下载文档原格式
贵州电子信息职业技术学院
6.6 策略路由配置
1. 策略路由的概念
●策略路由是一种入站机制,用于入站的IP数据包。
●通过使用策略路由,能够根据数据包的源地址、目的地址、源端口、目的端口和协议类型让
报文选择不同的路径。
●符合策略路由的IP数据包将按照策略中定义的操作进行处理,而不符合策略路由的IP数据
包将按照通常的路由表进行路由转发。
2. 策略路由的配置
策略路由的配置步骤如下:
(1)定义路由策略图,一个路由策略图可以由多条策略组成,策略按序号大小排列,只要符合前面的策略,就退出路由策略图。
每条路由策略可以采用permit或deny操作。
(2)定义路由策略图中每条策略匹配的数据流量,数据流量可通过ACL定义。
(3)对每条策略匹配的数据流量设定其转发的操作,如set ip next-hop、set interface、set ip default next-hop、set default interface设定其下一跳。
set ip next-hop、set interface 是忽略路由表查找而直接进行转发到下一跳或从本地接口转发,优先级高于路由表,而set ip default next-hop、set default interface是在路由表查找路径失败情况下而进行转发到下一跳或从本地接口转发,优先级低于路由表。
同时可以设置多个下一跳next-hop。
(4)在指定接口上应用路由策略图。
接入
接入。
1. 70BFD配置1. 70.1理解BFD1. 70.1.1BFD概述BFD(Bidirectional Forwarding Detection,双向转发检测)协议提供一种轻负载、快速检测两台邻接路由器之间转发路径连通状态的方法。
协议邻居通过该方式可以快速检测到转发路径的连通故障,加快启用备份转发路径,提升现有网络性能。
2. 70.1.2BFD报文格式BFD报文有两种类型分别是控制报文和回声报文。
其中回声报文只有BFD 会话本端系统关心远端不关心,因此协议没有规定其具体格式。
协议只规定了控制报文的格式,目前控制报文格式有两个版本(版本0和版本1),BFD 会话建立缺省采用版本1,但如果收到对端系统发送的是版本0的报文,将自动切换到版本0来建立会话,可以通过show bfd neighbors命令察看采用的版本。
版本1的格式如图表1:1. 图1.BFD控制报文格式●Vers:BFD协议版本号,目前为1●Diags:给出本地最后一次从UP状态转到其他状态的原因,包括:0—没有诊断信息1—控制超时检测2—回声功能失效3—邻居通告会话Down4—转发面复位5—通道失效6—连接通道失效7—管理Down●Sta:BFD本地状态,取值为:0代表AdminDown,1代表Down,2代表Init,3代表Up;●P:参数发生改变时,发送方在BFD报文中置该标志,接收方必须立即响应该报文●F:响应P标志置位的回应报文中必须将F标志置位●C:转发/控制分离标志,一旦置位,控制平面的变化不影响BFD检测,如:控制平面为OSPF,当OSPF重启/GR时,BFD可以继续检测链路状态●A:认证标识,置位代表会话需要进行验证●D:查询请求,置位代表发送方期望采用查询模式对链路进行检测●M:用于将来应用点到多点时使用,目前必须设置0●Detect Mult:检测超时倍数,用于检测方计算检测超时时间●Length:报文长度●My Discreaminator:BFD会话连接本端标识符●Your Discreaminator:BFD会话连接远端标识符●Desired Min Tx Interval:本地支持的最小BFD报文发送间隔●Required Min RX Interval:本地支持的最小BFD报文接收间隔●Required Min Echo RX Interval:本地支持的最小Echo报文接收间隔(如果本地不支持Echo功能,则设置0)●Auth Type:认证类型(可选),目前协议提供有:Simple PasswordKeyed MD5Meticulous Keyed MD5Keyed SHA1Meticulous Keyed SHA1●Auth Length:认证数据长度●Authentication Data:认证数据区RGOS从10.3(4b3)版本开始,支持版本1和版本0的报文格式,缺省情况下会话发送报文采用版本1,如果收到对端发送的版本0的报文,将自动切换到版本0来建立会话3. 70.1.3BFD工作原理BFD 提供的检测机制与所应用的接口介质类型、封装格式、以及关联的上层协议如OSPF、BGP、RIP等无关。
策略路由配置与BFD38.1理解策略路由38.1.1策略路由概述策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。
策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵活地进行路由选择。
现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。
IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行转发。
一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普通路由进行转发。
用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。
用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。
用户可以同时配置多个下一跳信息。
策略路由可以分为两种类型:一、对接口收到的IP报文进行策略路由。
该类型的策略路由只会对从接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;二、对本设备发出的IP报文进行策略路由。
H3C交换机路由器配置OSPF与BFD联动1. 组网需求·Switch A、Switch B和Switch C上运行OSPF,网络层相互可达。
·当Switch A和Switch B通过L2 Switch通信的链路出现故障时BFD能够快速感知通告OSPF协议,并且切换到Switch C进行通信。
2. 组网图图1-16 OSPF与BFD联动配置组网图3. 配置步骤(1) 配置各接口的IP地址(略)(2) 配置OSPF基本功能# 配置Switch A。
<SwitchA> system-view[SwitchA] ospf[SwitchA-ospf-1] area 0[SwitchA-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 [SwitchA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 [SwitchA-ospf-1-area-0.0.0.0] network 121.1.1.0 0.0.0.255 [SwitchA-ospf-1-area-0.0.0.0] quit[SwitchA-ospf-1] quit[SwitchA] interface vlan 11[SwitchA-Vlan-interface11] ospf cost 2[SwitchA-Vlan-interface11] quit# 配置Switch B。
<SwitchB> system-view[SwitchB] ospf[SwitchB-ospf-1] area 0[SwitchB-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 [SwitchB-ospf-1-area-0.0.0.0] network 13.1.1.0 0.0.0.255 [SwitchB-ospf-1-area-0.0.0.0] network 120.1.1.0 0.0.0.255 [SwitchB-ospf-1-area-0.0.0.0] quit[SwitchB-ospf-1] quit[SwitchB] interface vlan-interface 13[SwitchB-Vlan-interface13] ospf cost 2[SwitchA-Vlan-interface13] quit# 配置Switch C。
《路由器配置》课件一、教学内容本节课的教学内容来自于信息技术课程的第七章,主题为“网络设备的配置与应用”。
具体内容包括:路由器的硬件组成、路由器的工作原理、路由器的配置方法以及路由器的应用场景。
二、教学目标1. 让学生了解路由器的硬件组成和工作原理,理解路由器在网络中的作用。
2. 培养学生掌握路由器的基本配置方法,能够根据实际需求进行路由器的配置。
3. 培养学生能够运用路由器解决实际问题,提高学生的信息技术应用能力。
三、教学难点与重点重点:路由器的硬件组成、工作原理、基本配置方法。
难点:路由器的高级配置、实际应用场景的解决。
四、教具与学具准备教具:多媒体教学设备、路由器、网线。
学具:笔记本电脑、网线、路由器说明书。
五、教学过程1. 实践情景引入:让学生观察周围网络环境,找出路由器,并简要介绍路由器的作用。
2. 知识点讲解:介绍路由器的硬件组成、工作原理以及基本配置方法。
3. 例题讲解:以一个简单的网络环境为例,演示如何使用路由器进行网络配置。
4. 随堂练习:让学生根据所学内容,自行设计一个网络环境,进行路由器的配置。
六、板书设计板书内容:路由器的硬件组成、工作原理、基本配置方法。
七、作业设计1. 作业题目:请根据所学内容,设计一个简单的网络环境,进行路由器的配置,并将配置过程写成实验报告。
2. 答案:学生作业答案应包括路由器的硬件组成、工作原理、配置方法以及实际应用场景的解决。
八、课后反思及拓展延伸课后反思:本节课学生对路由器的硬件组成、工作原理和基本配置方法有了初步的了解,但在实际应用场景的解决上仍需加强。
拓展延伸:下一节课将引导学生运用路由器解决实际问题,提高学生的信息技术应用能力。
重点和难点解析一、教学内容本节课的教学内容主要包括路由器的硬件组成、工作原理、基本配置方法以及实际应用场景。
这些内容是学生掌握网络设备配置与应用的基础,对于理解网络结构和提高信息技术应用能力具有重要意义。
二、教学目标1. 让学生了解并掌握路由器的硬件组成和工作原理,理解路由器在网络中的作用。
bfd协议原理与配置BFD(Bidirectional Forwarding Detection)协议是一种用于快速检测网络链路故障的协议。
它可以在网络设备之间进行双向检测,实时监测链路的可用性,从而快速发现和通知故障,以便进行快速的链路切换和故障恢复。
本文将介绍BFD协议的原理和配置方法。
一、BFD协议的原理BFD协议的原理是通过发送和接收连续的探测报文来检测链路的可用性。
BFD探测报文由源设备发送到目的设备,目的设备收到报文后会立即响应。
如果源设备在一定的时间内没有收到目的设备的响应,就会认为链路发生了故障。
BFD协议的原理基于以下几个关键点:1. 快速检测:BFD协议可以在毫秒级的时间内检测到链路故障,相比传统的路由协议,具有更高的检测速度和精度。
2. 低资源消耗:BFD协议在网络设备上的资源消耗非常低,可以在大规模网络中广泛应用。
3. 支持多种链路类型:BFD协议支持多种链路类型,包括以太网、MPLS和SONET等,适用于不同类型的网络环境。
4. 简单灵活的配置:BFD协议的配置相对简单灵活,可以根据实际需求进行配置和调整。
二、BFD协议的配置BFD协议的配置主要包括以下几个步骤:1. 配置BFD会话:首先需要在源设备和目的设备上配置BFD会话。
BFD会话定义了源设备和目的设备之间的链路,并指定了BFD探测报文的发送和接收参数。
配置BFD会话时需要指定链路的类型、检测间隔和探测报文的发送和接收端口等参数。
2. 启动BFD会话:配置完成后,需要在源设备和目的设备上启动BFD会话。
启动BFD会话后,源设备会开始发送BFD探测报文,目的设备收到报文后会进行响应。
如果在一定的时间内没有收到响应,源设备就会认为链路故障,并触发相应的故障处理机制。
3. 监控BFD会话状态:在BFD会话运行过程中,可以通过监控BFD会话状态来了解链路的可用性。
BFD会话状态通常包括Up (链路正常)、Down(链路故障)和AdminDown(会话被管理员禁用)等几种状态。
策略路由配置与BFD38.1 理解策略路由38.1.1 策略路由概述策略路由 ( PBR :Policy-Based Routing )提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。
策略路由可以根据IP/IPv6 报文源地址、目的地址、端口、报文长度等内容灵活地进行路由选择。
现有用户网络,常常会出现使用到多个ISP ( Internet Server Provider ,Internet 服务提供商)资源的情形,不同ISP 申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP 资源的充分利用,又能够很好的满足这种灵活、多样的应用。
IP/IPv6 策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行转发。
一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6 报文依据定义的策略转发;即数据报文先按照IP/IPv6 策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普通路由进行转发。
用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6 报文则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。
用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。
用户可以同时配置多个下一跳信息。
策略路由可以分为两种类型:一、对接口收到的IP 报文进行策略路由。
该类型的策略路由只会对从接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;二、对本设备发出的IP 报文进行策略路由。
该类型策略路由用于控制本机发往其它设备的IP 报文,对于外部设备发送给本机的IP 报文则不受该策略路由控制。
38.1.2 策略路由基本概念/特性38.1.2.1 策略路由应用过程应用策略路由,必须先创建路由图,然后在接口上应用该路由图。
一个路由图由很多条策略组成,每条策略都有对应的序号( Sequence ),序号越小,该条策略的优先级越高。
每条策略又由一条或者多条match 语句以及对应的一条或者多条set 语句组成。
match 语句定义了IP/IPv6 报文的匹配规则,set 语句定义了对符合匹配规则的IP/IPv6 报文处理动作。
在策略路由转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,然后退出策略路由的执行。
IP 策略路由使用IP 标准或者扩展ACL 作为IP 报文的匹配规则,IPv6 策略路由使用IPv6 扩展ACL 作为IPv6 报文的匹配规则。
IPv6 策略路由对于同一条策略最多只能配置一个match ipv6 address 。
38.1.2.2 路由图策略匹配模式在配置路由图时,可以指定每一条策略的匹配模式为permit 或者deny ,其意义如下:permit :指定该策略的匹配模式为允许模式,即当报文满足该策略的match 规则时,会对该IP/IPv6 报文应用相应的set 规则;如报文不满足策略的所有match 规则,报文将会使用该路由图的下一条策略进行匹配。
deny :指定该策略的匹配模式为拒绝模式,即当报文满足该节点的所有match 语句时,不对该IP/IPv6 报文执行策略转发而是执行普通的路由转发。
IP/IPv6 报文按照路由图中每一条策略的优先级由高到低依次进行匹配,只要匹配了前面的策略就执行相应的动作并退出策略转发流程;如果IP/IPv6 报文不能匹配路由图中的任何策略,那么将会对IP/IPv6 报文执行普通的路由转发。
38.1.2.3 下一跳规则概念当前策略路由提供了set {ip | ipv6} next-hop 、set {ip | ipv6} default next-hop 两条转发规则。
后面两条为设置缺省下一跳和出接口。
这两条规则的意义如下:set {ip | ipv6} next-hop :配置策略路由下一跳IP/IPv6 地址,优先级比普通路由高,从接口上收到的匹配match 规则的IP/IPv6 报文将优先转发到set {ip | ipv6} next-hop 所指定的下一跳,而不管该IP/IPv6 报文在路由表中的实际选路结果和策略路由指定的下一跳是否一致。
set {ip | ipv6} default next-hop :该命令指定的策略路由的优先级比普通路由的低,但是比默认路由高。
从接口上收到的匹配match 规则的IP/IPv6 报文,如果该报文在路由表中选路失败或者选到默认路由,那么IP/IPv6 报文将转发到该命令指定的下一跳。
上述前两条规则指定的下一跳必须是直连的,否则不会生效;如果下一跳不是直连的,策略路由的效果相当于没有配置该命令。
上述两条命令的优先级顺序为:set {ip | ipv6} next-hop > 网络路由/主机路由> set {ip | ipv6} default next-hop > 缺省路由。
这两条命令能够支持同时配置,但只有高优先级的生效。
38.1.2.4 策略路由下一跳负载均衡模式一个路由图Sequence 中能够配置多个下一跳,多个下一跳之间能够实现两种负载均衡模式:冗余备份模式,支持优先生效,失效接管的模式,多个下一跳之间同一时刻只有一个下一跳生效。
前面的下一跳R1失效会自动切换到下一个下一跳R2,当R1重新恢复生效时,会再自动再切换回R1 ;当存在多个下一跳,如R1/R2/R3等,删除R1再添加R1时,会在后面添加,如R2/R3/R1,次之的R2生效。
负载均衡模式,多个下一跳之间基于流进行负载分担。
下一跳为出接口形式,对这个功能不支持。
1、锐捷产品上一个接口最多只能配置一个路由图,在同一个接口上多次配置路由图会相互覆盖,即后配置的生效。
2、策略路由子路由图(route-map sequenee) 中最多只能配置一个IPV6 ACL。
3、如果配置的子路由图中只有next-hop而没有配置ACL,则等价于所有报文都匹配;如果子路由图中只有ACL而没有next-hop贝愜配的报文普通转发;如果子路由图中即没有ACL也没有next-hop,则等价所有报文普通转发。
4、策略路由如果配置了ACL,但是该ACL不存在,等价所有报文都匹配;如果配置了ACL,但是其中没有任何ACE,相当于匹配到了驱动添加的deny any条目,不会从下一个子路由图的ACL开始匹配;5、交换机上,ACE的deny选项行为,执行普通转发;并且为了满足策略路由的匹配顺序,deny any any 行为是跳到下个IPV6 ACL开始匹配。
6、交换机上,配置了PBR功能,会对发往本机的报文同时生效,如果用户希望发往本机的IP/IPV6报文不使用策略路由,则用户需要在P BR规则中在IP/IPV6 ACL前面手工添加“ deny设备IP/IPv6地址"的ACE。
7、工作在冗余备份模式下时,匹配路由子图的策略规则的IP报文转发到该路由子图中第一个解析的下一跳;如果所有的下一跳都未解析,则匹配策略规则的IP报文被丢弃;如果第一个下一跳原先未解析后来解析了,则匹配策略规则IP报文的转发将切换到第一个下一跳。
PBR与BFD联动功能请参见锐捷《BFD配置》,《配置BFD命令》38.1.3策略路由使用BFD功能策略路由与BFD联动,可以避免在配置的策略路由不可达的情况下,路由选路不会选择该策略路由作为转发路径。
如果存在备份路由转发路径,将可以快速地切换到该备份转发路径。
38.1.4工作原理策略路由,首先需要定义一个路由图,用于指定报文转发到哪儿去的策略;路由图是一组语句组成,可以定义为"Permit ”和"Deny ”行为;其次,使用set语句控制报文转发行为。
报文转发控制是通过在PBR路由图中定义一组set语句实现;依序使用每一个set语句进行报文转发;每一个语句都不会参考前面或者后面的语句。
最后,需要将待用PBR设置在报文的是入口。
如果设置在出口,则PBR不生效,按普通路由转发。
38.2 缺省配置F38.3 配置策略路由以下章节描述配置IP/IPV6 PBR的功能基本过程:< href="Cap1.htm#_ 配置项1" target="b"> (必选)配置IP 策略路由< href="Cap1.htm#_ 配置IPV6接口策略路由_1" target="b"> (必选)配置IPV6策略路由< href="Cap1.htm#_ 设备本地应用策略路由"target="b"> (可选)配置设备负载均衡模式< href="Cap1.htm#_ 配置项2" target="b"> (可选)查看配置和状态显示38.3.1配置IPv4策略路由应用策略路由,必须要指定策略路由使用的路由图,并且要创建该路由图。
一个路由图由很多条策略组成,每条策略都有对应的序号(Sequenee ),序号越小,该条策略的优先级越高。
每条策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。
match语句定义了IP报文的匹配规则,set语句定义了对符合匹配规则的IP报文处理动作。
在策略路由转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,然后退出策略路由的执行。
策略路由提供了两种类型的match语句,分别是match len和match ip address ,matchlength以IP报文的长度作为匹配的标准,match ip address 以ACL作为IP报文匹配的标准。
对于同一条策略,只能配置一个match len ,但是可以配置多个match ip address 。
如果在同一条策略中既指定match length 又指定match ip address ,那么只有同时满足两个匹配规则的IP报文才会执行该策略中set规则指定的动作。
