华为路由器路由策略和策略路由配置与管理Word文件下载.docx

1、匹配条件由lf-match子句定义，涉及路由信息的属性和路由策略的匹配模式分 permit 和 deny 两种：permit ：路由将被允许通过，并且执行该节点的 Apply 子句对路由信息的一些属性进行设置。deny：路由将被拒绝通过。当路由与该节点的任意一个 If-match 子句匹配失败后，进入下一节点。 如果和所有节点都匹配失败，路由信息 将被拒绝通过。过滤器路由策略中lf-match子句中匹配的6种过滤器包括访问控制列表 ACL （Access Control List）、地址前缀列表、 AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和 RD 属性过滤器。这 6 种过滤器具有各

2、自的匹配条件和匹配模式，因此这 6 种过滤器在以下的特定情况中可以单独使用，实现路 由过滤。1、 ACLACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发 布、接收路由时单独使用。在 Route-Policy 的 lf-match 子句中只支持基本 ACL。2、 地址前缀列表（ IP Prefix Lis）t地址前缀列表将源地址、目的地址和下一跳的 地址前缀作为匹配条件的过滤器 ，可在各路由协议发布和接收路 由时单独使用。每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节 点是否匹配， 任意

3、一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。说明：当IP地址为0.0.0.0时表示通配地址，表示掩码长度范围内的所有路由都被 Permit或Deny。3、 AS路径过滤器（AS_Path Filte）AS路径过滤器是将 BGP中的AS_Path属性作为匹配条件的过滤器，在 BGP发布、接收路由时单独使用。AS_Path属性记录了 BGP路由所经过的所有 AS编号。4、 团体属性过滤器（ Community Filter）团体属性过滤器是将 BGP中的团体属性作为匹配条件的过滤

4、器，在 BGP发布、接收路由时单独使用。BGP的团体属性是用来标识一组具有共同性质的路由。5、 扩展团体属性过滤器（ Extcommunity Filter）扩展团体属性过滤器是将 BGP中的扩展团体属性作为匹配条件的过滤器，可在 VPN配置中利用VPN Target区分路由时单独使用。目前，扩展团体属性过滤器仅应用于对 VPN中的VPN Target属性的匹配。VPN Target属性在 BGP/MPLS IP VPN网络中控制VPN路由信息在各 Site之间的发布和接收。6、 RD 属性过滤器（ Route Distinguisher Filte）rRD团体属性过滤器是将 VPN中的RD属

5、性作为匹配条件的过滤器，可在 VPN配置中利用RD属性区分路由时单独使用。VPN实例通过路由标识符 RD实现地址空间独立，区分使用相同地址空间的前缀。BGP to IGP 功能BGP to IGP功能使IGP能够识别 BGP路由的Community、Extcommunity、AS-Path等私有属性。在IGP引入BGP路由时，可以应用路由策略。只有当设备支持 BGP to IGP功能时，路由策略中才可以使用 BGP私有属性作为匹配条件。如果设备不支持 BGP to IGP功能，那么IGP就不能够识别BGP路由的私有属性，将导致匹配条件失效。三、配置路由策略1、配置过滤器1、配置地址前缀列表 当

6、需要根据路由的目的地址控制路由的发布和接收时，配置地址前缀列表。 如果地址前缀列表不与路由策略中 if-match 语句配合使用，地址前缀列表中至少配置一个节点的匹配模式是 permit ，否则所有路由将都被过滤。具体配置Huaweiip ip-prefix 1 permit 10.1.0.0 16 ?greater-equal Set the greater-than-or-equal-to value of the mask length# 掩码长度可以匹配范围的下限值 less-equal Set the less-than-or-equal-to value of the mask l

7、ength # 掩码长度可以匹配范围的上限值 2、配置AS属性过滤器在不希望接收某些 AS的路由时，可以利用 如果利用ACL或者地址前缀列表过滤 BGP AS 路径过滤器。AS路径过滤器是利用 BGP路由携带的AS-Path列表对路由进行过滤。 AS路径过滤器对携带这些 AS号的路由进行过滤。 当网络环境比较复杂时, 路由，则需要定义多个 ACL或者前缀列表，配置比较繁琐。这时也可以使用Huaweiip as-path-filter 1 deny ?TEXT A regular-expression of 1 to 255 characters for matching AS_Path att

8、ributes # 用正则表达式来表示 正则表达式的使用见正则表达式章节3、配置团体属性过滤器团体属性可以标识具有相同特征的路由，而不用考虑零散路由前缀和繁多的 AS号。团体属性过滤器与团体属性配合使用，可以在不便使用地址前缀列表和 AS属性过滤器时，降低路由管理难度。例如某公司一国外分部只需要接收国内总部和邻国分部的路由，不需要接收其他国外分部的路由。此时只需为 各国分部分配不同的团体属性，就可以方便的实现路由管理，而不用去考虑每个国家内零散的路由前缀和繁多的 AS号。团体属性过滤器有两种类型：基本团体属性过滤器和高级团体属性过滤器。高级团体属性过滤器支持正则表达 式，比基本团体属性过滤器匹

9、配团体属性更灵活。1、 基本团体属性过滤Huaweiip community-filter basic 1 permit ?INTEGER Specify community numberSTRING Specify aa:nn Extended community-filter number （basic）200-399 Extended community-filter number （advanced）advanced Advanced extcommunity-filterbasic Basic extcommunity-filter5、配置 RD 属性过滤器当VPN场景中需要根据 R

10、D属性进行过滤时，可以使用扩展团体属性过滤器。Huaweiip rd-filter 1 ?deny Specify a deny rulepermit Specify a permit rule2、配置路由策略Route-Policy 的每个节点由一组 if-match 子句和 apply 子句组成。if-match ： 定义节点匹配规则，即路由信息通过当前路由策略所需满足的条件。apply ：路由策略动作，即满足 if-match 子句后所执行的一些属性配置动作，对路由的某些属性进行修改。1、创建 Route-PolicyRoute-Policy 中可以包含多个匹配条件和操作动作。Route

11、-Policy 中至少配置一个节点的匹配模式是 permit ，否则所有路由将都被过滤。 具体配置Huaweiroute-policy 1 permit node ? Index of the node2、配置 If-match 子句（可选）If-match 子句用来定义路由策略的匹配条件，匹配对象是路由策略过滤器和路由信息的一些属性。 在一个路由策略节点中，如果不配置 if-match 子句，则表示路由信息在该节点匹配成功。如果配置一条或多条 if-match 子句，则各个 if-match 子句之间是 “与” 的关系，即路由信息必须同时满足所有 if-match 子句，才算该节点 匹配成功

12、。但命令 if-match as-path-filter 、if-match community-filter 、if-match extcommunity-filter 、if-match interface 和 if-match route-type 除外，这五个命令的各自 if-match 子句间是“或”的关系，与其它命令的 if-match 子句间仍是“与”的关 系。例如在一个节点中配置多条 if-match as-path-filter 子句，则 if-match as-path-filter 子句间是“或”的关系，与其它 命令的 if-match 子句间仍是“与”的关系。if-ma

13、tch 子句匹配未配置的过滤器时，默认该 if-match 子句匹配成功。对于同一个路由策略节点， 命令 if-match acl 和命令 if-match ip-prefix 不能同时配置， 后配置的命令会覆盖先配置 的命令。修改包括多条 if-match 子句相互配合的路由策略时， 建议配置路由策略生效时间， 否则不完整的策略会造成路由 振荡。具体配置： 1、创建路策略视图 Huaweiroute-policy test1 permit node 1if-match 子句aclas-path-filter community-filter costSpecify an ACL#基于acl的

14、匹配规则BGP AS path list#基于as路径过滤器Match BGP community filter# 基于团体属性过滤器Match metric of route# 基于路由开销Huawei-route-policy 下列命令之间是并列关系，请根据实际情况配置路由策略中的 2、设置匹配规则Huawei-route-policyif-match ?extcommunity-filter interfaceip ip-prefix ipv6 mpls-label rd-filter route-type tagMatch BGP/VPN extended community filt

15、erSpecify the interface matching the first hop of routes# 基于出接口 IP informationSpecify an address prefix-list# 基于 IP 第前缀列表IPv6 InformationGive the Label# 基 于 mpls 标签Route-distinguisher filter# 基于 RD 属性Match route-type of route# 基于 is-is 路由类型Match tag of route# 基于路由信息标记Huawei-route-policyif-match comm

16、unity-filter 1 ?1-99 Specify Community-filter number（basic）100-199 Specify Community-filter number（advanced） whole-match Do exact matching of communities # 要求完全匹配Huawei-route-policyif-match ip ?group-address Match group address of route# 组播 IP 地址 next-hop Match next-hop address of routeroute-source

17、Match advertising source address of routeHuawei-route-policyif-match route-typeexternal-type1 external-type1or2 external-type2 internal is-is-level-1 is-is-level-2OSPF External Type 1 routesOSPF External routes （OSPF type 1/2）OSPF External Type 2 routesInternal route （including OSPF intra/inter area

18、）IS-IS Level-1 routesIS-IS Level-2 routesnssa-external-type1 nssa-external-type1or2 nssa-external-type2OSPF NSSA External Type1 routesOSPF NSSA External Type1 and Type2 routesOSPF NSSA External Type2 routes3、配置 Apply 子句（可选）Apply 子句用来为路由策略指定动作，用来设置匹配成功的路由的属性。在一个节点中，如果没有配置 apply 子句，则该节点仅起过滤路由的作用。如果配置一

19、个或多个 apply 子句，则 通过节点匹配的路由将执行所有 apply 子句。1、设置BGP路由的AS_Path属性动作 Huawei-route-policyapply as-path 200 10 10 ?additiveoverwriteAppend to original As Number#在原有的路径前面添加 as号Overwrite original As Number# 覆盖原有 as 号2、设置备份出接口主要用于IP FR（快速重路由）场景，手动为路由配置一个备份出接口，一般需要与 apply backup-nexthop命令配合使用，除了 P2P链路外都需要设置下一跳。H

20、uawei-route-policyapply backup-interface ?EthernetEthernet interfaceGigabitEthernet GigabitEthernet interfaceNULLSerialNULL interfaceSerial interface3、设置备份出接口下一跳动作Huawei-route-policyapply backup-nexthop ?X.X.X.X Specify IP-addressauto Find backup nexthop address automatic4、 删除指定的BGP路由的团体属当需要删除几个团体属性

21、时，可通过一条 ip community-filter 命令仅配置一个团体属性的方法，将需要删除的团 体属性都分条配置到一个团体属性过滤器， 最后应用包含 apply comm-filter delete 命令的路由策略删除该团体属性过 滤器中的所有团体属性。Huawei-route-policyapply comm-filter 2 delete5、 删除全部BGP团体属性或改变BGP团体属性 Huawei-route-policyapply community ?internet no-advertise no-export no-export-subconfednoneSpecify aa Half-life period for a route, in minutes9、设置 BGP 路由的扩展团体属性（ Route-Target） Huawei-route-policyapply extcommunity rt ?3-21 IPNNor AS orAS. Give the