1.策略路由简介
与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(ACL规则等)的报文,执行指定的操作
(设置报文的下一跳、出接口、缺省下一跳和缺省出接口等)。
报文到达后,其后续的转发流程如下:
- 首先根据配置的策略路由转发。
- 若找不到匹配的节点或虽然找到了匹配的节点,但指导报文转发失败时,再根据路由表中除缺省路由之外的路由来转发报文。
- 若转发失败,则根据策略路由中配置的缺省下一跳和缺省出接口指导报文转发。
- 若转发失败,则再根据缺省路由来转发报文。
根据作用对象的不同,策略路由可分为本地策略路由和转发策略路由:
- 本地策略路由:对设备本身产生的报文(比如本地发出的ping报文)起作用,指导其发送。
- 转发策略路由:对接口接收的报文起作用,指导其转发。
2.策略简介
策略用来定义报文的匹配规则,以及对报文执行的操作。策略由节点组成。
一个策略可以包含一个或者多个节点。节点的构成如下:
- 每个节点由节点编号来标识。节点编号越小节点的优先级越高,优先级高的节点优先被执行。
- 每个节点的具体内容由if-match子句和apply子句来指定。if-match子句定义该节点的匹配规则,apply子句定义该节点的动作。
- 每个节点对报文的处理方式由匹配模式决定。匹配模式分为permit(允许)和deny(拒绝)两种。
应用策略后,系统将根据策略中定义的匹配规则和操作,对报文进行处理:系统按照优先级从高到低的顺序依次匹配各节点,如果报文满足这个节点的匹配规则,就执行该节点的动作;
如果报文不满足这个节点的匹配规则,就继续匹配下一个节点;如果报文不能满足策略中任何一个节点的匹配规则,则根据路由表来转发报文。
1)if-match子句
在一个节点中可以配置多条if-match子句,同一类型的if-match子句只能配置一条。
同一个节点中的不同类型if-match子句之间是“与”的关系,即报文必须满足该节点的所有if-match子句才算满足这个节点的匹配规则。
同一类型的if-match子句之间是“或”的关系,即报文只需满足一条该类型的if-match子句就算满足此类型if-match子句的匹配规则。
2)apply子句
同一个节点中可以配置多条apply子句,但配置的多条apply子句不一定都会执行。
3)节点的匹配模式与节点的if-match子句、apply子句的关系
注:如果一个节点中没有配置任何if-match子句,则认为所有报文都满足该节点的匹配规则,按照“报文满足所有if-match子句”的情况进行后续处理。
3.策略路由与Track联动
策略路由通过与Track联动,增强了应用的灵活性和对网络环境变化的动态感知能力。
策略路由可以在配置报文的下一跳、出接口、缺省下一跳、缺省出接口时与Track项关联,根据Track项的状态来动态地决定策略的可用性。策略路由配置仅在关联的Track项状态为Positive或NotReady时生效。
4.应用策略
1)对本地报文应用策略
通过本配置,可以将已经配置的策略应用到本地,指导设备本身产生报文的发送。应用策略时,该策略必须已经存在,否则配置将失败。对本地报文只能应用一个策略。应用新的策略前必须删除本地原来已经应用的策略。
若无特殊需求,建议用户不要对本地报文应用策略。否则,有可能会对本地报文的发送造成不必要的影响(如ping、telnet服务的失效)。
2)对指定接口应用转发策略
通过本配置,可以将已经配置的策略应用到接口,指导接口接收的所有报文的转发。应用策略时,该策略必须已经存在,否则配置将失败。
对接口转发的报文应用策略时,一个接口只能应用一个策略。应用新的策略前必须删除接口上原来已经应用的策略。
一个策略可以同时被多个接口应用。
3)全局应用转发策略
通过本配置,可以将已经配置的策略应用到设备的所有接口,指导这些接口接收的所有报文的转发。
应用策略时,该策略必须已经存在,否则配置将失败。
一台设备只能应用一条全局策略,应用新的全局策略前必须通过执行undo ip global policy-based-route命令取消应用的全局策略。
如果同时应用了全局策略和转发策略,则接口优先使用接口的转发策略处理报文;如果接口上的报文不匹配转发策略,则使用全局策略处理报文。
5.策略路由的显示和维护
标签:策略,报文,转发,子句,节点,路由 From: https://www.cnblogs.com/xinghen1216/p/17086777.html