策略路由配置

基本的路由策略配置在网络通信中，路由是指在不同网络之间传递数据包的过程。

路由策略配置是指根据特定的需求和条件，对路由器进行配置，以实现数据包的正确转发和传输。

本文将介绍基本的路由策略配置方法和相关概念，帮助读者了解如何正确配置路由器。

一、静态路由配置静态路由是指通过手动配置路由表的方式，将特定的目的网络与下一跳路由器的接口相关联。

静态路由配置的优点是简单、稳定，适用于小型网络或特定的网络拓扑结构。

在配置静态路由时，需要指定目的网络的IP地址和子网掩码，以及下一跳路由器的接口。

通过静态路由配置，路由器将根据路由表中的信息，将数据包转发到正确的目的网络。

静态路由配置的命令格式通常为“IP route 目的网络子网掩码下一跳路由器接口”。

二、动态路由配置相对于静态路由，动态路由是通过协议自动学习和更新路由表的一种方式。

动态路由配置的优点是灵活、自动化，适用于大型网络或需要频繁变动的网络拓扑结构。

常见的动态路由协议有RIP、OSPF和BGP等。

在配置动态路由时，需要选择合适的协议，并进行相应的配置。

动态路由配置的命令格式通常为“router protocol”和“network 目的网络子网掩码”。

三、路由策略配置在实际网络中，可能会遇到需要根据不同的条件和需求来选择路由的情况，这就需要进行路由策略配置。

路由策略配置可以根据源IP 地址、目的IP地址、协议类型、端口号等条件，对路由进行选择和控制，以实现特定的网络流量控制和优化。

路由策略配置可以通过访问控制列表（ACL）和路由映射等方式实现。

通过ACL，可以根据条件对数据包进行匹配和过滤，然后根据匹配结果选择合适的路由。

路由映射可以实现对路由的优先级和权重的调整，以达到流量控制和负载均衡的目的。

四、默认路由配置默认路由是指当路由表中没有与目的网络匹配的路由项时，将数据包转发到默认路由器的接口。

默认路由配置可以实现将所有未知目的网络的数据包转发到指定的下一跳路由器，从而达到连接不同网络的目的。

38策略路由配置38.1理解策略路由38.1.1策略路由概述策略路由（PBR：Policy-Based Routing）提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。

策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵活地进行路由选择。

现有用户网络，常常会出现使用到多个ISP（Internet Server Provider，Internet服务提供商）资源的情形，不同ISP申请到的带宽不一；同时，同一用户环境中需要对重点用户资源保证等目的，对这部分用户不能够再依据普通路由表进行转发，需要有选择的进行数据报文的转发控制，因此，策略路由技术即能够保证ISP资源的充分利用，又能够很好的满足这种灵活、多样的应用。

IP/IPv6策略路由只会对接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照普通的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行转发。

一般情况下，策略路由的优先级高于普通路由，能够对IP/IPv6报文依据定义的策略转发；即数据报文先按照IP/IPv6策略路由进行转发，如果没有匹配任意一个的策略路由条件，那么再按照普通路由进行转发。

用户也可以配置策略路由的优先级比普通路由低，接口上收到的IP/IPv6报文则先进行普通路由的转发，如果无法匹配普通路由，再进行策略路由转发。

用户可以根据实际情况配置设备转发模式，如选择负载均衡或者冗余备份模式，前者设置的多个下一跳会进行负载均衡，还可以设定负载分担的比重；后者是应用多个下一跳处于冗余模式，即前面优先生效，只有前面的下一跳无效时，后面次优的下一跳才会生效。

用户可以同时配置多个下一跳信息。

策略路由可以分为两种类型：一、对接口收到的IP报文进行策略路由。

该类型的策略路由只会对从接口接收的报文进行策略路由，而对于从该接口转发出去的报文不受策略路由的控制；二、对本设备发出的IP报文进行策略路由。

路由器策略路由设置功能简介：策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。

应用了策略路由，设备将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发设备。

一、组网需求：1、让内网的PC1访问222.222.222.0/24的地址，使用F0/1的线路2、PC2一直使用F0/2的线路3、其他电脑不限制二、组网拓扑：三、配置要点：1、配置策略路由前，保证网络使用正常2、策略路由的优先级高于普通路由，策略路由按序号从小到大顺序执行3、如果策略路由失效或没有匹配到策略路由，则设备会执行普通路由转发4、策略路由配置包括：匹配数据流（ACL）和执行策略（SET）四、配置步骤：注意：配置之前建议使用Ruijie#show ip interface brief 查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆)等等，以下配置以百兆接口为例。

步骤一、全局下定义触发策略路由的ACL规则Ruijie>enableRuijie#configure terminalRuijie(config)#access-list 100 permit host 192.168.1.2 222.222.222.0 0.0.0.255 ----->匹配源地址是192.168.1.2 ，目的地址是222.222.222.0/24的数据流Ruijie(config)#access-list 110 permit host 192.168.1.3 any ----->匹配源地址是192.168.1.3，目的地址是所有的数据流步骤二、定义策略路由图Ruijie(config)#route-map ruijie permit 10 ----->配置策略路由ruijie和序号为10Ruijie(config-route-map)#match ip address 100 ----->匹配列表100Ruijie(config-route-map)#set ip next-hop 218.30.14.1 ----->转发给218.30.14.1，或使用set interface f0/1Ruijie(config-route-map)#exitRuijie(config)#route-map ruijie permit 20 ----->配置同一个策略路由图ruijie，序号20Ruijie(config-route-map)#match ip address 110 ----->匹配列表110Ruijie(config-route-map)#set ip next-hop 120.98.10.1 ----->转发给120.98.10.1，或使用set interface f0/2Ruijie(config-route-map)#exit步骤三、在内网口上调用Ruijie(config)#interface fastEthernet 0/0Ruijie(config-if-FastEthernet 0/0)#ip policy route-map ruijie ----->接口上调用策略路由ruijie步骤四、保存配置Ruijie(config-if-FastEthernet 0/0)#endRuijie#write ------> 确认配置正确，保存配置五、验证命令：路由器Ruijie#show route-map ----->查看策略路由配置route-map ruijie, permit, sequence 10Match clauses:ip address 100Set clauses:ip next-hop 218.30.14.1route-map ruijie, permit, sequence 20Match clauses:ip address 110Set clauses:ip next-hop 120.98.10.1电脑上使用tracert测试“开始”-----“运行”----敲入cmdC:\Users\admin>tracert 222.222.222.2221 1 ms 1 ms 1 ms 192.168.1.1 ----->第一跳内网网关2 1 ms 1 ms 2 ms 218.30.14.1 ----->选择外网出口218.30.14.1的线路省略~~~跟踪完成。

策略路由配置详解
一、策略路由的概念
策略路由是一种网络路由管理方法，它的基本思想是建立一组用来定
义所有网络流量及其传输路径的策略，并利用这组策略实现路由负载均衡，从而提高网络性能。

二、策略路由配置的要素
1.路由器
路由器是策略路由的基础，配置正确的路由器是策略路由正常运行的
关键，一般需要设置路由协议和路由策略。

2.协议
协议是指路由器交换机之间的连接，当路由器与交换机之间的连接类
型是协议时，策略路由就可以在此基础上正确工作，用户可以根据自身需
要选择合适的协议进行配置。

3.连接
连接是指策略路由需要通过路由器或交换机保持的一种物理连接，它
是策略路由的基础，因此必须正确配置路由器和交换机之间的连接，才能
确保策略路由的正常运行。

4.地址
地址是指在策略路由系统中所有设备的IP地址，这些地址是策略路
由网络中所有设备的唯一标识符，必须正确设置，才能使策略路由能够真
正发挥出效用。

5.策略
策略是指在策略路由系统中，路由器或交换机根据其中一种规则选择最佳路由策略，从而实现合理分配网络流量，提高网络性能。

华为交换机策略路由配置--产品实现华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口，匹配成功后将从指定接口发出去。

接口不是能以太网等广播类型接口（改为P2P即可），因为多个下一跳可能导致报文转发不成功。

3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳，仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)（关键）flash Set packet precedence to flash(3)（闪速）flash-override Set packet precedence to flash override(4)（疾速）immediate Set packet precedence to immediate(2)（快速）internet Set packet precedence to Internet control(6)（网间）network Set packet precedence to network control(7)（网内）priority Set packet precedence to priority(1)（优先）routine Set packet precedence to routine(0)（普通）3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由（可以创建多条）2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to match dlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。

标准ACL配置如何只允许端口下的用户只能访问特定的服务器网段？步骤一：定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list standard 1 ----定义标准ACL S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255----允许访问服务器资源S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源S5750(config-std-nacl)#exit ----退出标准ACL配置模式步骤二：将ACL应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向扩展ACL配置如何禁止用户访问单个网页服务器？步骤一：定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list extended 100 ----创建扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www----禁止访问web服务器S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源S5750(config-ext-nacl)#exit ----退出ACL配置模式步骤二：将ACL应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下单向ACL的配置如何实现主机A可以访问主机B的FTP资源，但主机B无法访问主机A的FTP资源？？步骤一：定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list extended 100 ----定义扩展ACL S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn----禁止主动向A主机发起TCP连接S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式步骤二：将ACL应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入连接B主机的端口S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下S5750(config-if)#end ----退回特权模式S5750#wr ----保存注释：单向ACL只能对应于TCP协议，使用PING无法对该功能进行检测。

华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示，公司用户通过Switch双归属到外部网络设备。

其中，一条是低速链路，网关为10.1.20.1/24；另外一条是高速链路，网关为10.1.30.1/24。

公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路1、创建VLAN并配置各接口，实现公司和外部网络设备互连。

2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。

3、配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。

4、配置流行为，使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。

5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。

3、操作步骤3.1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk，并加入VLAN100和VLAN200。

[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type trunk[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type trunk[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 2/0/1[Switch-GigabitEthernet2/0/1] port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。