交换路由CCIE之路——路由策略

交换机上也做策略路由随着互联网的发展，数据传输量大，访问速度快的要求越来越高。

为了满足这样的要求，网络技术不断地更新和完善，其规模各式各样的网络也不断扩大和发展。

在这种情况下，策略路由的应用变得越来越重要。

在传统IP网络中，路由器使用的是静态路由。

静态路由需要管理员手动设置网络路由规则，并在其中加入至少一条适用于所有子网的默认路由，以确定包的流向。

但是静态路由在自适应性和灵活性方面存在很大的不足，网络的准确性和可扩展性也有所限制。

于是，动态路由的出现可以说是一个新的网络革命。

动态路由会在网络的不同节点之间建立一种“通讯协议”，路由器之间可以相互交换路由信息，形成一个网络拓扑图，实现路由的自动转换和更新。

随着网络不断发展和拓展，传统路由器已经无法满足网络需求，很多运营商开始采用具有更多功能的交换设备。

而一些厂商的交换机已经开始支持动态路由，实现了类似于路由器的高级路由功能，如策略路由。

策略路由概述策略路由是一个基于条件规则的路由选择机制。

通过设置路由策略，可以使路由器决定每个数据包的最佳路径。

策略路由可以对数据包的源地址、目的地址、协议、端口等不同的参数进行分类，然后将它们送到最合适的目的地。

策略路由可以带来很多好处，例如：•支持多路径类型（例如，不同的ISP和物理路径），可以优化和增强数据流的整体性能和可靠性。

•允许在路由器上进行更多的转发决策，从而灵活控制网络流量和带宽。

•策略路由可以控制每个流量的路径，从而实现特定链路的负载均衡和防止特定链路出现拥塞。

交换机上实现策略路由的优势随着网络不断变化，交换机也不再仅仅是桥接器，它们还被用作路由器，这些新功能可以极大地提高网络的性能和灵活性。

在许多情况下，交换机比路由器更便宜、更易于配置和部署，从而为网络管理员提供更多的选择。

与路由器相比，交换机具有以下优点：•交换机的转发速度更快，比路由器产生的网络延迟更低。

•交换机可以灵活部署，可以使用自动设备发现了解网络拓扑，然后在网络中设置路由规则。

策略路由，路由策略前⾔：在企业⽹络中，常⾯临⾮法流量访问及流量路径不优的问题，为了保护数据访问的安全性、提⾼链路带宽的利⽤率，需要对⽹络中的流量⾏为控制，如控制⽹络流量可达性，调整⽹络流量路径。

如何控制流量可达性？ ⽅案⼀：对接收和发布的路由进⾏过滤来控制可达性，路由策略 ⽅案⼆：使⽤Traffic-filter⼯具对数据进⾏过滤，流量过滤　什么是路由策略? 通过⼀系列的⼯具或者⽅式对路由进⾏各种控制的策略，这个策略可以影响路由的产⽣，发布和选择等，进⽽影响报⽂的转发路径 在ip⽹络中，路由策略的⽤途主要有两个⽅⾯：对路由信息过滤和修改路由属性。

如图，如果使⽤流量过滤，使市场部的流量不能访问财务部。

会有极⼤的局限性，若是在RTA上做traffic-filter，流量会经过RTC RTB再在RTA上被过滤极⼤的浪费链路带宽。

若在RTC⼊⼝做traffic-filter，可能RTC不是由你进⾏管理的。

⽽且流量过滤针对每⼀个报⽂进⾏过滤，极⼤的浪费设备性能，所以建议使⽤路由策略来进⾏对流量的可达性进⾏控制。

　路由策略使⽤的⼯具： 条件⼯具：把路由匹配出来，acl ip-prefix 策略⼯具：匹配抓取的路由，执⾏各种各样的策略。

router-policy 调⽤⼯具：把策略应⽤到某个具体的协议中。

filter-policy　import-route配置思路：配置filter-policy不让192.168.1.0路由发出给到AR1[AR2-rip-1]filter-policy 2000 export -----对所有接⼝发出的路由做过滤[AR2-rip-1]ACL 2000[AR2-acl-basic-2000]rule PER S 192.168.2.0 0 filter-policy 2000 export static import-route static 对引⼊的静态路由实现过滤，本地不存在LSDB　当过滤本地接⼝的路由时 filter-policy 2000 export 针对链路状态路由协议⽆效，链路状态路由协议发送的是LSA filter-policy 2000 import 针对链路状态协议有效，不过是在加表实现过滤，本地LSDB中依旧有此链路状态ACL的局限性？ACL只能抓取路由的前缀，不关⼼掩码信息，如果两条路由拥有相同的前缀，ACL⽆法分别抓取前缀列表的优势？相⽐ACL来说既能匹配前缀也能抓取掩码，前缀列表不能⽤于流量过滤。

ccie知识点总结大全一、网络基础知识1. OSI七层模型2. TCP/IP协议族3. IP地址和子网划分4. VLAN和Trunk技术5. STP及其变种RSTP/MSTP6. VTP及VLAN pruning7. EtherChannel和PortChannel二、路由和交换1. 静态路由及其配置2. 动态路由协议：RIP、EIGRP、OSPF、BGP3. QoS基本概念及配置4. 交换技术：ARP、MAC地址表、交换机帧转发5. SpanningTree Protocol（STP）相关知识6. 综合交换技术解决方案7. WAN连接方式和配置：HDLC、PPP、FrameRelay、ATM、MPLS8. HSRP/VRRP/GLBP三、网络设计1. 企业网络设计：三层设计、核心层/汇聚层/接入层2. 数据中心网络设计：数据中心网络架构、SAN、NAS3. WAN设计：各种WAN连接技术的选择4. IP地址规划5. 网络设备的冗余和负载均衡设计6. 网络安全设计四、网络安全1. 防火墙技术：ACL、NAT、PAT、Zone-Based Firewall、ASA Firewall2. VPN技术：IPSec VPN、SSL VPN3. IDS/IPS4. AAA认证：RADIUS、TACACS+5. 网络安全策略设计及实施五、网络管理1. 网络设备的远程管理：Telnet、SSH2. SNMP协议及其相关概念3. 网络设备的配置备份和恢复4. 网络监控和故障排除六、IP电话及视频1. VoIP基本概念：H.323、SIP、MGCP2. VoIP协议与传输3. QoS在VoIP中的应用4. IP电话网关的配置七、IPv61. IPv6基本概念2. IPv6地址分配和路由3. IPv6网络基础设施的部署4. IPv6过渡技术八、思科设备配置1. 路由器和交换机基本配置2. IOS路由器和交换机高级特性配置3. Catalyst交换机常见配置4. ISR路由器配置5. ASA防火墙配置6. Nexus交换机配置7. Catalyst 6500交换机配置8. 无线控制器配置以上就是CCIE知识点总结大全，涵盖了网络基础知识、路由和交换、网络设计、网络安全、网络管理、IP电话及视频、IPv6、思科设备配置等方面的内容。

策略路由小总结策略路由是一种网络路由技术，它基于管理员定义的策略来选择和控制数据包的转发路径。

与传统的路由协议不同，策略路由允许管理员根据特定的需求和条件来决策网络数据包的转发。

在这篇文章中，我们将回顾策略路由的基本原理、优势和应用，并对其进行一些小总结。

策略路由的基本原理是根据管理员定义的策略来选择转发路径。

这些策略可以基于多种因素，如源地址、目的地址、协议类型、服务类型、带宽需求等。

管理员可以根据实际需求灵活地配置和管理路由策略，从而实现更高效的数据包转发。

策略路由的优势在于其灵活性和可控性。

传统的路由协议通常是根据最短路径或者其中一种固定规则来选择转发路径。

而策略路由可以根据实际需求来灵活地配置转发策略，实现更精细化的路由控制。

这种灵活性使得策略路由可以应用于复杂的网络环境和特定的网络要求。

另外，策略路由还可以提供更好的性能和可伸缩性。

由于策略路由允许管理员定义和控制转发路径，可以根据网络的实际情况和负载要求来选择最优的路径，从而提高网络的性能和可伸缩性。

例如，管理员可以配置一些关键数据流的优先级，保证它们获得最佳的转发路径和带宽资源，以提供更好的用户体验。

策略路由的应用非常广泛。

在企业网络中，策略路由可以用于实现流量工程、负载均衡和多路径转发等。

管理员可以根据企业的需求和网络拓扑来定义策略，实现流量的优化分配和均衡，以提高应用的可用性和性能。

此外，策略路由还可以用于网络安全，例如管理员可以配置策略来过滤和保护网络中的敏感数据流。

在互联网中，策略路由也扮演着重要的角色。

因特网服务提供商(ISP)可以使用策略路由来实现不同类型的流量管理。

他们可以根据用户的需求和服务级别协议(SLA)来优化网络的性能和服务质量，提供更快速和可靠的网络连接。

此外，策略路由还可以用于因特网自治系统间的互联和流量控制。

小结一下，策略路由是一种灵活、可控和高性能的网络路由技术。

它可以根据管理员定义的策略来选择和控制数据包的转发路径，以满足不同的网络需求和要求。

策略路由配置详解
一、策略路由的概念
策略路由是一种网络路由管理方法，它的基本思想是建立一组用来定
义所有网络流量及其传输路径的策略，并利用这组策略实现路由负载均衡，从而提高网络性能。

二、策略路由配置的要素
1.路由器
路由器是策略路由的基础，配置正确的路由器是策略路由正常运行的
关键，一般需要设置路由协议和路由策略。

2.协议
协议是指路由器交换机之间的连接，当路由器与交换机之间的连接类
型是协议时，策略路由就可以在此基础上正确工作，用户可以根据自身需
要选择合适的协议进行配置。

3.连接
连接是指策略路由需要通过路由器或交换机保持的一种物理连接，它
是策略路由的基础，因此必须正确配置路由器和交换机之间的连接，才能
确保策略路由的正常运行。

4.地址
地址是指在策略路由系统中所有设备的IP地址，这些地址是策略路
由网络中所有设备的唯一标识符，必须正确设置，才能使策略路由能够真
正发挥出效用。

5.策略
策略是指在策略路由系统中，路由器或交换机根据其中一种规则选择最佳路由策略，从而实现合理分配网络流量，提高网络性能。

一、基于dis‎tribu‎te的路由‎过滤1.定义acl‎ (conf)#acces‎s-list 1 deny 192.168.1.0 0.0.0.255 (conf)#acces‎s-list 1 permi‎t any2.进入路由重‎发布(conf)#route‎r rip (conf-route‎r)#distr‎ibute‎-list 1 out ospf 1 在rip协‎议下，配置dis‎tribu‎te列表，引用acl‎ 1，过滤从os‎p f 1重发布到‎r ip的网‎络路由。

也就是说，通过该路由‎器进行os‎p f的重发‎布到rip‎网络中，过滤acl‎ 1的数据。

在该例中的‎意思就是o‎spf中如‎果有数据属‎于192.168.1.0/24，那么在ri‎p网络中无‎法学习到这‎些路由。

由于重发布‎的命令是r‎e d ist‎r ibut‎e，所以这里可‎以理解为发‎布到rip‎网络中。

=============================================================================== ============================================二、基于rou‎te-map的路‎由过滤1.定义acl‎ (conf)#acces‎s-list 1 deny 192.168.1.0 0.0.0.255 (conf)#acces ‎s-list 1 permi‎t any2.定义rou‎te-map (conf)# route‎-map ospf-rip permi‎t 10 其中osp‎f-rip为r‎o ute-map的名‎称，10为序列‎号，下述条件如‎果成立的话‎动作为pe‎r mit。

注意：route‎-map和a‎c l相同的‎是，在尾部都有‎隐藏的默认‎拒绝所有的‎条件。

3.匹配条件(confi‎g-route‎-map)#match‎ ip addre‎ss 1 查询acl‎ 1是否满足‎4.进入路由重‎发布(conf)#route‎r rip (conf-route‎r)#redis‎tribu‎te ospf 1 metri‎c 4 route‎-map ospf-rip 在路由重发‎布的时候，对rout‎e-map的o‎spf-rip条目‎进行匹配过‎滤。

华为交换机策略路由方法
华为交换机策略路由方法是使用IP地址、路由策略和路由条
目来实现路由决策和流量控制。

具体步骤如下：
1. 配置IP地址：在华为交换机上为相应的接口配置IP地址，
确保交换机能够与其他设备进行通信。

2. 创建路由策略：使用命令行界面或图形用户界面来创建路由策略，可以基于多种条件来定义策略，如源IP地址、目的IP
地址、业务类型等。

3. 创建路由条目：根据创建的路由策略，配置相应的路由条目，指定目的网络和下一跳地址。

4. 配置路由选项：设置路由选项，如路由缓存、路由版本、路由处理方式等。

5. 进行路由决策：当交换机接收到数据包时，会根据路由策略和路由条目进行路由决策，选择最优的路径将数据包转发到目标网络。

6. 流量控制：根据路由策略和路由条目，可以对特定的流量进行控制和限制，如限制带宽、设置QoS优先级等。

值得注意的是，华为交换机还支持动态路由协议，如OSPF、BGP等，可以与其他路由器交换路由信息，实现更加灵活和
自适应的路由选择。

实验单进程OSPF数据分流一实验拓扑二实验需求实现去往生产业务（10.4.0.0）的数据走奇数路由器去往办公业务（10.5.0.0）的数据走偶数路由器三实验分析首先全网用ospf 连通，这时候要进行数据分流，就必须先了解各路由器中关于到生产和办公存在的路由，然后再进一步分析。

全网运行ospf后路由如下由上面可以看出所有数据分两边走，但是不是所需求的，现在要把数据分离开来，那么就必须使去往不同网段的路由改变。

路由的选择是先比较管理距离在比较开销，这个时候运行的都是OSPF管理距离是一样的不能改，那么就改开销。

起初发现无论改哪条链路的开销都不会有效，都会直接影响全部路由。

这时候就要想到从源改起，那样出来的路由就会有不同的开销了，而这里的源就是关于vlan16 vlan17的SVI口，我在SW15上将vlan16的开销改为1000vlan17的开销改为2000 ，在SW16上将vlan16的开销改为2000vlan17的开销改为1000 重新分析路由表R1到10.5.13.0下一跳不会有2个，因为OSPF内部路由优先于区域间路由，所以只会有一条下一跳指向SW15的。

R2到10.4.12.0也一样只有一条这时候发现R3关于10.5.13.0有2条下一跳分别为R1 ,R4,而我们需要的是走R4的，那么就来分析这条路由是怎么达到负载均衡的，R3关于这条路由是通过R1 R2发布3类信息得到，通过计算就得到了2条，实际上应该有3条，因为R3到R2其实有2条路，只是这里有一条也是指向R1，这里到后面会分析。

那么在不改动10.4.12.0这条路开销的情况下要使关于10.5.13.0开销加大，使它指向R4就必须考虑这2条路由在哪里路径是不同的。

首先10.4.12.0是从SW15到R1到R3 10.5.13.0是从SW16到SW15到R1到R3.,当然这里其实也要同时考虑R4关于这2条路由的开销。

这时候就很明显的知道应该改SW15与SW16间的这时候发现R3到10.5.13.0还有2条，这就是我开始说的隐藏的那一条了，就是因为到R2在区域内会有负载均衡，所以会有2条，同样按照上面的分析方法，要满足需求就只能改这时候R3 R4就满足要求了，接下来看R9 R10 ,发现R9关于10.5.13.0走负载均衡，同样的道理，下一跳指为R10的不能动，因为那是我们需要的，现在要使从R3来的开销加大，但要是在R3到R9的链路上改开销肯定是不行的，那样会影响去往10.4.12.0的，那么只有再向上看，R3关于这一条是从R4来的，那么改R3与R4之间的开销应该就能达到要求了，不过这里在改开销是一定要注意不能大于上面的100。

思科CCIEIS-IS路由协议⼀、链路状态路由协议及SPF算法 链路状态路由协议：通过可靠的扩散算法各路由器将其它路由器扩散来的拓扑信息收集起来，组成⼀张⼀致的、完成的拓扑图，依靠SPF算法来计算出⾃⼰的路由表。

SPF（Dijkstra）算法：最短路径优先，具体算法可以看看数据结构和图论的资料。

⼆、IS-IS协议基本特点 1、路由基础 属于ISO协议族（两种数据通信服务模型） CONS（Connection network server）⾯向连接⽹络服务 CLNS（Connectionless network server）⽆连接⽹络服务 IS-IS是ISO定义的OSI协议中⽆线连接⽹络服务CLNS（Connectionless network server）的⼀部分，⽤于动态路由数据包。

CLNS由以下三个协议构成： CLNP：类似于TCP/IP中的IP协议。

IP协议为TCP/IP传输层服务。

CLNP为OSI传输层服务。

IS-IS：中间系统间的路由协议，类似于IP中的OSPF ES-IS：主机系统与中间系统间的协议，就像IP中的ARP、ICMP(RD)等。

2、CLNP协议 CLNP协议类似于IP协议，CLNP定义为独⽴于数据链路层。

IP是TCP/IP协议中唯⼀的⽹络层协议，包括路由协议和⽤户数据都封装在IP包内。

⽽CLNP、ES-IS、IS-IS协议都是⽹络层协议，分别被封装在数据链路层的帧内。

3、IS-IS协议 IS-IS路由选择协议在ISO10589中定义，旨在ISO CLNS环境中运⾏CLNP协议的路由器之间提供动态交换路由信息的途径。

并且ISIS协议可以⾃动计算最佳路径和选择路由。

4、ES-IS协议 ES-IS中间系统路由交换协议 同⼀⽹段或链路的ISO终端系统和路由器之间⾃动交换信息便于邻接点发现。

路由发送IS报⽂hello（ISH），主机发送ES报⽂hello (ESH)。

交换机上也做策略路由交换机上也可以做策略路由，这是因为现代交换机逐渐具备了路由器的功能，从而实现了多重功能的集成。

在网络拓扑结构较为复杂的情况下，为了保障网络的高可用性、安全性以及性能等方面的需求，交换机上的策略路由也变得越来越重要。

1. 策略路由的基本原理策略路由是一种基于目的地址不同的路由选择策略，可以根据不同的需求选择不同的路由方案进行转发，从而实现对流量的控制和管理。

在交换机上实现策略路由，通常采用的是ACL（Access Control List）技术，即访问控制列表技术，通过配置ACL可以实现路由的分流，以及对不同流量的控制和限制。

2. 策略路由的应用场景（1）流量分流在网络拓扑结构较为复杂的情况下，流量分流可以有效提高网络的负载能力，避免网络拥塞发生。

通过策略路由技术，可以将不同类型的流量按需求分流到不同的路由上进行传输，从而优化网络性能。

例如，在企业网络中，一部分部门需要专线连接，而另一部分只需要公网连接，此时可以通过ACL配置，将需要专线连接的部门的流量分流到专线路由上进行传输，让公网路由处理其他部门的流量。

（2）网络安全控制通过ACL技术，可以实现对不同类型的流量的过滤和控制，确保网络的安全性。

例如，可以通过配置ACL来限制某些危险的IP流量进入网络，以保证网络的正常运行；还可以通过ACL来防止DDoS攻击、网络蠕虫和病毒等恶意流量的攻击。

（3）灵活的路由控制传统的无层交换机无法支持路由控制，而现代交换机就可以利用策略路由技术灵活地对IP数据流进行路由的控制，同时还能够根据不同流量的特点进行不同的路由转发。

例如，某公司的某个部门需要对特定的IP流量进行优先级路由，可以通过ACL进行配置，将这部分IP流量发送到目标设备的路由上，从而实现更加灵活的路由控制。

3. 策略路由的配置方法在交换机上实现策略路由技术，需要按照以下步骤进行配置：（1）确定分流规则根据实际需求，确定需要分流的流量类型和路由方向，例如需要将某个部门的流量分流到专线连接上，或者需要将恶意流量分流到黑洞，从而实现网络的安全控制。

Ø策略路由基本概念Ø接口策略路由ØMQCØ接口策略路由配置流程Ø策略路由配置命令•传统的路由转发原理是根据报文的目的地址查找路由表，然后进行报文转发。

但是用户希望能够在传统路由转发的基础上根据自己定义的路径进行报文转发。

•策略路由可以跨过路由表直接控制报文的转发，以达到优化通信路径的目的。

•本次任务介绍采用策略路由技术来优化通信路径。

Ø策略路由PBR（Policy-Based Routing）是一种依据用户制定的策略进行路由选择的机制。

Ø可根据目的地址、协议类型、报文大小、应用、源地址或其它属性来选择转发路径。

Ø转发数据报文时，策略路由优先于路由表。

若流量未匹配策略路由，则依据路由表转发。

Ø策略路由增强了路由选择的灵活性，可应用于安全、负载分担等通信场景。

示例中，R1通过部署策略路由，可对访问10.1.0.0的流量进行分流，实现负载分担。

Ø策略路由与路由策略是不同类型的路由控制技术，都可影响数据报文的转发路径。

两者区别：•操作对象上：路由策略的操作对象是路由表，执行效果是影响的是路由表的生成，从而影响数据的转发。

而策略路由的操作对象是数据报文，直接对报文进行转发控制。

•策略制定上：路由策略只能基于目的地址定义匹配规则，而策略路由可以基于目的地址、源地址及协议类型等多元组合来定义匹配规则。

•策略配置上：路由策略需要与路由协议结合使用，而策略路由需要手工指定。

•工具使用上：路由策略的工具有Route-Policy、Filter-Policy，策略路由的工具有Traffic-Policy、Policy-Based-Route及其它联动工具等。

Ø策略路由可分为本地策略路由、接口策略路由、智能策略路由。

•本地策略路由：仅对本机下发的报文进行处理，对转发的报文不起作用。

•接口策略路由：只对转发的报文起作用，对本地下发的报文不起作用。

策略路由的配置详解和实例Routemap和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中.策略路由(policyroute)实际上是复杂的静态路由,静态路由是基于数据包的目标地址并转发到指定的下一跳路由器,策略路由还利用和扩展IPACL链接,这样就可以提供更多功能的过滤和分类。

策略路由配置实例：ROUTEA:Verion11.2Noerviceudp-mall-erverNoervicetcp-mall-erverHotnamerouterAInterfaceethernet0Ipaddre192.1.1.1255.255.255.0econdaryIpaddre192.1.1.2255.255.255.0econdaryIpaddre192.1.1.3255.255.255.0econdaryIpaddre192.1.1.10255.255.255.0Ippolicyroute-maplab1//策略路由应用于E0口interfaceerial0ipaddr150.1.1.1255.255.255.0interfaceerial1ipaddr151.1.1.1255.255.255.0routerripnetwork192.1.1.0network150.1.0.0network151.1.0.0iplocalpolicyroute-maplab1//使路由器策略路由本地产生报文noipclaleacce-lit1permit192.1.1.1acce-lit2permit192.1.1.2route-maplab1permit10//定义策略路由图名称：LAB1，10为序号，用来标明被匹配的路由顺序。

Matchipaddre1//匹配地址为访问列表1Setinterfaceerial0//匹配下一跳为S0Route-maplab1permit20Matchipaddre2Setinterfaceerial1Linecon0Lineau某0Linevty04LoginEnd路由器B为标准配置略。

策略路由配置⼀1.⾸先看⼀下拓扑结构：策略路由配置步骤：1.定义acl匹配兴趣流2.定义traffic classifer(流量分类--匹配那⼀条acl)3.定义traffic behavior(流量动作--如下⼀跳仍到哪⾥）4.定义策略（将classifer 和behavior捆绑)5.应⽤接⼝在in还是out⽅向以下是H3CS5500交换机配置步骤划分vlanvlan 22 to 24创建vlan id并定义vlan id的ip地址int vlan 22ip add 10.11.0.124quint vlan 23ip add 10.13.0.124quint vlan 24ip add 10.12.0.124qu将端⼝于vlan绑定int g1/0/22port access vlan 22quint g1/0/23port access vlan 23quint g1/0/24port access vlan 24qu创建aclacl advanced 3005rule 0 permit ip destination 10.12.0.20rule 5 deny ip(如果没有这⼀步，流量将会透传，不⾛策略路由，因为交换机有⼀个向下匹配原则，会有⼀个默认规则）qu#创建Qos类traffic classifier 1if-match 3334qu#创建Qos的⾏为动作traffic behavior 1redivect next-hop 10.13.0.2qu#创建Qos策略将类和动作绑定qos policy 1classifier 1 behavior 1qu#将该策略绑定vlanqos vlan-policy 1 vlan 22 inboundView Code以下是其它思科交换机配置步骤：vlan 17 to 19int vlan 17ip add 10.11.0.124quint vlan 18ip add 10.13.0.124quint vlan 19ip add 10.12.0.124quint g1/0/17p l aport access vlan 17quint g1/0/18p l aport access vlan 18quint g1/0/19p l aport access vlan 19quacl advanced 3334rule 0 permit ip destination 10.12.0.20rule 0 deny ip(如果没有这⼀步，流量将会透传，不⾛策略路由）qupolicy-based-route wafin permit node 0if-match acl 3334apply next-hop 10.13.0.2quView Code以上配置，只针对代理ip地址是不透明的情况下才能⽣效，如果代理的ip地址是透明的情况下如何设置那？很简单，再服务端返回代理这条路径上再增加⼀条策略路由：即：[H3C]acl number 3006[H3C-acl-adv-3006]rule 0 permit ip destination 10.11.0.2 0[H3C-acl-adv-3006]rule 5 deny ip[H3C-acl-adv-3006]qu[H3C]traffic classifier 2[H3C-classifier-2]if-match acl 3006[H3C-classifier-2]qu[H3C]traffic behavior 2[H3C-behavior-2]redirect next-hop 10.13.0.2[H3C-behavior-2]qu[H3C]qos policy 2[H3C-qospolicy-2]classifier 2 behavior 2[H3C-qospolicy-2]qu[H3C]qos vlan-policy 2 vlan 24 inbound[H3C]完整配置如下：vlan 22 to 24int vlan 22ip add 10.11.0.124quint vlan 23ip add 10.13.0.124quint vlan 24ip add 10.12.0.124quint g1/0/22port access vlan 22quint g1/0/23port access vlan 23quint g1/0/24port access vlan 24quacl advanced 3005rule 0 permit ip destination 10.12.0.20rule 5 deny iptraffic classifier 1if-match 3334qutraffic behavior 1redivect next-hop 10.13.0.2quqos policy 1classifier 1 behavior 1quqos vlan-policy 1 vlan 22 inboundacl number 3006rule 0 permit ip destination 10.11.0.20rule 5 deny ipqutraffic classifier 2if-match acl 3006traffic behavior 2redirect next-hop 10.13.0.2quqos policy 2classifier 2 behavior 2quqos vlan-policy 2 vlan 24 inboundView Code交换机删除操作：[H3C]undo qos vlan-policy vlan 24 inbound[H3C]undo qos vlan-policy vlan 24 outbound[H3C]undo qos policy 2[H3C]undo traffic classifier 2[H3C]undo traffic behavior 2[H3C]undo acl number 3006如果不限制客户端于服务器单独ip⽽是该⽹段下所有的ip，设置如下：[H3C-acl-adv-3005]rule 0 permit ipinip destination any[H3C-acl-adv-3005]rule 5 deny ip[H3C-acl-adv-3005]qu[H3C]acl number 3006[H3C-acl-adv-3006]rule 0 permit ipinip destination any[H3C-acl-adv-3006]rule 5 deny ip[H3C-acl-adv-3006]qu完整配置如下：vlan 22 to 24int vlan 22ip add 10.11.0.124quint vlan 23ip add 10.13.0.124quint vlan 24ip add 10.12.0.124quint g1/0/22port access vlan 22quint g1/0/23port access vlan 23quint g1/0/24port access vlan 24qurule 0 permit ipinip destination anyrule 5 deny ipquacl number 3006rule 0 permit ipinip destination anyrule 5 deny ipqutraffic classifier 1if-match 3334qutraffic behavior 1redivect next-hop 10.13.0.2quqos policy 1classifier 1 behavior 1quqos vlan-policy 1 vlan 22 inboundtraffic classifier 2if-match acl 3006qutraffic behavior 2redirect next-hop 10.13.0.2qos policy 2classifier 2 behavior 2quqos vlan-policy 2 vlan 24 inbound View Code。

hcie路由交换学习指南
H3C网络交换机享誉全球，其最新开发的HCIE-Routing Switch路由交换学习
指南受到众多企业用户和技术爱好者的青睐，它主要涉及以下几个方面：
第一，HCIE-Routing Switch路由交换学习指南的功能涵盖支持IPv6的IPv6路
由信息的分析与路由选择，用户可以根据实际网络情况，构建出高可靠性的网络设备完整和完善的路由交换功能。

其次，HCIE-Routing Switch路由交换学习指南内容详尽，涉及思科交换机、三层、四层等网络知识，比如介绍交换机的基础知识以及概念，如何正确配置设备以及应用适用的路由协议和交换协议，如何诊断和优化网络。

此外，HCIE-Routing Switch路由交换学习指南仍会配合不同的实际场景，模拟出常见的网络问题，以便学习者在解决中受益。

最后，HCIE-Routing Switch路由交换学习指南蓝图明确，将企业网络部署和管理中常见的问题统统收到适合学习者友好的一站式在线体验教程中，简化很多复杂的内容，增强运用网络设备的高级功能和任務的能力，帮助企业应用网络安全的技术概念，以达到更提高网络运维水平的效果。

综上所述，H3C网络交换机开发的HCIE-Routing Switch路由交换学习指南，
通过融合网络知识、路由规划和安全技术概念，引导用户了解网络设备的知识框架，帮助企业进行网络规划、部署、调试和监控，提升企业网络安全管理水平。

路由策略和策略路由一、路由策略简介路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。

路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如：1、控制路由的接收和发布只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。

2、控制路由的引入在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。

3、设置特定路由的属性修改通过路由策略过滤的路由的属性，满足自身需要。

路由策略具有以下价值：通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。

、基本原理路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。

在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。

若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。

图1路由策略原理图如图1，一个路由策略中包含N（N>=1）个节点（Node）。

路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。

匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。

当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。

匹配模式分permit和deny两种：permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。

deny：路由将被拒绝通过。

当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。

如果和所有节点都匹配失败，路由信息将被拒绝通过。

过滤器路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。

在Cisco路由器中，策略路由（Policy Routing）是一种允许管理员使用路由映射来控制数据包如何被路由的方法。

以下是一些关键的策略路由设置命令：定义访问控制列表(ACL):(config)# access-list 1 permit host 192.168.1.1定义路由映射(route-map):(config)# route-map pdb permit 10其中，pdb是route-map的名称，10是序列号。

匹配条件(在配置路由映射后):查询ACL 1是否满足条件。

设置下一跳地址(如果满足上述条件):(config-route-map)# set ip next-hop 192.168.1.6这将设置下一跳地址为192.168.1.6。

设置出向接口(如果需要):(config-route-map)# set interface GigabitEthernet0/0参数指定接口的类型和编号。

如果定义了多个接口，则使用第一个被发现的up接口。

应用策略路由:要应用策略路由，需要将其绑定到接口：(config-if)# ip policy route-map pdb这里的pdb应替换为你的路由映射名称。

其他相关命令:ip route: 显示路由表中的所有路由。

show ip route: 显示当前路由器的路由表。

clear ip route: 清除路由表中的所有条目。

ip classless: 允许路由器处理类域间路由（CIDR）。

ip helper-address: 设置帮助其他设备获取DHCP配置的IP地址。

ip default-network: 设置或显示IP默认网络的名称。

ip redirects: 允许或禁止ICMP重定向消息。

ip proxy-arp: 允许或禁止执行代理ARP。

注意事项: 策略路由可以非常复杂，具体配置可能会根据网络的具体需求和环境而有所不同。

1、路由策略：路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤。

2、路由策略（rp）与策略路由(pbr)路由策略：先路由后策略策略路由：先策略后路由3、acl、地址前缀列表、bgp4、ACL 抓路由路由策略：1.抓前缀（网段）相同是几就是几，不同都为零2、抓反掩码相同为零，不同为13.根据反掩码中1的个数N来验证所抓路由的条数，为2的N次方条路由。

5、地址前缀列表思科access-list 1 permit 2.2.0.0 0.0.19.0route-map h3c permit 1match ip address 1router OSPF 1red rip route-map ccie subnets华为acl number 2000rule 0 permit source 2.2.0.1 0route-policy h3c permit node 10if-match acl 2000ospf 1import-route rip 1 route-policy h3c5、地址前缀列表抓路由Cisco：Ip prefix-list 1 permit2.2.0.0/24 ge 25 le 26Route-map ccie permit 1Match ip address prefix-list 1Router ospf 1red rip route-map ccie subnets华为Ip ip-prefix 1 permit 2.2.0.0 24 gr 26 le 25 Route-map ccie permit1If-Match ip address ip-prefix 1Ospfimport-route rip 1 route-policy h3c。

实验1 路由器基础命令回顾一、实验目的通过本节的练习回顾、熟悉一期课程中涉及到的路由器的相关指令。

掌握路由器的基础配置。

二、实验需要的知识点一期路由器的基础知识。

三、实验步骤1、改写主机名。

把路由器的主机名改成：RouterA. 。

在全局模式下使用指令的关键字：hostname name2、配置密码。

进入特权模式的密码为cisco。

配置控制台的密码：cisco配置远程登录的密码：cisco在全局模式下使用指令的关键字：enable password password在全局模式下使用指令的关键字：line vty 0 4loginpassword password在全局模式下使用指令的关键字：line console 0loginpassword password3、配置时钟。

在全局模式下使用指令的关键字：clock set hh::mm::ss mm:dd:yy4、配置接口ip地址。

在路由器的环回接口配置ip地址：1.1.1.1/24 。

在e0接口上配置ip地址：192.1.1.1/24在全局模式下使用指令的关键字：interface interface在接口模式下使用指令的关键字：ip address ip address mask5、退出，有三种方法。

endexitlogout6、保存配置，有两种方法。

copy running-config stratup-configwrite7、停止域名解析查询。

在全局模式下使用指令的关键字：no ip domain lookup四、检测在特权模式下使用：show version2、在特权模式下使用：show interface {interface}3、在特权模式下使用：show flash4、在特权模式下使用：show running-config5、在特权模式下使用：show startup-config6、在特权模式下使用：show history7、在特权模式下使用：show clock8、ping 自己的环回口地址。