ROUTE-POLICY_策略路由规则详解

策略路由，路由策略

前⾔：在企业⽹络中，常⾯临⾮法流量访问及流量路径不优的问题，为了保护数据访问的安全性、提⾼链路带宽的利⽤率，需要对⽹络中的流量⾏为控制，如控制⽹络流量可达性，调整⽹络流量路径。

如何控制流量可达性？

⽅案⼀：对接收和发布的路由进⾏过滤来控制可达性，路由策略

⽅案⼆：使⽤Traffic-filter⼯具对数据进⾏过滤，流量过滤

　什么是路由策略?

通过⼀系列的⼯具或者⽅式对路由进⾏各种控制的策略，这个策略可以影响路由的产⽣，发布和选择等，进⽽影响报⽂的转发路径

在ip⽹络中，路由策略的⽤途主要有两个⽅⾯：对路由信息过滤和修改路由属性。

如图，如果使⽤流量过滤，使市场部的流量不能访问财务部。会有极⼤的局限性，若是在RTA上做traffic-filter，流量会经过RTC RTB再在RTA上被过滤极⼤的浪费链路带宽。若在RTC⼊⼝做traffic-filter，可能RTC不是由你进⾏管理的。⽽且流量过滤针对每⼀个报⽂进⾏过滤，极⼤的浪费设备性能，所以建议使⽤路由策略来进⾏对流量的可达性进⾏控制。

　路由策略使⽤的⼯具：

条件⼯具：把路由匹配出来，acl ip-prefix

策略⼯具：匹配抓取的路由，执⾏各种各样的策略。router-policy

调⽤⼯具：把策略应⽤到某个具体的协议中。 filter-policy　import-route

配置思路：配置filter-policy不让192.168.1.0路由发出给到AR1

[AR2-rip-1]filter-policy 2000 export -----对所有接⼝发出的路由做过滤

中兴路由器配置手册routepolicy

摘要：

I.引言

A.介绍中兴路由器配置手册

B.介绍routepolicy

II.中兴路由器配置手册概述

A.路由器概述

B.路由器配置流程

C.路由器配置举例

III.routepolicy 概述

A.什么是routepolicy

B.routepolicy 的作用

C.routepolicy 配置流程

IV.中兴路由器routepolicy 配置

A.配置前的准备工作

B.配置routepolicy 的步骤

C.配置举例

V.路由器配置注意事项

A.路由器配置安全

B.路由器配置备份

C.路由器配置常见问题及解决方法

VI.总结

A.回顾中兴路由器配置手册和routepolicy

B.强调路由器配置的重要性

正文：

I.引言

中兴路由器配置手册提供了详细的配置指导，帮助用户更好地使用路由器。本文将重点介绍中兴路由器配置手册中的routepolicy 配置。

II.中兴路由器配置手册概述

A.路由器概述

中兴路由器是一款功能强大、性能稳定的网络设备，广泛应用于企业、学校、家庭等场景。通过对路由器的配置，可以实现网络的优化和管理。

B.路由器配置流程

中兴路由器配置包括设备登录、配置模式选择、配置命令输入等步骤。用户需要熟悉这些步骤，才能顺利进行路由器配置。

C.路由器配置举例

下面以一个简单的例子，介绍如何配置中兴路由器的端口映射功能。

III.routepolicy 概述

A.什么是routepolicy

routepolicy 是路由策略的缩写，它是一种用于控制网络数据包转发的方法。通过配置routepolicy，可以实现对不同类型的数据包采取不同的转发策略。

路由策略和策略路由配置与管理

路由策略和策略路由配置与管理

“路由策略”与“策略路由”之间的区别就在于它们的主体（或者说“作⽤对象”）不同，前者的主体是“路由”，是对符合条件的路由（主要）通过修改路由属性来执⾏相应的策略动作（如允许通过、拒绝通过、接收、引⼊等），使通过这些路由的数据报⽂按照规定的策略进⾏转发；⽽后者的主体是数据报⽂，是对符合条件的数据报⽂（如报⽂的源地址、报⽂长度等）按照策略规定的动作进⾏操作（如设置报⽂的出接⼝和下⼀跳、设置报⽂的缺省出接⼝和下⼀跳等），然后转发。“路由策略”如RIP、OSPF、IS-IS、BGP中动态路由信息发送（发布）/接收控制、路由选路、路由引⼊以及BGP路由属性配置等都⽤到了“路由策略”。

路由策略基础

路由策略（Routing Policy）是通过使⽤不同的匹配条件和匹配模式来选择路由，或改变路由属性。路由策略主要应⽤在路由信息发布、接收、引⼊和路由属性修改等⼏个⽅⾯：

1、控制路由的发布

可通过路由策略对所要发布的路由信息进⾏过滤，只允许发布满⾜条件的路由信息。

2、控制路由的接收

可通过路由策略对所要接收的路由信息进⾏过滤，只允许接收满⾜条件的路由信息。这样可以控制路由条⽬的数量，提⾼⽹络的路由效率。

3、控制路由的引⼊

可通过路由策略只引⼊满⾜条件的路由信息，并控制所引⼊的路由信息的某些属性，使其满⾜本路由协议的路由属性要求。

4、设置路由的属性

修改通过路由策略过滤的路由的属性，满⾜⾃⾝需要。

⼀、路由策略原理

要实现路由策略，⾸先要定义将要实施路由策略的路由信息的特征，即定义⼀组匹配规则，这就是路由策略中必须使⽤的过滤器。可以⽤路由信息中的不同属性作为过滤器的匹配依据，如路由的⽬的地址、源地址等。然后将匹配规则应⽤于路由的发布、接收和引⼊等过程的策略中。

ROUTE-POLICY 路由策略规则详解

在实际工程中经常用到route-policy的情况，下面对route-policy和ACL的详细匹配规则做以说明：

一、标准访问列表：

#

acl number 2000

rule 0 permit source 192.168.1.0 0.0.0.255

此类ACL用于route-policy时做前缀匹配，即路由条目和规则条目做AND 运算，结果落在反掩码的包含范围之内的则匹配成功。

对于上述配置：192.168.1.0/24 192.168.1.0 /25 192.168.1.0/30 等均可匹配，但是192.168.1.0/16 等则匹配不成功。

二、扩展访问列表：

#

acl number 3000

rule 0 permit ip source 192.168.1.0 0 destination 255.255.255.0 0

acl number 3001

rule 0 deny ip source 192.168.1.0 0 destination 255.255.255.0 0

此类ACL比较特殊，源和目的的掩码均要为0 。用于route-policy 是要做严格的匹配，即前缀要和source 匹配，前缀的掩码部分要和destination匹配。

对于上述配置3000来说，则只有192.168.1.0/24可与之匹配。此类列表和Route-policy 配合可用于严格的匹配一条路由条目。

三、permit+permit的route-policy

#

route-policy t1 permit node 10

策略路由匹配规则

策略路由匹配规则是指在网络中配置的路由策略，用于确定数据包应该沿着哪条路径进行转发。这些规则基于一系列条件来匹配数据包，并根据匹配结果执行相应的路由策略。以下是一些常见的策略路由匹配规则：

1.源地址和目标地址：

•源地址：数据包的源IP地址。

•目标地址：数据包的目标IP地址。

2.协议类型：

•指定数据包中的传输层协议，如TCP、UDP、ICMP等。

3.端口号：

•适用于TCP和UDP流量，可以指定源端口号和/或目标端口号。

4.服务类型：

•定义特定应用或服务的类型，如HTTP、FTP等。

5.时间：

•指定规则在特定时间段内生效或失效。

6.负载均衡策略：

•定义数据包在多个可用路径之间进行负载均衡的规则。

7.防火墙规则：

•路由规则可以与防火墙规则结合，确保数据包符合网络安全策略。

8.策略优先级：

•如果有多个规则匹配了相同的数据包，策略优先级可以确定应该应用哪一条规则。

9.特定用户或设备标识：

•基于用户或设备的标识，例如MAC地址、用户名等。

10.Q oS（服务质量）标记：

•基于数据包中的服务质量标记，用于实现不同的服务质量策略。

11.V PN标识：

•在支持虚拟专用网络（VPN）的环境中，根据VPN标识进行匹配。

策略路由匹配规则的具体配置和支持的条件取决于网络设备和路由器的类型、厂商以及使用的路由协议。在企业网络、云服务提供商和数据中心等环境中，策略路由通常是网络管理员根据特定需求配置的一种灵活的网络管理工具。

中兴路由器配置手册routepolicy

【实用版】

目录

1.中兴路由器概述

2.路由器配置手册的主要内容

3.路由策略（routepolicy）的配置方法

4.中兴路由器的优势与不足

5.总结

正文

一、中兴路由器概述

中兴路由器作为我国著名的网络设备制造商中兴通讯的产品，凭借其稳定的性能和较高的性价比，在市场上获得了广泛的应用。中兴路由器涵盖了多种类型，包括企业级路由器、家用路由器、4G/5G 无线路由器等，满足了不同用户的需求。

二、路由器配置手册的主要内容

路由器配置手册主要包括以下几个方面的内容：

1.设备基本信息：包括设备型号、硬件版本、软件版本等，方便用户了解设备的具体信息。

2.设备连接：介绍设备的各种接口以及连接方式，包括 WAN 口、LAN 口、USB 口等。

3.系统配置：包括系统参数、用户管理、日志管理等，用于设置路由器的基本属性和维护管理。

4.网络配置：主要包括 WAN 口配置、LAN 口配置、VLAN 配置、路由协议等，用于设置路由器的网络连接和路由策略。

5.安全配置：包括防火墙、入侵检测、访问控制等，用于保护路由器的安全。

6.QoS 与流量控制：用于优化网络性能，提高用户体验。

7.系统日志与诊断：用于查看系统运行状态和故障排查。

三、路由策略（routepolicy）的配置方法

路由策略用于影响路由器转发数据包的规则，可以灵活地控制数据包的转发。在中兴路由器中，可以通过以下步骤配置路由策略：

1.登录路由器，进入系统视图。

2.在系统视图中，选择“路由策略”菜单。

3.创建一个新的路由策略，进入路由策略视图。

route-policy continue逻辑

在网络技术中，route-policy continue逻辑是指在进行路由引入时，通过设置“继续”策略来实现不同路由协议之间的相互兼容和学习。具体来说，它的逻辑如下：

1. 假设将路由协议A引入B，那么会导致：

- 跟A有关的所有路由会被引入进B。

- 从A学习到的路由会被引入进B。

- 启用了A的接口所在的网络路由会进入B。

2. 引入的路由必须位于路由表中。

3. 引入是外向的，即负责引入的路由器不会改变自身路由表。

4. 种子度量值：把一种路由引入进其他协议后的默认度量值。例如：RIP是跳数，OSPF 是开销。

在实际应用中，可以根据具体需求灵活运用route-policy continue逻辑来实现不同路由协议之间的交互和协作。

ROUTE-POLICY策略路由规则详解

ROUTE-POLICY 策略路由规则详解

在工程中经常遇到route-policy用于策略路由的情况，下面就对route-polic和ACL间的匹配规则详解如下：

一、试验环境

A(E0/0)--192.168.1.0--(E0/0)B(S0/0)--10.0.0.0--

(S0/0)C(E0/0)--192.168.2.0--(E0/0)D

拓扑说明：

AB之间的网段为192.168.1.0 。AB分别通过E0/0口互联。

CD之间的网段为192.168.2.0 。CD分别通过E0/0口互联。

BC之间分别通过S0/0 中间通过帧中继交换机互联,共配置3个子接口，DLCI分别是100 200 300（两端相同）。

二、测试结论：

未做任何策略

#

interface Ethernet0/0

ip address 192.168.1.1 255.255.255.0=

在路由器A Tracert路由结果如下：

dis clock

08:48:03 UTC Fri 11/28/2008

tracert -m 5 -a 192.168.1.2 192.168.2.2

traceroute to 192.168.2.2(192.168.2.2) 5 hops max,40 bytes packet

Press CTRL_C to break

1 192.168.1.1 3 ms 1 ms

2 ms

2 10.0.0.10 19 ms 18 ms 19 ms

3 192.168.2.2 20 ms 21 ms 20 ms

路由规则详解

1. 什么是路由规则

路由规则指的是在计算机网络中，用于指定数据包从源地址到目标地址的路径选择的一系列规则。它决定了数据包从一个网络节点到达另一个网络节点的具体路径和方式。

2. 路由规则的作用

路由规则的主要作用是实现网络中数据的转发和寻址。通过配置适当的路由规则，可以将数据包从源地址正确地路由到目的地址，实现网络的连通性和可达性。

3. 路由规则的基本原理

路由规则基于路由表进行配置和管理。路由表是记录了网络中路由器或主机之间的连接关系以及对应的出口接口和下一跳地址的数据结构。根据路由表中的信息，路由器可以判断数据包的目的地址所处的网络，并选择合适的路径将数据包发送出去。

4. 路由规则的格式

路由规则的格式通常包括目的网络地址、子网掩码、下一跳地址和出口接口等字段。目的网络地址指的是需要进行路由转发的目的网络地址；子网掩码用于确定目的网络地址的范围；下一跳地址表示数据包在当前节点的下一跳节点的地址；出口接口是指数据包离开当前节点的物理接口。

5. 路由规则的配置方法

路由规则的配置方法根据不同的设备和操作系统有所差异。常见的配置方法包括通过命令行界面（CLI）或网络管理界面（Web UI）进行配置。管理员可以根据实际网络拓扑和需求，通过添加、修改或删除路由规则来实现网络的灵活控制和优化。

6. 路由规则的优先级和匹配规则

路由规则的配置中通常会设置优先级，用于决定多个规则匹配时的路径选择顺序。优先级越高的规则在匹配时会被优先选择。另外，路由规则的匹配通常是按照最长前缀匹配的原则进行的，即根据规则中的目的网络地址和子网掩码，选择与目的地址最匹配的规则。

路由策略（route-policy）和策略路由（PBR）

1.路由策略

功能：路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变⽹络流量所经过的路径。

匹配形式：

⼀个路由策略中包含N（N>=1）个节点（Node），也就是多个route-policy 10，20，30.........路由进⼊路由策略后，

当路由与该节点的所有If-match⼦句都匹配成功后，进⼊匹配模式选择，不再匹配其他节点。

当路由与该节点的任意⼀个If-match⼦句匹配失败后，进⼊下⼀节点。

如果和所有节点都匹配失败，路由信息将被拒绝通过，（也就是说route-policy 末尾是隐含拒绝）。

路由策略中If-match⼦句中匹配的6种过滤器：

1.访问控制列表ACL（Access Control List），只⽀持基本ACL；ACL是将报⽂中的⼊接⼝、源或⽬的地址、协议类型、源或⽬的端⼝号作为匹配条件的过滤器。

2.地址前缀列表（IP Prefix List）；地址前缀列表将源地址、⽬的地址和下⼀跳的地址前缀作为匹配条件的过滤器。路由按索引号从⼩到⼤依次检查各个节点是

否匹配，任意⼀个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。如果地址前缀列表不与路由策略中if-match语句配合使

⽤，地址前缀列表中⾄少配置⼀个节点的匹配模式是permit，否则所有路由将都被过滤。

当IP地址为0.0.0.0时表⽰通配地址，表⽰掩码长度范围内的所有路由都被Permit或Deny。

待验证：是否和route-map一致空map匹配所有默认deny ALL

定义：

路由策略（Routing Policy）主要实现了对路由的过滤、设置等控制功能，通过改变路由属性（包括可达性）改变网络流量所经过的途径。

目的:

控制路由的发布

只发布满足条件的路由信息。

控制路由的接收

只接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。

过滤和控制引入的路由

一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由知识时，只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。

设置特定路由的属性

为通过路由策略过滤的路由设置相应的属性。

基本原理：

route-policy实现步骤：

1、定义规则

2、应用规则

华为设备提供如下几种过滤器供路由协议引用：

1、访问控制列表（ACL）

2、地址前缀列表（Prefix）

3、AS路径过滤器（as-path-filter）

4、团体属性过滤器（ip community）

5、扩展团体属性过滤器

扩展团体属性过滤器Extcommunity-filter仅用于BGP。目前我们只支持对VPN的RT（Route-Target）扩展团体属性的过滤。

6、路由标识属性过滤器

路由标识属性列表Rd-filter仅用于BGP。路由标识属性过滤器就是针对VPN的RD（Route Distinguisher）属性指定匹配条件。

route-policy动作：

一个Route-policy可以由多个节点（node）构成，不同节点之间是“或”的关系。系统按节点序号依次检查各个节点，如果通过了其中一节点，就意味着通过该策略，不再对其它节点进行匹配。

思科Cisco策略路由（policyroute）详细介绍

注:PBR以前是CISCO⽤来丢弃报⽂的⼀个主要⼿段。⽐如：设置set interface null 0，按CISCO说法这样会⽐ACL的deny要节省⼀些开销。这⾥我提醒：

interface null 0

no ip unreachable　//加⼊这个命令

这样避免因为丢弃⼤量的报⽂⽽导致很多ICMP的不可达消息返回。

三层设备在转发数据包时⼀般都基于数据包的⽬的地址（⽬的⽹络进⾏转发），那么策略路由有什么特点呢？

1、可以不仅仅依据⽬的地址转发数据包，它可以基于源地址、数据应⽤、数据包长度等。这样转发数据包更灵活。

2、为QoS服务。使⽤route-map及策略路由可以根据数据包的特征修改其相关QoS项，进⾏为QoS服务。

3、负载平衡。使⽤策略路由可以设置数据包的⾏为，⽐如下⼀跳、下⼀接⼝等，这样在存在多条链路的情况下，可以根据数据包的应⽤不同⽽使⽤不同的链路，进⽽提供⾼效的负载平衡能⼒。

策略路由影响的只是本地的⾏为，所以可能会引起“不对称路由”形式的流量。⽐如⼀个单位有两条上⾏链路A与B，该单位想把所有HTTP流量分担到A 链路，FTP流量分担到Ｂ链路，这是没有问题的，但在其上⾏设备上，⽆法保证下⾏的HTTP流量分担到Ａ链路，FTP流量分担到Ｂ链路。

策略路由⼀般针对的是接⼝⼊(in)⽅向的数据包，但也可在启⽤相关配置的情况下对本地所发出的数据包也进⾏策略路由。

本⽂就策略路由的以下四个⽅⾯做相关讲解：

１、启⽤策略路由

２、启⽤Fast-Switched PBR

策略路由的原理与应用

什么是策略路由

策略路由是一种在网络中根据特定的策略对数据包进行选择传输路径的方法。与传统的静态路由和动态路由相比，策略路由提供了更加灵活和可自定义的路由选择方式。通过定义特定的策略，管理员可以根据不同的需求和条件，决定数据包的传输路径，从而实现网络流量的优化和调度。

策略路由的原理

策略路由的实现涉及路由器上的路由表和策略定义。路由表是路由器中存储的一个重要数据结构，用于存储网络中的路径信息。在策略路由中，路由表中的每个条目通常包含目标网络地址和下一跳地址。当路由器接收到一个数据包时，它会根据路由表中的目标地址匹配对应的路由条目，并将数据包转发到该条目指定的下一跳地址。

策略定义是策略路由的核心部分，管理员可以根据特定的需求和条件，定义一组策略规则。这些策略规则通常基于网络流量的特性，例如源IP地址、目标IP地址、协议类型、端口号等。管理员可以使用逻辑表达式和匹配条件来定义这些策略规则。当路由器接收到一个数据包时，它会根据策略规则进行匹配，并根据匹配结果选择合适的路径进行转发。

策略路由的应用场景

策略路由在实际网络中广泛应用，以下是一些常见的应用场景：

1.负载均衡：在高负载的网络环境中，使用策略路由可以将流量分散

到多个路径上，从而平衡网络设备的负载，提高网络性能和可靠性。

2.故障恢复：策略路由可以设置备用路径，并在主路径故障时自动切

换到备用路径，保证数据的连通性和可用性。

3.业务流量控制：根据业务的优先级和重要性，可以使用策略路由将

高优先级的业务流量优先转发，保证关键业务的性能和可靠性。

策略路由的配置详解和实例

Routemap和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中.策略路由(policyroute)实际上是复杂的静态路由,静态路由是基于数据包的目标地址并转发到指定的下一跳路由器,策略路由还利用和扩展IPACL链接,这样就可以提供更多功能的过滤和分类。

策略路由配置实例：

ROUTEA:

Verion11.2

Noerviceudp-mall-erver

Noervicetcp-mall-erver

HotnamerouterA

Interfaceethernet0

Ipaddre192.1.1.1255.255.255.0econdary

Ipaddre192.1.1.2255.255.255.0econdary

Ipaddre192.1.1.3255.255.255.0econdary

Ipaddre192.1.1.10255.255.255.0

Ippolicyroute-maplab1

//策略路由应用于E0口

interfaceerial0

ipaddr150.1.1.1255.255.255.0

interfaceerial1

ipaddr151.1.1.1255.255.255.0

routerrip

network192.1.1.0

network150.1.0.0

network151.1.0.0

iplocalpolicyroute-maplab1

//使路由器策略路由本地产生报文

noipclale

acce-lit1permit192.1.1.1

acce-lit2permit192.1.1.2