策略路由

一、路由策略 1、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，通过改变路由属性来改变网络流量所经过的路径。实现控制路由的发布、控制路由的接收、过滤和控制引入的路由、设置特定路由的属性。 实施路由策略步骤： 定义规则 应用规则 2、过滤器 访问控制列表ACL 地址前缀列表 route-policy 3、route-policy route-policy是一种功能强大的策略列表，route-policy 自上而下进行匹配策略，一旦匹配就离开route-policy。通常用于过滤路由，策略路由和BGP路由策略。 route-policy基本配置 // 创建route-policy route-policy route-policy-name { permit | deny } node node-number // 匹配条件 if-match acl acl-number // 应用规则 apply ip-address next-hop ip-address 二、策略路由 策略路由PBR是一种依据用户制定的策略进行路由选择的机制。通过策略实现为不同的数据包选择不同的路径。 策略路由具有如下优点： 可以根据用户实际需求制定策略进行路由选择，增强路由选择的灵活性和可控性。 可以使不同的数据流通过不同的链路进行发送，提高链路的利用效率。 在满足业务服务质量的前提下

1、首先要使用动态协议让内网互通。可以用OSPF或者RIP协议。 2、在R1上配置到外网的浮动默认路由和静态路由，主路由走R3. ip route 0.0.0.0 0.0.0.0 193.1.1.2 ip route 0.0.0.0 0.0.0.0 202.1.1.2 100 ip route 193.1.2.0 255.255.255.0 193.1.1.2 ip route 202.1.2.0 255.255.255.0 202.1.1.2 3、在R1上配置PBR路由策略, 要求 192.168.0.0/24 与 192.168.1.0/24 走 R3 ， 192.168.3.0/24 与 192.168.4.0/24 走 R4 4、配置ACL： access-list 1 permit 192.168.0.0 0.0.0.255 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 2 permit 192.168.3.0 0.0.0.255 access-list 2 permit 192.168.4.0 0.0.0.255 5、配置route-map route-map xpl permit 10 match ip address 1 set ip next-hop 193.1.1.2 route-map xpl

策略路由配置 #编辑rt_tables echo "192 net_192 " >> /etc/iproute2/rt_tables echo "196 net_196 " >> /etc/iproute2/rt_tables #清空net_192路由表 ip route flush table net_192 # 添加一个路由规则到 net_192 表，这条规则是 net_192 这个路由表中数据包默认使用源 IP 172.31.192.201 通过 ens4f0 走网关 172.31.192.254 ip route add default via 172.31.192.254 dev ens4f0 src 172.31.192.201 table net_192 #来自 172.31.192.201 的数据包，使用 net_192 路由表的路由规则 ip rule add from 172.31.192.201 table net_192 #清空net_196路由表 ip route flush table net_196 #添加一个路由规则到 net_196 表，这条规则是 net_196 这个路由表中数据包默认使用源 IP 172.31.196.1 通过 ens9f0 走网关 172.31.196.254 ip route add default via 172.31

在双线策略路由器情况下，早期的策略路由是通过标记一段地址走一条线路，如我们标记192.168.10.2-192.168.10.127走线路A，剩下的IP地址则走线路B，这样的策略路由在一定的情况下出现效率不高的问题，如当用户IP地址是顺序增加，但没有到127的时候。线路B就不会起到流量分配的作用。 为了解决这样的问题，我们通过RouterOS的address-list建立一个地址列表，分别将奇数和偶数的IP地址分开，即奇数的IP地址走线路A，而偶数的IP地址走线路B，这样的策略路由便提高了双线的使用效率。 操作步骤如下： 1、配置好网络的IP地址和路由； 2、在ip firewall address-list列表中建立奇数或者偶数地址列表； 3、进入ip firewall mangle通过src-address-list标记数据包； 4、在ip route中调用标记好的地址策略，配置路由。 步骤1：我们首先进入路由器配置IP地址，假设我们有两条线路，分别是A和B，A的IP地址是172.16.0.2，网关是172.16.0.1；B的IP地址是：10.200.15.20，网关是10.200.15.1。 在ip route中配置以线路A的网关172.16.0.1为默认路由： 步骤2：配置好IP地址和路由后，接下在ip firewall address-list中添加奇数的地址列表

目录 前言 流量匹配工具 ACL IP-Prefix List 路由策略 路由策略工具 Filter-Policy工具介绍 Route-Policy工具介绍 使用路由策略控制流量可达性 使用Route-Policy对引入的路由进行过滤 使用Filter-Policy对接收和发布的路由进行过滤 流量过滤 路由策略与策略路由的区别 前言 在企业网络的设备通信中，常面临一些非法流量访问的安全性及流量路径不优等问题，故为保证数据访问的安全性、提高链路带宽利用率，就需要对网络中的流量行为进行控制，如控制网络流量可达性、调整网络流量路径等。 流量匹配工具 ACL 访问控制列表ACL（Access Control List）是由permit或deny语句组成的一系列有顺序规则的集合，它通过匹配报文的信息实现对报文的分类。 ACL的分类： 基本ACL 主要基于源地址、分片标记和时间段信息对数据包进行分类定义，编号范围为2000-2999。 高级ACL 可以基于源地址、目的地址、源端口号、目的端口号、协议类型、优先级、时间段等信息对数据包进行更为细致的分类定义，编号范围为3000-3999。 二层ACL 主要基于源MAC地址、目的MAC地址和报文类型等信息对数据包进行分类定义，编号范围为4000-4999。 用户自定义ACL 主要根据用户自定义的规则对数据报文做出相应的处理，编号范围为5000

1.基础知识 1.1 路由 （Routing） 1.1.1 路由策略 （使用 ip rule 命令操作路由策略数据库） 基于策略的路由比传统路由在功能上更强大，使用更灵活，它使网络管理员不仅能够根据目的地址而且能够根据报文大小、应用或IP源地址等属性来选择转发路径。 ip rule 命令： Usage: ip rule [ list | add | del ] SELECTOR ACTION （add 添加；del 删除； llist 列表） SELECTOR := [ from PREFIX 数据包源地址] [ to PREFIX 数据包目的地址] [ tos TOS 服务类型][ dev STRING 物理接口] [ pref NUMBER ] [fwmark MARK iptables 标签] ACTION := [ table TABLE_ID 指定所使用的路由表] [ nat ADDRESS 网络地址转换][ prohibit 丢弃该表| reject 拒绝该包| unreachable 丢弃该包] [ flowid CLASSID ] TABLE_ID := [ local | main | default | new | NUMBER ] 例子： ip rule add from 192.203.80/24 table inr.ruhep prio 220 通过路由表

概念简述 1. 路由策略 ：路由策略是为了改变网络流量所经过的途径而修改路由信息的技术，主要通过改变路由属性（包括可达性）来实现。 操作对象：路由条目 2. 策略路由 ：策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由，路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。 操作对象：数据包 路由策略 使用相应的技术将路由条目分离、打标签、独立出来，然后针对路由条目做控制，做过滤，或者做条目属性的更改。路由重分发、分发列表是典型的路由策略。 重分布 注意： 1.所有的重分布都是在各协议的边界上进行相关配置 2.进行重分布的两个区域必须相邻。 RIP与EIRGP的重分布： R2(config)#router eigrp 100 //将RIP的路由条目重分布进EIGRP中，5K值如下所示 R2(config-router)#redistribute rip metric 10000 100 255 1 1500 R2(config-router)#exit R2(config)#router rip //将EIGRP的路由条目重分布进RIP中，并为其设置跳数 R2(config-router)#redistribute eigrp 100 metric 1 R2(config-router)#exit

扫描二维码关注微信公众号：网络民工 获取更多精彩内容 ​组网图形 图1 配置策略路由组网图 策略路由简介 传统的路由转发原理是首先根据报文的目的地址查找路由表，然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由PBR（Policy-Based Routing）就是一种依据用户制定的策略进行数据转发的机制。 在S系列交换机上，策略路由通过重定向实现，通过配置策略路由可以将到达接口的符合流分类规则的三层报文重定向到指定的下一跳地址。 在某些需要指定特定的数据流走特定的下一跳的场景下可以使用策略路由实现，例如使不同的数据流通过不同的链路进行发送，提高链路的利用效率；将数据流引流到防火墙等安全设备，进行安全过滤；在满足业务服务质量的前提下，选择费用较低的链路传输业务数据，从而降低企业数据服务的成本。 配置注意事项 · 如果设备上没有命中下一跳IP地址对应的ARP表项，设备会触发ARP学习，如果一直学习不到ARP，则报文按原始转发路径转发，重定向不生效。 · 如果通过redirectip-nexthop命令或redirect ipv6-nexthop命令配置多个下一跳时，设备按照主备方式对报文进行重定向转发。设备根据下一跳的配置顺序确定主备链路，配置在前面的下一跳IP地址优先级高

地址图中已经标明，这里不再写配置 一、bgp建立 [r1]bgp 1 [r1-bgp]router-id 1.1.1.1 [r1-bgp]peer 2.2.2.2 as 1 [r1-bgp]pe 2.2.2.2 con lo0 [r2]bgp 1 [r2-bgp]router-id 2.2.2.2 [r2-bgp]pe 1.1.1.1 as 1 [r2-bgp]pe 1.1.1.1 con lo0 [r2-bgp]pe 1.1.1.1 next-hop-local [r2-bgp]peer 23.1.1.2 as 2 //物理接口环回接口建邻均可 [r2-bgp]pe 23.1.1.2 ebgp-max-hop [r3]bgp 2 [r3-bgp]router-id 3.3.3.3 [r3-bgp]peer 23.1.1.1 as 1 [r3-bgp]peer 23.1.1.1 ebgp-max-hop 查看邻居的建立情况dis bgp peer(图示为r2) 在ASBR上重发布内部的路由条目 [r2-bgp]import-route ospf 1 [r3-bgp]network 10.1.1.0 24 [r3-bgp]network 10.1.2.0 24 [r3-bgp]network 10.1.3.0 24 [r3-bgp]network 3.3.3.0 24 测试r1

一. BGP简介 1. BGP概述 BGP（Border Gateway Protocol，边界网关协议）是一种用于AS（Autonomous System，自治系统）之间的动态路由协议。AS是拥有同一选路策略，在同一技术管理部门下运行的一组路由器。 早期发布的三个版本分别是BGP-1（RFC 1105）、BGP-2（RFC 1163）和BGP-3（RFC 1267），当前使用的版本是BGP-4（RFC 1771，已更新至RFC 4271）。BGP-4做为事实上的Internet外部路由协议标准，被广泛应用于ISP（Internet Service Provider，因特网服务提供商）之间。 BGP特性描述如下： BGP是一种外部网关协议（Exterior Gateway Protocol，EGP），与OSPF、RIP等内部网关协议（Interior Gateway Protocol，IGP）不同，其着眼点不在于发现和计算路由，而在于控制路由的传播和选择最佳路由。 BGP使用TCP作为其传输层协议（端口号179），提高了协议的可靠性。 BGP支持CIDR（Classless Inter-Domain Routing，无类别域间路由）。 路由更新时，BGP只发送更新的路由，大大减少了BGP传播路由所占用的带宽，适用于在Internet上传播大量的路由信息。