2024年4月2日发(作者:)
第7章 IP单播策略路由配置
7.1 IP单播策略路由简介
与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据
用户制定的策略进行路由选择的机制。本系统的策略路由支持基于到达报文的源
地址、地址长度等信息,灵活地指定路由。
本系统的策略路由配置需要做两方面的工作,一是定义那些需要使用策略路由的
报文,二是为这些报文指定路由,这可以通过对一个route-policy的定义来实
现。route-policy的配置在用作策略路由的定义时,if-match子句定义了那些
需要使用策略路由的报文,当报文满足route-policy中的if-match子句时,则
执行策略中的apply子句,以完成报文的转发。
一个route-policy由若干节点组成,每一节点由一些if-match子句和apply
子句组成。if-match子句定义该节点的匹配规则,apply子句定义通过该节点过
滤后进行的动作。
节点的if-match子句之间的过滤关系是“与”的关系,即报文必须满足该节点
的所有if-match子句,才会执行apply子句。目前route-policy提供了两种
if-match子句,分别为if-match packet-length和if-match acl;提供了5
种route-policy的apply子句:apply ip-precedence,apply
output-interface,apply ip-address next-hop,apply default
output-interface,apply ip-address default next-hop。
在满足所有if-match子句的情况下,apply子句执行情况如下:
配置优先级:apply ip-precedence,只要配置了该子句,该子句就一定
会执行;
配置出接口和下一跳:apply output-interface和apply ip-address
next-hop,其中apply output-interface命令的优先级高于apply ip-address
next-hop。当两条命令同时配置并且都有效时,系统只会执行apply
output-interface命令;
配置缺省出接口和下一跳:apply default output-interface和apply
ip-address default next-hop,同样,apply default output-interface命令
的优先级高于apply ip-address default next-hop。当两条命令同时配置并且
都有效时,系统只会执行apply default output-interface命令。执行缺省出
接口和下一跳命令的前提是,在策略路由中报文没有配置出接口或者下一跳,或
者配置的出接口和下一跳无效,并且报文在路由表中没有查找到相应的路由,这
时才会使用策略路由配置的缺省下一跳或者出接口。
本系统提供的策略路由可以分为接口策略路由和本地策略路由。前者在接口视图
下配置(应用于报文到达的接口上),作用于到达该接口的报文;后者在系统视
图下配置,对本机产生的报文进行策略路由。对于一般转发和安全等方面的使用
需求,大多数情况下使用的是接口策略路由。
策略路由可应用于安全、负载分担等目的。
7.2 IP单播策略路由的配置
IP单播策略路由配置包括:
创建策略
定义Route-policy的if-match子句
定义Route-policy的apply子句
使能/禁止本地策略路由
使能/禁止接口策略路由
7.2.1 创建策略
由策略名称指定的策略可以包含若干策略点,每个策略点由
sequence-num
来指
定,
sequence-num
的值越小优先级越高,其定义的策略会被先执行。该策略可
以用来引入路由以及对IP报文转发进行策略路由。该策略的具体内容由
if-match和apply子句来指定。
请在系统视图下进行下列配置。
表7-1 创建策略
操作
创建策略或一个策略
节点
删除策略或一个策略
节点
permit表示满足匹配条件的报文进行策略路由;deny表示满足匹配条件的报文
不进行策略路由。
缺省情况下,没有route-policy和相关的节点设置被定义。
命令
route-policy
policy-name
{ permit | deny }
node
sequence-number
undo route-policy
policy-name
[ permit |
deny | node
sequence-number
]
发布评论