路由策略范文-盘古文库

路由策略范文

来源：火烈鸟

作者：开心麻花

2025-09-19

路由策略范文（精选8篇）

路由策略第1篇

在网络设备维护上，现在很多维护的资料上都讲到“路由策略”与“策略路由”这两个名词，但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻，无法准确把握这两者之间的联系与区别，本文简单分析一下这两者之间的概念，并介绍一些事例，希望大家能从事例中得到更深的理解。

一、路由策略

路由策略，是路由发布和接收的策略。其实，选择路由协议本身也是一种路由策略，因为相同的网络结构，不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表，这些是最基本的。通常我们所说的路由策略指的是，在正常的路由协议之上，我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果，注意，改变的是结果（即路由表），规则并没有改变，而是应用这些规则。

下面给出一些事例来说明。

改变参数的例子：例如，A路由器和B路由器之间是双链路（分别为AB1和AB2）且带宽相同，运行是OSPF路由协议，但是两条链路的稳定性不一样，公司想设置AB1为主用电路，当主用电路（AB1）出现故障的时候才采用备用电路（AB2），如果采取默认设置，则两条电路为负载均衡，这时就可以采取分别设置AB1和AB2电路的COST（开销）值，将AB1电路的COST值改小或将AB2电路的COST值设大，OSPF会产生两条开销不一样的路由，COST（开销）越小路由代价越低，所以优先级越高，路由器会优先采用AB1的电路。还可以不改COST值，而将两条电路的带宽（BandWidth）设置为不一致，将AB1的带宽设置的比AB2的大，根据OSPF路由产生和发现规则，AB1的开销（COST）会比AB2低，路由器同样会优先采用AB1的电路。

改变控制方式的例子，基本就是使用路由过滤策略，通过路由策略对符合一点规则的路由进行一些操作，例如最普通操作的是拒绝（deny）和允许（Permit），其次是在允许的基础上调整这些路由的一些参数，例如COST值等等，通常使用的策略有ACL（Acess Control List访问控制列表）、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP协议配合使用中，属于路由接收和通告原则。

例如，AS1不向AS2发布19.1.1.1/32这个网段，可以设置ACL列表，在RTB上设置(以华为的路由器为例)：

[RTB]acl number 1 match-order auto

[RTB-acl-basic-1]rule deny source 19.1.1.1 0

[RTB-acl-basic-1]rule permit source any

[RTB]bgp 1

[RTB-bgp]peer 2.2.2.2 as-number 2

[RTB-bgp] import-route ospf

[RTB-bgp] peer 2.2.2.2 filter-policy 1 export

如果B向C发布了这条路由，但是C不想接收这条路由，则C可以设置：

[RTC]acl number 1 match-order auto

[RTC-acl-basic-1]rule deny source 19.1.1.1 0

[RTC-acl-basic-1]rule permit source any

[RTC]bgp 2

[RTC-bgp]peer 2.2.2.1 as-number 1

[RTC-bgp] peer 2.2.2.1 filter-policy 1 import

再举个ip-prefix的例子：

例如RTB不向RTC发布19.1.1.0/24这个网段的路由，则可以设置

[RTB]ip ip-prefix test index 10 deny 19.1.1.0 24

[RTB]ip ip-prefix test index 20 permit any

[RTB]bgp 1

[RTB-bgp]peer 2.2.2.2 as-number 2

[RTB-bgp] import-route ospf

[RTB-bgp] import-route direct

[RTB-bgp]peer 2.2.2.2 ip-prefix test export

ip-prefix是精确匹配的，如果想实现模糊匹配，可以通过后面的参数less-equal或greater-equal来实现，例如ip ip-prefix test index 10 deny 19.1.1.0 24 less-equal 31就表示从19.1.1.0/24、19.1.1.0/25、19.1.1.0/26一直到19.1.1.0/31都能匹配上，否则这仅仅表示只匹配目的网络是19.1.1.0/24这一条路由，而19.1.1.0/25不满足该条件，具体可以参考命令手册，这里不详细解释了。

上面讲的都是路由的运行和禁止，下面讲更灵活的路由策略设置方式：route-policy中if-match和apply的匹配，这里不仅能设置允许或禁止某些路由，还能对允许的路由设置其属性。

RTB与RTC之间跑的是IBGP协议，RTA与RTB、RTC之间跑的是EBGP协议。Router_ID按A、B、C、D从小到大排序。正常情况下，RTA到RTD之间的通信会选择RTB做中转，RTD到RTA的通信也会选择RTB，在默认情况下，所有参数都相同，BGP会选择router_ID较小的一条路径，

现在想让RTD到RTA之间的通信都走RTB，而RTA到RTD之间的通信都通过RTC，即两台路由器中RTB专门负责自治域内路由器与域外路由器之间的出口通信，而RTC专门做自治域外路由器与域内路由器的进口通信，我们可以用route-policy中的as-path来实现，在RTB上做：

[rtb]route-policy test permit node 10

[rtb-route-policy]apply as-path 300 400 //添加虚假的路径，使as-path增长

[rtb-bgp]peer 1.1.1.1 route-policy test export //向RTA发布路由信息的时候使用策略

这样B在向A发布BGP路由的时候，加大路由的AS-Path值，根据BGP路由选择规则，优先选用AS－Path较短的路由，这样RTA向RTD通信的时候，优先选用AS-Path短的RTC这条路由，而RTD在选择到RTA路由的时候仍然选择的是RTB,因为对RTD来说，影响路由的参数什么都没有任何变化。其实也可以使用改变Med值来设定，这里用路由策略来举例。

这种方法特别灵活在apply语句中能设置多种参数，除了as-path，还有ip next hop（设置下一跳）、local-preference（本地出口优先级）、cost（开销）、origin（起源，来自igp、egp还是incomplete）、tag（标记）。

二、策略路由

2.2.2.2/30

2.2.2.1/30

1.1.1.2/30

RTB

1.1.1.1/30

10.10.10.0/24

策略路由是在路由表已经产生的情况下，不按照现有的路由表进行转发，而是根据需要，某些通信流量选择其他路由的方式。

PC2

PC1

交换机

RTA

如图，RTA和RTB之间的通信有2条链路，其中上面那条电路是主用，带宽是1000M的，下面的电路是备用，带宽是10M的，目前10M基本是空闲，大部分的通信都走主用上走，PC1（10.10.10.10/24）是某个特别重要的客户，他发的信息要求被立即传送，我们根据这种情况，我们可以将他的发送通信量单独使用下面备用电路的方法。(编程入门网)

rule-map intervlan permitpc1 ip 10.10.10.10 0.0.0.0 any

flow-action next2 redirect ip 2.2.2.2

eacl abc permitpc1 next2

然后在和10.10.10.0/24网络直连的端口上使用 access-group eacl abc命令下发应用。

这是一个策略路由的典型应用。这个应用是根据源地址来选择转发路径的，还可以根据协议类型（例如将UDP和TCP分开跑不同的电路）、应用（例如某些视频应用要求实时传送，可以将rstp流单独使用一条电路来跑）、报文大小或它们的组合等来设置转发条件。其实就是将acl规则应用到数据转发上，rule-map的规则同ACL，这里就不在举再多的例子了，熟悉ACL的技术人员都知道。

这里flow-action做的动作redirect就是设置下一条，使用flow-action还可以进行QoS相关的操作，例如使用cos或car动作对数据包进行队列匹配，再根据相关设置的流量模型规则进行操作，具体参阅命令参考手册。

三、联系与区别

联系：

双方都是为了转发数据包而进行路径选择的策略，都是根据某种规则改变某些参数或控制手段来设置不同的转发路径。

区别：

路由策略是根据一些规则，使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果，最终改变的是路由表的内容。是在路由发现的时候产生作用。

策略路由是尽管存在当前最优的路由，但是针对某些特别的主机（或应用、协议）不使用当前路由表中的转发路径而单独使用别的转发路径。在数据包转发的时候发生作用、不改变路由表中任何内容。

策略路由的优先级比路由策略高，当路由器接收到数据包，并进行转发的时候，会优先根据策略路由的规则进行匹配，如果能匹配上，则根据策略路由来转发，否则按照路由表中转发路径来进行转发。

概括一点讲就是，路由策略是路由发现规则，策略路由是数据包转发规则。其实将“策略路由”理解为“转发策略”，这样更容易理解与区分。由于转发在底层，路由在高层，所以转发的优先级比路由的优先级高，这点也能理解的通。其实路由器中存在两种类型和层次的表，一个是路由表(routing-table)，另一个是转发表(forwording-table)。转发表是由路由表映射过来的，策略路由直接作用于转发表，路由策略直接作用于路由表。

四、优缺点

网络通信的规则是先有路由，才有转发。路由策略由于仅仅在路由发现的时候产生作用，在路由表产生且稳定之后，如果网络不发生变化，路由表通常都不会变化，这时候，路由策略没有应用就不会占用资源。而策略路由是在转发的时候发生作用，路由器在初始产生路由表之后，基本工作量都在数据包转发上，如果没有策略路由，路由器只要分析每一个数据包的目的地址，再按路由表来匹配就可以决定下一跳；但是如果有策略路由，策略路由就一直处于应用状态，如果策略路由特别复杂，路由器要根据规则来判断数据包的源地址、协议或应用等附加信息，这样就会一直占用大量的资源，所以除非不得已，尽量使用路由策略，而不要使用策略路由。网络优化的时候需要考虑这一点，如果策略路由特别复杂，能通过将网络进行简单分解而达到取消策略路由的尽量进行分解，否则路由器负担很重。

路由策略第2篇

acl number 2000

rule 10 permit source 192.168.0.0 0.0.255.255//提取源地址 acl number 2001

rule 10 permit source 192.168.1.0 0.0.255.255

policy-based-route aaa deny node 3

if-match acl 2000 //匹配ACL 2000，即内部服务器发出的流量 policy-based-route aaa permit node 5

apply ip-address next-hop 1.1.1.1//应用下一跳1.1.1.1 policy-based-route aaa deny node 7

if-match acl 2001//匹配ACL 2222，即内部服务器发出的流量 policy-based-route aaa permit node 10

apply ip-address next-hop 1.1.1.1//应用下一跳1.1.1.1

interface GigabitEthernet0/0

ip policy-based-route aaa//在路由源接口应用改策略

2007-04-27

路由策略第3篇

关键词：网络优化,路由优化,路由策略

网络优化可以有效的保证网络的伸缩性、稳定性、安全性和网络的快速收敛, 网络优化的一个重要方面就是路由优化。路由优化包括多个方面, 而策略路由是路由优化的一个重要方式。

1策略路由的基本概念

策略路由 (PBR:Policy-Based Routing) 为网络用户提供了一种比传统的基于路由表进行路由转发更加灵活的数据包路由转发机制。策略路由可以以数据报文的源地址、目的地址、端口、报文长度等内容为依据, 这种依据可以是基于标准的和扩展的访问控制列表, 进而灵活地对数据报文进行路由选择。策略路由是对传统IP路由表路由的一种有效的增强手段。

正常情况下, 路由器通过动态路由协议生成路由表, 进而依据路由表中的路由条目对数据包进行路由转发。基于路由策略的路由可以根据数据包的目的IP地址、数据包的协议类型、数据包的长度、数据包的源IP地址来为数据包选择路由路径;策略路由相比较于传统路由具有更强的路由能力, 使用起来也更加灵活, 对数据包的转发和存储有更强的控制力。一般情况下, 策略路由的优先级别高于传统的路由。

策略路由包括两种类型:

(1) 对路由器接口接收到的IP数据报文执行策略路由。这种类型的策略路由仅仅是对从路由器接口接收的IP数据报文执行策略路由, 而对于从路由器该接口转发出去的IP数据报文则不会受到这些策略路由的影响。

(2) 对当前路由器发出的IP数据报文执行策略路由。这种类型的策略路由主要用来控制当前路由器发往其它路由器的IP数据报文, 对于其他路由设备发送给当前路由器的IP数据报文, 是不会受到策略路由的影响的。

2策略路由的配置方法

策略路由的配置方法主要包括两个步骤:定义策略和应用策略。

定义策略通过路由映射命令定义策略, 路由映射由具有同一路由映射标识名的路由映射陈述集合构成。通过判别, 即通过permit和deny来确定是否执行策略路由。permit指定相应的策略的匹配模式为允许, 即当IP数据报文满足相对应的策略的match规则时, 策略路由就会对相应的IP数据报文应用相应的set规则;如果IP数据报文不满足相应的策略的所有match规则, IP数据报文将会被使用下一条策略进行匹配。如果通过路由器的数据包所匹配的策略标识是deny, 指定相应的策略的匹配模式为拒绝, 即当IP数据报文满足该策略路由的所有match语句时, 这个数据包就会按照路由器路由表的匹配被正常路由。

在路由策略中通过match命令来定义路由策略的匹配条件。当通过路由器的数据包匹配的路由策略的标识为permit的时候, 通过match定义的匹配条件, 进而去执行由在路由策略里通过set命令定义的执行语句, 这样这个数据包就不会被路由器按路由表去路由转发而是由路由器按定义的路由策略来执行相应的路由。

2.1定义策略

2.1.1路由映射命令 (Route Map) 定义路由策略

Router (config) #route-map map-tag{permit|deny}[sequence-number]

map-tag:标识了路由策略的名字或者ID

{permit|deny}:定义了当数据包符合匹配条件时候执行的操作

[sequence-number]:定义了路由策略的检查顺序, 用了区分不同的路由策略。也可以利用这个参数在特定的位置插入、删除和编辑一条路由策略。如果不指定这个顺序标识, 路由器会自动添加, 以10开始自动添加10。

2.1.2 Match命令定义匹配条件

(1) 使用标识访问控制列表和扩张访问控制列表来建立相应的匹配标准, 具体的命令为:

Router (config-route-map) #match ip addess{/}

(2) 使用基于三层数据包的长度来建立相应的匹配标准。

Router (config-route-map) #match length

Length:定义了三层数据包的最大和最小长度, 当一个数据包在这个定义的区间时, 则符合匹配。

2.1.3 Set命令定义执行的语句

Router (config-route-map) #set{actions}

{actions}包括以下几种:

(1) .ip next-hop:路由器下一跳的IP地址, 这个地址必须是邻接路由器的邻接端口的IP地址。

(2) .interface:数据包在当前路由器的出接口。

(3) .ip default next-hop:当路由器的路由表中找不到数据包对于的目的路由条目时候, 通过这条参数来确定数据包下一跳的路由地址。

(4) .default interface:当路由器的路由表中找不到数据包对于的目的路由条目时候, 通过这条参数来确定数据包的在当前路由器的出接口。

(5) .ip tos:设定IP数据包的IP To S值。

(6) .ip precedence:设定IP数据包的优先级。

2.2应用策略

应用策略就是在路由器的相应接口应用已经定义好的路由策略。命令语句如下:

(1) .Router (config-if) #ip policy routemap man-tag

(2) .路由器对自身产生的数据包是不会自动执行路由策略的, 如果想设定路由器能够对自身产生的数据包进行策略路由应使用的命令为:

Router (config) #ip local policy route-map map-tap

参考文献

[1]TCP/IP路由技术 (第二卷) Jeff Doyle, Jennifer De Haven Carroll, 夏俊杰译[M].北京:人民邮电出版社, 2009.

路由器安全配置策略第4篇

【关键词】路由器安全；CDP；路由协议；安全漏洞

1.前言

路由器是局域网连接外部网络的重要桥梁，是网络系统中不可或缺的重要部件，也是网络安全的前沿关口。但是路由器的维护却很少被大家所重视。试想，如果路由器连自身的安全都没有保障，整个网络也就毫无安全可言。因此在网络安全管理上，必须对路由器进行合理规划、配置，采取必要的安全保护措施，避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。

2.路由器工作原理

路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上，路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息，依照拓扑结构动态生成路由表。在数据通道上，转发引擎从输入线路接收IP包后，分析与修改包头，使用转发表查找输出端口，把数据交换到输出线路上。转发表是根据路由表生成的，其表项和路由表项有直接对应关系，但转发表的格式和路由表的格式不同，它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。

路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域，这些管理区域称为自治域，自治域区号实行全网统一管理。这样，路由协议就有域内协议和域间协议之分。域内路由协议，如OSPF、IS-IS，在路由器间交换管理域内代表网络拓扑结构的链路状态，根据链路状态推导出路由表。域间路由协议相邻节点交换数据，不能使用多播方式，只能采用指定的点到点连接。

3.路由器结构体系

路由器的控制平面，运行在通用CPU系统中，多年来一直没有多少变化。在高可用性设计中，可以采用双主控进行主从式备份，来保证控制平面的可靠性。路由器的数据通道，为适应不同的线路速度，不同的系统容量，采用了不同的实现技术。路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言，可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发，根据使用CPU的数目，进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发，根据使用网络处理器的数目及网络处理器在设备中的位置，进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。

4.路由器安全设置

利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期，误导信息流量，使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

4.1 堵住安全漏洞

限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露，这就使得黑客抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。

4.2 避免身份危机

黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能，这样即使黑客能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证，以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分，后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。

4.3 禁用不必要服务

拥有众多路由服务是件好事，但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务，对照有效准确的时间源以确保网络上的设备时针同步。不过，确保网络设备时钟同步的最佳方式不是通过路由器，而是在防火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器，将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上，用户很少需要运行其他服务，如SNMP和DHCP。只有绝对必要的时候才使用这些服务。

4.4 限制逻辑访问

限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法，但如果无法避免Telnet，不妨使用终端访问控制，以限制只能访问可信主机。因此，用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。

控制消息协议(ICMP)有助于排除故障，但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客搜集上述信息，只允许以下类型的ICMP流量进入用户网络：ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外，逻辑访问控制还应禁止ICMP流量以外的所有流量。

使用入站访问控制将特定服务引导至对应的服务器。例如，只允许SMTP流量进入邮件服务器；DNS流量进入DSN服务器；通过安全套接协议层(SSL)的HTTP(HTTP/S)流量进入Web服务器。为了避免路由器成为DoS攻击目标，用户应该拒绝以下流量进入：没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击，但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。

用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量，只允许有效的源地址包离开网络。这有助于防止IP地址欺骗，减小黑客利用用户系统攻击另一站点的可能性。

4.5 监控配置更改

用户在对路由器配置进行改动之后，需要对其进行监控。如果用户使用SNMP，那么一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置，用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问，用户就能防止黑客改动或关闭接口。此外，用户还需将系统日志消息从路由器发送至指定服务器。

为进一步确保安全管理，用户可以使用SSH等加密机制，利用SSH与路由器建立加密的远程会话。为了加强保护，用户还应该限制SSH会话协商，只允许会话用于同用户经常使用的几个可信系统进行通信。

配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议(RIP)，RIP很容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议(BGP)和开放最短路径优先协议(OSPF)等协议，以便在接受路由更新之前，通过发送口令的MD5散列，使用口令验证对方。以上措施有助于确保系统接受的任何路由更新都是正确的。

4.6 实施配置管理

用户应该实施控制存放、检索及更新路由器配置的配置管理策略，并将配置备份文档妥善保存在安全服务器上，以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。

用户可以通过两种方法将配置文档存放在支持命令行接口(CLI)的路由器平台上。一种方法是运行脚本，脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统；另外一种方法是在配置服务器到路由器之间建立IPSec隧道，通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前，制订详细的逆序操作规程。

通过采用和遵循上面的配置就可以实现一个路由器的基本的安全，但是这对于一个严格要求的安全环境是不够的，因为还有很多的攻击无法从路由器上过滤，且对于来自内部网络的攻击，路由器是无能力进行保证的。但是通过一个路由器的安全配置，能够为网络的安全建立一个外部的屏障，减轻了内部防火墙的负担，并且保证了路由器本身的安全。所以路由器的安全配置还是十分重要。

参考文献

[1]GOUGH C.CCNP认证考试指南[M].北京:电子工业部出版社,2001.

[2]李增智,张克平,李战国.CISCO路由器安全管理技术与实现方法[J].微机发展,2000(02).

[3]李继光.CISCO路由器的安全防护要点[J].科技情报开发与经济,2010(24).

[4]于振海.利用路由器加强网络安全的研究与实现[J].山东理工大学学报(自然科学版),2005(05).

解决水星路由二层端策略故障第5篇

策略路由是在路由表已经产生的情况下，不按照现有的路由表进行转发，而是根据需要，某些通信流量选择其他路由的方式，本文就来为大家介绍由于路由策略配置在二层端口导致策略不生效的路由故障的解决方法。

一、网络环境

路由器A的GE1/0/0端口下使能ACL，希望将流量策略路由到路由器B，在使用过程中，路由器A配置的策略不生效，报文依然按照路由表的最长匹配原则转发。

二、故障分析

1、策略路由指定的下一跳不可达，

2、路由器启用了二层接口，并透传报文上其他三层设备。

三、故障处理

1、策略路由指定的下一跳可达，排除第一种可能性。

2、与策略路由相关的rule-map、flow-action、以及ACL本身配置都没有问题。

3、发现引用ACL的接口配置了portswitch命令，透传报文到上游路由器，由此发现问题所在。路由器启用了2层接口并透传报文至其他三层设备，当报文到达路由器后，经检查报文的目的MAC地址并不是路由器本身的MAC。

4、对网络进行了优化，取消路由器A上的二层接口，将下游设备的网关设置在路由器A上而非上游路由器，这样，在GE1/0/0下配置的策略路由就可以正常工作。

水星路由二层端策略故障的解决办法就为大家介绍完了，策略路由不生效，需要考虑相关接口的接口属性和接口状态是否正确。

策略路由之双出口配置实例第6篇

策略路由实验拓朴：

策略路由实验要求：

1、R1连接本地子网，R2为边缘策略路由器，R3模拟双ISP接入的Internet环境。

2、要求R1所连接的局域网部分流量走R2-R3间上条链路(ISP1链路)，部分流量走R2-R3间下条链路(ISP2链路)从而实现基于源的供应商链路选择和网络负载均衡。

各路由器配置如下：

R1#shrun//路由器R1的配置

interfaceLoopback0//模拟子网一：192.168.1.0/24

ipaddress192.168.1.1255.255.255.0//模拟子网中第一台主机

ipaddress192.168.1.2255.255.255.0secondary//模拟子网中第二台主机

interfaceLoopback2//模拟子网二：192.168.2.0/24

ipaddress192.168.2.1255.255.255.0

ipaddress192.168.2.2255.255.255.0secondary

interfaceFastEthernet0/0

ipaddress12.0.0.1255.255.255.0

bitscn.com

routerrip//通过RIP协议配置网络的连通性

version2bitscn.com

network192.168.1.0

network12.0.0.0

R3#shrun//路由器R3的配置

Buildingconfiguration

interfaceLoopback0//模拟一个连接目标

descriptiontointernet

ipaddress100.100.100.100255.255.255.0

interfaceSerial1/1//模拟ISP1的接入端口

ipaddress123.0.0.3255.255.255.0

serialrestart-delay0

interfaceSerial1/3//模拟ISP2的接入端口

bitscn.com

ipaddress223.0.0.3255.255.255.0

serialrestart-delay0

routerrip

version2

network100.0.0.0

network123.0.0.0

network223.0.0.0

noauto-summary

end

R2#shrun//策略路由器R2的配置

Buildingconfiguration...

interfaceFastEthernet0/0

ipaddress12.0.0.2255.255.255.0

ippolicyroute-mapisp-test//在接口上启用策略路由isp-test进行流量控制

duplexhalf

interfaceSerial1/1

ipaddress123.0.0.1255.255.255.0

serialrestart-delay0

!bitscn_com

interfaceSerial1/3

ipaddress223.0.0.1255.255.255.0bitscn.com

serialrestart-delay0

routerrip

version2

network12.0.0.0

network123.0.0.0

network223.0.0.0

noauto-summary

loggingalarminformational

access-list101permitip192.168.1.00.0.0.255host100.100.100.100//访问控制列表101，用于过滤原地址，允许子网192.168.1.0流量通过*/

access-list102permitip192.168.2.00.0.0.255host100.100.100.100//访问控制列表102，用于过滤原地址，允许子网192.168.2.0流量通过*/

route-mapisp-testpermit10//定义route-map，取名为isp-test，序列为10

matchipaddress101//检查源地址，匹配acl101

setipdefaultnext-hop123.0.0.3//指定下一跳地址

路由策略第7篇

interface null 0

no ip unreachable //加入这个命令

这样避免因为丢弃大量的报文而导致很多ICMP的不可达消息返回。

三层设备在转发数据包时一般都基于数据包的目的地址(目的网络进行转发)，那么策略路由有什么特点呢?

1、可以不仅仅依据目的地址转发数据包，它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。

2、为QoS服务。使用route-map及策略路由可以根据数据包的特征修改其相关QoS项，进行为QoS服务。

3、负载平衡。使用策略路由可以设置数据包的行为，比如下一跳、下一接口等，这样在存在多条链路的情况下，可以根据数据包的应用不同而使用不同的链路，进而提供高效的负载平衡能力。

策略路由影响的只是本地的行为，所以可能会引起“不对称路由”形式的流量。比如一个单位有两条上行链路A与B，该单位想把所有HTTP流量分担到A链路，FTP流量分担到B链路，这是没有问题的，但在其上行设备上，无法保证下行的HTTP流量分担到A链路，FTP流量分担到B链路。

策略路由一般针对的是接口入(in)方向的数据包，但也可在启用相关配置的情况下对本地所发出的数据包也进行策略路由。

本文就策略路由的以下四个方面做相关讲解：

1、启用策略路由

2、启用Fast-Switched PBR

3、启用Local PBR

4、启用CEF-Switched PBR

启用策略路由：

1. 开始配置route-map。使用route-map map-tag [permit | deny] [sequence-number]进入route-map的配置模式。

2. 使用match语句定义感兴趣的流量，如果不定义则指全部流量。match length min max and/or match ip address {access-list-number | name}[...access-list-number | name]

3. 使用set命令设置数据包行为。

set ip precedence [number | name]

set ip next-hop ip-address [... ip-address]

set interface interface-type interface-number [... type number]

set ip default next-hop ip-address [... ip-address]

set default interface interface-type interface-number [... type ...number]

4. 这里要注意set ip next-hop与set ip default next-hop、set interface与set default interface这两对语句的区别，不含default的语句，是不查询路由表就转发数据包到下一跳IP或接口，而含有default的语句是先查询路由表，在找不到精确匹配的路由条目时，才转发数据包到default语句指定的下一跳IP或接口。

5. 进入想应用策略路由的接口。interface xxx

6. 应用所定义的策略。注意必须在定义好相关的route-map后才能在接口上使用该route-map,在接口启用route-map策略的命令为：

ip policy route-map map-tag

启用Fast-Switched PBR

在Cisco IOS Release 12.0之前，策略路由只能通过“进程转发”来转发数据包，这样数据包的转发效率是非常低的，在不同的平台上，基本在每秒1000到10,000个数据包。随着缓存转发技术的出现，Cisco实现了Fast-Switched PBR，大大提升了数据包的转发速度。启用方法即在接口中使用ip route-cache policy命令。

注意：Fast-switched PBR支持所有的match语句及大多数的set语句，但其有下面的两个限制：

1. 不支持set ip default next-hop 与 set default interface命令，

2. 如果在route-cache中不存在set中指定的接口相关的项，那么仅在point-to-point时set interface命令才能够Fast-switched PBR。而且，在进行“进程转发”时，系统还会先查询路由条目查看该interface是不是一个合理的路径。而在fast switching时，系统不会对此进行检查。

启用Local PBR

默认情况下，路由器自身所产生的数据包不会被策略路由，如果想对路由器自身产生的数据包也进行策略路由，那么需要在全局模式下使用如下命令来启用：

ip local policy route-map map-tag

启用CEF-Switched PBR

在支持CEF的平台上，系统可以使用CEF-Switched PBR来提高PBR的转发速度，其转发速度比Fast-Switched PBR更快!只要你在启用PBR的路由器上启用了CEF，那么CEF-Switched PBR会自动启用。

注：ip route-cache policy仅仅适用于Fast-Switched PBR，在CEF-Switched PBR中并不需要，如果你在启用了CEF的路由器上使用PBR时，这个命令没有任何作用，系统会忽略此命令的存在。

PBR配置案例：

案例1：

路由器通过两条不同的链路连接至两ISP，对于从async 1接口进入的流量，在没有“精确路由”匹配的情况下，把源地址为1.1.1.1的数据包使用策略路由转发至6.6.6.6, 源地址为2.2.2.2的数据包转发至7.7.7.7，其它数据全部丢弃。

配置如下：

access-list 1 permit ip 1.1.1.1

access-list 2 permit ip 2.2.2.2

interface async 1

ip policy route-map equal-access

route-map equal-access permit 10

match ip address 1

set ip default next-hop 6.6.6.6

route-map equal-access permit 20

match ip address 2

set ip default next-hop 7.7.7.7

route-map equal-access permit 30

set default interface null0

案例2

在路由器针对不同流量，修改其precedence bit，并设置下一跳地址。对于1.1.1.1产生的流量，设置precedence bit为priority，并设置其下一跳转发地址为3.3.3.3;对于2.2.2.2产生的流量，设置precedence bit为critical，并设置其下一跳转发地址为3.3.3.5。

配置如下：

access-list 1 permit ip 1.1.1.1

access-list 2 permit ip 2.2.2.2

interface ethernet 1

ip policy route-map Texas

route-map Texas permit 10

match ip address 1

set ip precedence priority

set ip next-hop 3.3.3.3

route-map Texas permit 20

match ip address 2

set ip precedence critical

set ip next-hop 3.3.3.5

一个route map由拥有相同route-map名的route-map statements集合构成。这些语句可以用permit和deny来标识是否执行策略路由。如果一个数据包所匹配的statement的标准是deny，则作为通常的目的地址路由来进行转发。如果是permit，则所有其上的set命令被应用。

让我们看一个demo：

route-map demo permit 10