概述：

路由策略可以在路由協(xié)議發(fā)布、接收和引入路由時(shí)配置使用，也可用于過濾路由和改變路由屬性。

路由策略各工具之間的調(diào)用關(guān)系：

條件工具：用于把需要的路由“抓取”出來。

策略工具：用于把“抓取”出來的路由執(zhí)行某個(gè)動作，比如允許、拒絕、修改屬性值。
等。

調(diào)用工具：用于將路由策略應(yīng)用到某個(gè)具體的路由協(xié)議里面，使其生效。

調(diào)用工具中的filter-policy和peer又自帶策略工具的功能，因此這兩個(gè)東西又可以直接調(diào)用條件工具。其他的調(diào)用工具都必須通過route-policy來間接的調(diào)用條件工具。

需要注意peer不能直接調(diào)用ACL和團(tuán)體屬性過濾器，可以調(diào)用其他的所有條件工具。

路由策略的結(jié)構(gòu)：

Route-Policy由節(jié)點(diǎn)號、匹配模式、if-match子句（條件語句）和apply子句（執(zhí)行語句）這四個(gè)部分組成。

一、節(jié)點(diǎn)號
一個(gè)Route-Policy可以由多個(gè)節(jié)點(diǎn)（node）構(gòu)成。路由匹配Route-Policy時(shí)遵循以下兩個(gè)規(guī)則：

順序匹配：在匹配過程中，系統(tǒng)按節(jié)點(diǎn)號從小到大的順序依次檢查各個(gè)表項(xiàng)，因此在指定節(jié)點(diǎn)號時(shí)，要注意符合期望的匹配順序。

唯一匹配：Route-Policy各節(jié)點(diǎn)號之間是“或”的關(guān)系，只要通過一個(gè)節(jié)點(diǎn)的匹配，就認(rèn)為通過該過濾器，不再進(jìn)行其它節(jié)點(diǎn)的匹配。

二、匹配模式
節(jié)點(diǎn)的匹配模式有兩種：permit和deny。

permit指定節(jié)點(diǎn)的匹配模式為允許。當(dāng)路由項(xiàng)通過該節(jié)點(diǎn)的過濾后，將執(zhí)行該節(jié)點(diǎn)的apply子句，不進(jìn)入下一個(gè)節(jié)點(diǎn)；如果路由項(xiàng)沒有通過該節(jié)點(diǎn)過濾，將進(jìn)入下一個(gè)節(jié)點(diǎn)繼續(xù)匹配。

deny指定節(jié)點(diǎn)的匹配模式為拒絕。這時(shí)apply子句不會被執(zhí)行。當(dāng)路由項(xiàng)滿足該節(jié)點(diǎn)的所有if-match子句時(shí)，將被拒絕通過該節(jié)點(diǎn)，不進(jìn)入下一個(gè)節(jié)點(diǎn)；如果路由項(xiàng)不滿足該節(jié)點(diǎn)的if-match子句，將進(jìn)入下一個(gè)節(jié)點(diǎn)繼續(xù)匹配。

注意事項(xiàng)：
通常在多個(gè)deny節(jié)點(diǎn)后設(shè)置一個(gè)不含if-match子句和apply子句的permit模式的Route-Policy，用于允許其它所有的路由通過。

三、 if-match子句（條件語句）
if-match子句用來定義一些匹配條件。Route-Policy的每一個(gè)節(jié)點(diǎn)可以含有多個(gè)if-match子句，也可以不含if-match子句。如果某個(gè)permit節(jié)點(diǎn)沒有配置任何if-match子句，則該節(jié)點(diǎn)匹配所有的路由。

四、apply子句（執(zhí)行語句）
apply子句用來指定動作。路由通過Route-Policy過濾時(shí)，系統(tǒng)按照apply子句指定的動作對路由信息的一些屬性進(jìn)行設(shè)置。Route-Policy的每一個(gè)節(jié)點(diǎn)可以含有多個(gè)apply子句，也可以不含apply子句。如果只需要過濾路由，不需要設(shè)置路由的屬性，則不使用apply子句。

路由策略匹配結(jié)果：

工作流程圖：

對于一條路由，在使用Route-Policy以后，最終結(jié)果是允許還是拒絕這條路由呢？這個(gè)最終的結(jié)果對于業(yè)務(wù)的影響是非常大的，可能會直接影響某種業(yè)務(wù)的通與不通。這就涉及到Route-Policy匹配規(guī)則的問題了。

Route-Policy每個(gè)node節(jié)點(diǎn)的過濾結(jié)果要綜合以下兩點(diǎn)：

Route-Policy的node節(jié)點(diǎn)的匹配模式（permit或deny）。

if-match子句（如引用的地址前綴列表或者訪問控制列表）中包含的匹配條件（permit或deny）。
對于每一個(gè)node節(jié)點(diǎn)，以上兩點(diǎn)的排列組合會出現(xiàn)表1所示的4種情況。

Route-Policy每個(gè)node節(jié)點(diǎn)的過濾結(jié)果要綜合以下兩點(diǎn)：

Route-Policy的node節(jié)點(diǎn)的匹配模式（permit或deny）。

if-match子句（如引用的地址前綴列表或者訪問控制列表）中包含的匹配條件（permit或deny）。
對于每一個(gè)node節(jié)點(diǎn)，以上兩點(diǎn)的排列組合會出現(xiàn)下表所示的4種情況：

上述四種組合情況中，前兩種比較好理解，也比較常用。后兩種相對難理解一點(diǎn)，其實(shí)當(dāng)Rule為deny的時(shí)候，無論mode是什么，匹配到了都不允許通過本節(jié)點(diǎn)，繼續(xù)往下匹配。

這里我們以第三種情況為例，舉例說明一下。假設(shè)if-match子句中包含的匹配條件是deny，node節(jié)點(diǎn)對應(yīng)的匹配條件permit，配置如下：
acl number 2001
rule 5 deny source 172.16.16.0 0 //拒絕172.16.16.0

acl number 2002
rule 5 permit source 172.16.16.0 0 //允許172.16.16.0

route-policy RP permit node 10 //在這個(gè)節(jié)點(diǎn)，172.16.16.0這條路由被拒絕，繼續(xù)往下
if-match acl 2001

route-policy RP permit node 20 //在這個(gè)節(jié)點(diǎn)，172.16.16.0這條路由被允許
if-match acl 2002

這種情況下，有一個(gè)關(guān)鍵點(diǎn)就是在node 10,172.16.16.0這條路由被拒絕，同時(shí)會繼續(xù)往下匹配，或許下一個(gè)節(jié)點(diǎn)就允許通過了呢？果然，繼續(xù)往下走，到node 20這個(gè)節(jié)點(diǎn)的時(shí)候172.16.16.0又被允許了，所以Route-Policy的最終匹配結(jié)果是允許172.16.16.0這條路由。

注意事項(xiàng)：
華為設(shè)備默認(rèn)所有未匹配的路由將被拒絕通過Route-Policy。如果Route-Policy中定義了一個(gè)以上的節(jié)點(diǎn)，應(yīng)保證各節(jié)點(diǎn)中至少有一個(gè)節(jié)點(diǎn)的匹配模式是permit。因?yàn)镽oute-Policy用于路由信息過濾時(shí)：

如果某路由信息沒有通過任一節(jié)點(diǎn)，則認(rèn)為該路由信息沒有通過該Route-Policy。

如果Route-Policy的所有節(jié)點(diǎn)都是deny模式，則沒有路由信息能通過該Route-Policy。

實(shí)驗(yàn)：

用戶需求：
如圖所示，某園區(qū)網(wǎng)絡(luò)主要?jiǎng)澐譃樯a(chǎn)網(wǎng)段和辦公網(wǎng)段。LSW3下掛的終端訪問下面的網(wǎng)段的時(shí)候流量模型如下：
10.10.1.0/24-----生產(chǎn)網(wǎng)段，優(yōu)先走LSW1出去，LSW2作為備份鏈路。
10.10.2.0/24-----辦公網(wǎng)段，優(yōu)先走LSW2出去，LSW1作為備份鏈路。
10.10.3.0/24-----其他網(wǎng)段，隨便走那邊都行，負(fù)載分擔(dān)即可。
這種流量模型，可以保證生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的流量分離，便于維護(hù)和故障定位。同時(shí)，這種流量模型有利于流量均衡的分配到兩條鏈路上，同時(shí)互相作為備份鏈路，有利于網(wǎng)絡(luò)的穩(wěn)定性。

配置過程：
1.LSW1、LSW2、LSW3三個(gè)設(shè)備之間建立OSPF鄰居關(guān)系。
2.LSW1和LSW2上配置到達(dá)上述網(wǎng)段的靜態(tài)路由，并引入OSPF，從而通告給LSW3。
3.LW1和LSW2上配置路由策略，調(diào)整流量模型滿足用戶規(guī)劃的需求。

這里僅給出涉及路由策略的關(guān)鍵配置：
LSW1關(guān)鍵配置：

acl number 2000
rule 5 permit source 10.10.1.0 0 //用于匹配生產(chǎn)網(wǎng)段路由

acl number 2001
rule 5 permit source 10.10.2.0 0 //用于匹配辦公網(wǎng)段路由

route-policy RP permit node 10
if-match acl 2000
apply cost 10 //設(shè)置生產(chǎn)網(wǎng)段路由的cost值為10

route-policy RP permit node 20
if-match acl 2001
apply cost 20 //設(shè)置辦公網(wǎng)段路由的cost值位20

route-policy RP permit node 30 //剩余網(wǎng)段的路由允許進(jìn)來，不做任何處理

ip route-static 10.10.1.0 255.255.255.0 192.168.14.2
ip route-static 10.10.2.0 255.255.255.0 192.168.14.2
ip route-static 10.10.3.0 255.255.255.0 192.168.14.2

LSW2關(guān)鍵配置：

acl number 2000
rule 5 permit source 10.10.1.0 0 //用于匹配生產(chǎn)網(wǎng)段路由

acl number 2001
rule 5 permit source 10.10.2.0 0 //用于匹配辦公網(wǎng)段路由

route-policy RP permit node 10
if-match acl 2000
apply cost 20 //設(shè)置生產(chǎn)網(wǎng)段路由的cost值為20

route-policy RP permit node 20
if-match acl 2001
apply cost 10 //設(shè)置辦公網(wǎng)段路由的cost值為10

route-policy RP permit node 30 //剩余網(wǎng)段的路由允許進(jìn)來，不做任何處理

ip route-static 10.10.1.0 255.255.255.0 192.168.25.2
ip route-static 10.10.2.0 255.255.255.0 192.168.25.2
ip route-static 10.10.3.0 255.255.255.0 192.168.25.2

結(jié)果驗(yàn)證
完成上述配置以后，可以在LSW3上查看IP路由表，確認(rèn)流量模型是否正確。

display ip routing-table Route Flags: R - relay, D - download to fibRouting Tables: PublicDestinations : 9 Routes : 10 Destination/Mask Proto Pre Cost Flags NextHop Interface10.10.1.0/24 O_ASE 150 10 D 192.168.13.1 Vlanif1310.10.2.0/24 O_ASE 150 10 D 192.168.23.1 Vlanif2310.10.3.0/24 O_ASE 150 1 D 192.168.23.1 Vlanif23O_ASE 150 1 D 192.168.13.1 Vlanif13127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.13.0/24 Direct 0 0 D 192.168.13.2 Vlanif13192.168.13.2/32 Direct 0 0 D 127.0.0.1 Vlanif13192.168.23.0/24 Direct 0 0 D 192.168.23.2 Vlanif23192.168.23.2/32 Direct 0 0 D 127.0.0.1 Vlanif23

從LSW3的路由表中可以看到，到達(dá)生產(chǎn)網(wǎng)段10.10.1.0/24的流量優(yōu)先走LSW1，到達(dá)辦公網(wǎng)段10.10.2.0/24的流量優(yōu)先走LSW2，到達(dá)其他網(wǎng)段的流量在LSW1和LSW2兩條鏈路上進(jìn)行負(fù)載分擔(dān)。流量模型符合預(yù)期。

檢測命令
使用display route-policy [ route-policy-name ]命令查看路由策略的詳細(xì)配置信息。

整理資料來源：《交換機(jī)在江湖》

總結(jié)

以上是生活随笔為你收集整理的华为设备路由策略原理与实验的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。