体属性或改变BGP团体属性Huawei-route-policyapply community ? INTEGER Specify commu
26、nity number STRING Specify aa:nn internet Internet(well-known community attributes) # 改变为internet 类型,下同 no-advertise Do not advertise to any peer (well-known community attributes) #改变为no-advertise类型 no-export Do not export to external peers(well-known community attributes) no-export-subconfed Do not
27、 send outside a sub-confederation(well-known community attributes) none No community attribute #删除所有团体属性6、设置路由的开销值Huawei-route-policyapply cost ? + Add metric #原有基础上增加 - Subtract metric INTEGER Specify metric value #直接设定7、设置开销类型Huawei-route-policyapply cost-type ? external IS-IS external metric inte
28、rnal IS-IS internal metric/Set BGP MED to IGP metric of nexthop type-1 OSPF External Type 1 routes type-2 OSPF External Type 2 routes8、设置EBGP路由的衰减参数Huawei-route-policyapply dampening ? INTEGER Half-life period for a route, in minutes9、设置BGP路由的扩展团体属性(Route-Target)Huawei-route-policyapply extcommunity
29、 rt ? STRING IP:NNor AS:NN orAS.:NN10、设置IPv4路由的下一跳地址Huawei-route-policyapply ip-address next-hop ? X.X.X.X Specify IP-address peer-address Peer address11、设置IS-IS的路由级别Huawei-route-policyapply isis ? level-1 Import into a level-1 area level-1-2 Import into level-1 and level-2 level-2 Import into level
30、-2 sub-domain12、设置BGP路由的本地优先级Huawei-route-policyapply local-preference ? INTEGER Specify a local preference value13、设置路由MPLS标签 Huawei-route-policyapply mpls-label14、设置BGP路由的Origin属性Huawei-route-policyapply origin ? egp Remote EGP #路由信息源为EGP 优先级中等 igp Local IGP # 优先级最高 incomplete Unknown heritage #未知
31、,优先级最低15、设置路由引入到OSPF的特定区域Huawei-route-policyapply ospf ? backbone Import into OSPF backbone area #骨干区域 stub-area Import into OSPF NSSA area# stub区域16、设置路由协议的优先级Huawei-route-policyapply preference ? INTEGER Give the Preference Value (Route Preference)17设置BGP路由的首选值:apply preferred-value preferred-valu
32、eHuawei-route-policyapply preferred-value ? INTEGER Specify BGP Preferred-value(weight) value for routing table18、设置路由的标记域:apply tag tagHuawei-route-policyapply tag ? INTEGER Tag value4、配置路由策略生效时间 为了保障网络的稳定性,修改路由策略时需要控制路由策略的生效时间。具体配置1、设置路由策略应用延迟时间(缺省为路由策略变化后,RM将立即通知协议应用新策略)Huaweiroute-policy-change
33、notify-delay ? INTEGER Specify delay time(in second) of route policy change notify2、配置BGP协议立即应用新策略refresh bgp all ? export Trigger outbound soft reconfiguration #触发出方向软复位 import Trigger inbound soft reconfiguration#如果配置策略命令后,需要立即看到策略过滤的效果。可以通过执行这个命令,配置BGP协议立即应用新策略。受该定时器影响的相关的策略有访问控制列表、地址前缀列表、AS路径过滤器
34、、团体属性过滤器、扩展团体属性过滤器、RD属性过滤器和Route-Policy。四、策略路由配置 通过配置策略路由,可以用于提高网络的安全性能和负载分担。 策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制。 策略路由与路由策略(Routing Policy)存在以下不同: 策略路由的操作对象是数据包。 在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。 路由策略的操作对象是路由信息。 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 传统的
35、路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。 策略路由具有如下优点: 可以根据用户实际需求制定策略进行路由选择,增强路由选择的灵活性和可控性。 可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。 在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务的成本。五、配置策略路由 配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。 通过配置重定向,设备将符合流分类规则的报文重定向到指定的下一跳地址。 包含重定向动作的流策略只能在全局、接口或
36、VLAN的入方向上应用。 华为AR系列支持三种策略路由:1、本地策略路由 本地策略路由是指仅对本地发送的报文有效的策略路由,对转发的报文不起作用。 一条本地策略路由可以配置多个策略点,并且这些策略的具有不同的优先级,本机发送的报文优先匹配优先级高的策略点。 本地策略路由支持acl或报文长度匹配规则。 本地路由策略会根据本地策略路由节点的优先级依次匹配各个节点绑定的匹配规则发送报文,如果没有找到本地策略路由节点,则按照IP报文的一般流程根据目的地址查找路由。 本地策略路由节点优先级顺序为(高到低):报文优先级-出接口-下一跳-缺省出接口。2、接口策略路由 仅对转发的报文生效,对本地发送的报文不起
37、作用,且只对接口入方向的报文生效。 接口策略路由是通过在流行为中配置重定向实现的。3、智能策略路由(SPR) 此功能需要购买华为license授权。 智能策略路由是基于业务需求的策略路由,通过匹配链路质量和网络业务对链路质量的需求,实现智能选路。产生背景 智能策略路由SPR(Smart Policy Routing)可以主动探测链路质量并匹配业务的需求,从而选择一条最优链路转发业务数据,可以有效的避免网络黑洞、网络震荡等问题。1、业务区分 SPR支持通过以下属性对业务进行区分: 根据协议类型区分:IP,TCP,UDP,GRE,IGMP,IPINIP,OSPF,ICMP。 根据报文应用区分:DS
38、CP,TOS,IP Precedence,Fragment,VPN,TCP-flag。 根据报文信息区分:Source IP Address,Destination IP Address,Protocol,Source Port,Destination Port,Source IP Prefix,Destination IP Prefix。 不同的业务对链路的时延D(Delay)、抖动时间J(Jitter)、丢包率L(Loss)以及综合度量指标CMI(Composite Measure Indicator)有不同的要求,如果业务对链路的某一项质量参数没有要求,就不需要配置该参数的阈值。 2、探
39、测链路和链路组 探测链路是SPR实现智能选路的基础,每个探测链路都有一个与之相对应的探针,即NQA(Network Quality Analysis)测试例。如果测试失败,则表示对应的探测链路不可用。探测链路通过探针获取链路参数的质量,SPR根据探测链路的链路质量匹配业务需求,从而实现智能选路的需求。 SPR不直接使用探测链路,而是通过链路组的形式使用探测链路。一个探测链路可以加入不同的链路组,同时一个链路组中可以有一条或多条探测链路。 SPR的链路角色分为:主用链路组、备用链路组和逃生链路。SPR中业务无法从主用链路组和备用链路组中找到合适的链路传输数据时可以启用逃生链路。 同一个链路组可以
40、被不同的业务绑定,如链路组1可以作为业务1的主用链路组,同时也可以作为业务2的备用链路组。3、业务选路 SPR根据NQA探测结果进行业务选路。 在业务选路时,如果当前链路上已经部属了业务,则该链路的选择指数将降低,即选择的机率变小,这样宏观上可以达到负载均衡的效果。4、切换周期 SPR中切换周期计时器主要用于链路质量不满足业务需求时控制链路切换。 SPR根据NQA探测结果判断链路是否满足业务需求,SPR会定期获取NQA的探测结果,如果某次获取的NQA探测结果不满足业务需求,则切换周期计时器开始计时。 在开始计时后切换周期到达之前,如果某次获取的探测结果满足了业务需求,则切换周期计时器清零,直到
41、下次获取到不满足业务需求的探测结果时会再次开始计时。如果计时器开始计时后,在切换周期内获取到的探测结果都不能满足业务需求,则SPR切换链路。5、振荡抑制周期 某些情况下,网络会出现时好时坏的情况,从而导致SPR频繁切换链路,严重影响业务体验。SPR的抑制振荡功能可以有效的避免此类情况产生。 振荡抑制周期默认情况下不生效,周期值由用户自己配置。 SPR切换链路后,振荡抑制周期计时器开始计时,如果业务驻留链路的时间没有达到振荡抑制周期的时间,则SPR不会执行链路切换。振荡抑制周期超时后,如果在一个切换周期内链路还是不满足业务需求,则SPR将切换链路;如果在一个切换周期内链路质量变好,满足业务需求,
42、则SPR不会切换链路。4、具体配置1、本地策略路由具体配置1、创建策略路由和策略点Huaweipolicy-based-route 1 deny node 12、设置本地策略匹配规则Huawei-policy-based-route-1-1if-match ? acl Access control list #根据IP报文中的acl匹配 packet-length Match packet length #根据IP报文长度匹配-Huawei-policy-based-route-1-1if-match packet-length ? INTEGER Minimum packet length #最短报文长度
