解析策略路由和路由策略的区别
解析策略路由和路由策略的区别
网络设备维护上,有很多搞维护的技术人员对这两个名词理解的还不是很透彻,无法准确把握这两者之间的联系与区别。本文我简单分析一下这两者之间的概念,并介绍一些事例,希望大家能从事例中得到更深的理解。
一、路由策略
路由策略,是路由发布和接收的策略。其实,选择路由协议本身也是一种路由策略,因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的。通常我们所说的路由策略指的是,在正常的路由协议之上,我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,注意,改变的是结果(即路由表),规则并没有改变,而是应用这些规则。
下面给出一些事例来说明。
改变参数的例子:例如,A路由器和B路由器之间是双链路(分别为AB1和AB2)且带宽相同,运行是OSPF路由协议,但是两条链路的稳定性不一样,公司想设置AB1为主用电路,当主用电路(AB1)出现故障的时候才采用备用电路(AB2),如果采取默认设置,则两条电路为负载均衡,这时就可以采取分别设置AB1和AB2电路的COST(开销)值,将AB1电路的COST值改小或将AB2电路的COST值设大,OSPF会产生两条开销不一样的路由,COST(开销)越小路由代价越低,所以优先级越高,路由器会优先采用AB1的电路。还可以不改COST值,而将两条电路的带宽(BandWidth)设置为不一致,将AB1的带宽设置的比AB2的大,根据OSPF路由产生和发现规则,AB1的开销(COST)会比AB2低,路由器同样会优先采用AB1的电路。
改变控制方式的例子,基本就是使用路由过滤策略,通过路由策略对符合一点规则的路由进行一些操作,例如最普通操作的是拒绝(deny)和允许(Permit),其次是在允许的基础上调整这些路由的一些参数,例如COST值等等,通常使用的策略有ACL(Acess Control List访问控制列表)、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP协议配合使用中,属于路由接收和通告原则。
例如,上图中AS1不向AS2发布19.1.1.1/32这个网段,可以设置ACL列表,在RTB上设置(以华为的路由器为例):
[RTB]acl number 1 match-order auto
[RTB-acl-basic-1]rule deny source 19.1.1.1 0
[RTB-acl-basic-1]rule permit source any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] peer 2.2.2.2 filter-policy 1 export
如果B向C发布了这条路由,但是C不想接收这条路由,则C可以设置:
[RTC]acl number 1 match-order auto
[RTC-acl-basic-1]rule deny source 19.1.1.1 0
[RTC-acl-basic-1]rule permit source any
[RTC]bgp 2
[RTC-bgp]peer 2.2.2.1 as-number 1
[RTC-bgp] peer 2.2.2.1 filter-policy 1 import
再举个ip-prefix的例子:
例如RTB不向RTC发布19.1.1.0/24这个网段的路由,则可以设置
[RTB]ip ip-prefix test index 10 deny 19.1.1.0 24
[RTB]ip ip-prefix test index 20 permit any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] import-route direct
[RTB-bgp]peer 2.2.2.2 ip-prefix test export
ip-prefix是精确匹配的,如果想实现模糊匹配,可以通过后面的参数less-equal或greater-equal来实现,例如ip ip-prefix test index 10 deny 19.1.1.0 24 less-equal 31就表示从19.1.1.0/24、19.1.1.0/25、19.1.1.0/26一直到19.1.1.0/31都能匹配上,否则这仅仅表示只匹配目的网络是19.1.1.0/24这一条路由,而19.1.1.0/25不满足该条件,具体可以参考命令手册,这里不详细解释了。
上面讲的都是路由的运行和禁止,下面讲更灵活的路由策略设置方式:route-policy中if-match和apply的匹配,这里不仅能设置允许或禁止某些路由,还能对允许的路由设置其属性。
上图中RTB与RTC之间跑的是IBGP协议,RTA与RTB、RTC之间跑的是EBGP协议。Router_ID按A、B、C、D从小到大排序。正常情况下,RTA到RTD之间的通信会选择RTB做中转,RTD到RTA的通信也会选择RTB,在默认情况下,所有参数都相同,BGP会选择router_ID较小的一条路径。现在想让RTD到RTA之间的通信都走RTB,而RTA到RTD之间的通信都通过RTC,即两台路由器中RTB专门负责自治域内路由器与域外路由器之间的出口通信,而RTC专门做自治域外路由器与域内路由器的进口通信,我们可以用route-policy中的as-path来实现,在RTB上做:
[rtb]route-policy test permit node 10
[rtb-route-policy]apply as-path 300 400 //添加虚假的路径,使as-path增长
[rtb-bgp]peer 1.1.1.1 route-policy test export //向RTA发布路由信息的时候使用策略
这样B在向A发布BGP路由的时候,加大路由的AS-Path值,根据BGP路由选择规则,优先选用AS-Path较短的路由,这样RTA向RTD通信的时候,优先选用AS-Path短的RTC这条路由,而RTD在选择到RTA路由的时候仍然选择的是RTB,因为对RTD来说,影响路由的参数什么都没有任何变化。其实也可以使用改变Med值来设定,这里用路由策略来举例。
这种方法特别灵活在apply语句中能设置多种参数,除了as-path,还有ip next hop(设置下一跳)、local-preference(本地出口优先级)、cost(开销)、origin(起源,来自igp、egp还是incomplete)、tag(标记)。
二、策略路由
2.2.2.2/30
2.2.2.1/30
1.1.1.2/30
RTB
1.1.1.1/30
10.10.10.0/24
策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,而是根据需要,某些通信流量选择其他路由的方式。
PC2
PC1
交换机
RTA
如图,RTA和RTB之间的通信有2条链路,其中上面那条电路是主用,带宽是1000M的,下面的电路是备用,带宽是10M的,目前10M基本是空闲,大部分的通信都走主用上走,PC1(10.10.10.10/24)是某个特别重要的客户,他发的信息要求被立即传送,我们根据这种情况,我们可以将他的发送通信量单独使用下面备用电路的方法。
#P#
rule-map intervlan permitpc1 ip 10.10.10.10 0.0.0.0 any
flow-action next2 redirect ip 2.2.2.2
eacl abc permitpc1 next2
然后在和10.10.10.0/24网络直连的端口上使用 access-group eacl abc命令下发应用。
这是一个策略路由的典型应用。这个应用是根据源地址来选择转发路径的,还可以根据协议类型(例如将UDP和TCP分开跑不同的电路)、应用(例如某些视频应用要求实时传送,可以将rstp流单独使用一条电路来跑)、报文大小或它们的组合等来设置转发条件。其实就是将acl规则应用到数据转发上,rule-map的规则同ACL,这里就不在举再多的`例子了,熟悉ACL的技术人员都知道。
这里flow-action做的动作redirect就是设置下一条,使用flow-action还可以进行QoS相关的操作,例如使用cos或car动作对数据包进行队列匹配,再根据相关设置的流量模型规则进行操作,具体参阅命令参考手册。
三、联系与区别
联系:
双方都是为了转发数据包而进行路径选择的策略,都是根据某种规则改变某些参数或控制手段来设置不同的转发路径。
区别:
路由策略是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果,最终改变的是路由表的内容。是在路由发现的时候产生作用。
策略路由是尽管存在当前最优的路由,但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。在数据包转发的时候发生作用、不改变路由表中任何内容。
策略路由的优先级比路由策略高,当路由器接收到数据包,并进行转发的时候,会优先根据策略路由的规则进行匹配,如果能匹配上,则根据策略路由来转发,否则按照路由表中转发路径来进行转发。
概括一点讲就是,路由策略是路由发现规则,策略路由是数据包转发规则。其实将“策略路由”理解为“转发策略”,这样更容易理解与区分。由于转发在底层,路由在高层,所以转发的优先级比路由的优先级高,这点也能理解的通。其实路由器中存在两种类型和层次的表,一个是路由表(routing-table),另一个是转发表(forwording-table)。转发表是由路由表映射过来的,策略路由直接作用于转发表,路由策略直接作用于路由表。
四、优缺点
网络通信的规则是先有路由,才有转发。路由策略由于仅仅在路由发现的时候产生作用,在路由表产生且稳定之后,如果网络不发生变化,路由表通常都不会变化,这时候,路由策略没有应用就不会占用资源。而策略路由是在转发的时候发生作用,路由器在初始产生路由表之后,基本工作量都在数据包转发上,如果没有策略路由,路由器只要分析每一个数据包的目的地址,再按路由表来匹配就可以决定下一跳;但是如果有策略路由,策略路由就一直处于应用状态,如果策略路由特别复杂,路由器要根据规则来判断数据包的源地址、协议或应用等附加信息,这样就会一直占用大量的资源,所以除非不得已,尽量使用路由策略,而不要使用策略路由。
网络优化的时候需要考虑这一点,如果策略路由特别复杂,能通过将网络进行简单分解而达到取消策略路由的尽量进行分解,否则路由器负担很重。
;绛旓細绛栫暐璺敱鏄竴绉嶈矾鐢辫鍒掞紝瀹冨彲浠ヤ娇鏁版嵁鍖呮寜鐓х敤鎴锋寚瀹氱殑绛栫暐杩涜杞彂銆備緥濡傦紝涓涓瓥鐣ュ彲浠ユ寚瀹氫粠鏌愪釜缃戠粶鍙戝嚭鐨勬暟鎹寘鍙兘杞彂鍒版煇涓壒瀹氱殑鎺ュ彛銆傜瓥鐣ヨ矾鐢变娇鐢╮out maps 瀹炵幇鐨勩傚姩鎬佽矾鐢辨槸鐢璺敱鍣鎹曡幏寰楃殑缃戠粶鐘跺喌鏉ヨ绠楁渶鐭殑璺緞浠ヤ紶閫掓暟鎹姤銆備粬鍙互鏍规嵁缃戠粶鐨勬嫇鎵戠粨鏋勭殑鍙樺寲鑰岃嚜鍔ㄥ彉鍖栨洿鏂拌矾鐢辫〃锛
绛旓細姒傚康 绛栫暐璺敱鏄竴绉嶆瘮鍩轰簬鐩爣缃戠粶杩涜璺敱鏇村姞鐏垫椿鐨勬暟鎹寘璺敱杞彂鏈哄埗銆傚簲鐢ㄤ簡绛栫暐璺敱锛璺敱鍣灏嗛氳繃璺敱鍥惧喅瀹氬浣曞闇瑕佽矾鐢辩殑鏁版嵁鍖呰繘琛屽鐞嗭紝璺敱鍥惧喅瀹氫簡涓涓暟鎹寘鐨勪笅涓璺宠浆鍙戣矾鐢卞櫒銆绛栫暐璺敱鐨绉嶇被 澶т綋涓婂垎涓轰袱绉嶏細涓绉嶆槸鏍规嵁璺敱鐨勭洰鐨勫湴鍧鏉ヨ繘琛岀殑绛栫暐绉颁负锛氱洰鐨勫湴鍧璺敱锛 鍙︿竴绉嶆槸...
绛旓細杩欎釜鏄璺敱绛栫暐锛屽苟涓嶆槸绛栫暐璺敱銆備袱鐮佷簨锛屼笉涓鏍枫俽oute-map涓鑸敓鏁堜簬BGP璺敱锛岀敤浜庡鎺ユ敹/鍙戦丅GP璺敱杩涜浜哄伐骞查鐨勫姛鑳姐備緥濡傦紝鍙互绂佹鏌愪簺璺敱鎺ユ敹锛屾煇浜涘彂閫佺瓑绛夈傚姛鑳芥瀬鍏跺鏉傦紝闅句互绠鍗曟弿杩般
绛旓細1銆佸簲鐢绛栫暐璺敱锛屽繀椤昏鎸囧畾绛栫暐璺敱浣跨敤鐨勮矾鐢卞浘锛屽苟涓旇鍒涘缓璺敱鍥俱備竴涓矾鐢卞浘鐢卞緢澶氭潯绛栫暐缁勬垚锛屾瘡涓瓥鐣ラ兘瀹氫箟浜1 涓垨澶氫釜鐨勫尮閰嶈鍒欏拰瀵瑰簲鎿嶄綔銆備竴涓帴鍙e簲鐢ㄧ瓥鐣ヨ矾鐢卞悗锛屽皢瀵硅鎺ュ彛鎺ユ敹鍒扮殑鎵鏈夊寘杩涜妫鏌ワ紝涓嶇鍚堣矾鐢卞浘浠讳綍绛栫暐鐨鏁版嵁鍖呭皢鎸夌収閫氬父鐨勮矾鐢辫浆鍙戣繘琛屽鐞嗭紝绗﹀悎璺敱鍥句腑鏌愪釜绛栫暐鐨...
绛旓細娌′粈涔堢洿鎺ュ叧绯伙紝绛栫暐璺敱鏄湪璺敱涓婂仛浜嗙瓥鐣ワ紝鏀瑰彉杞寲瑙勫垯銆傚姩鎬佽矾鐢辨槸鎸囪矾鐢变細鏍规嵁鎷撴墤鍙樺寲鑰屽彉鍖栵紝涓庨潤鎬佽矾鐢辩浉瀵广傜瓥鐣ヨ矾鐢卞湪鍔ㄦ佷笌闈欐佽矾鐢变笂閮藉彲浠ュ仛銆
绛旓細搴旂敤鎵瀹氫箟鐨勭瓥鐣ャ傛敞鎰忓繀椤诲湪瀹氫箟濂界浉鍏崇殑route-map鍚庢墠鑳藉湪鎺ュ彛涓婁娇鐢ㄨroute-map,鍦ㄦ帴鍙e惎鐢╮oute-map绛栫暐鐨鍛戒护涓: ip policy route-map map-tag 鍚敤Fast-Switched PBR 鍦–isco IOS Release 12.0涔嬪墠,绛栫暐璺敱鍙兘閫氳繃鈥滆繘绋嬭浆鍙戔濇潵杞彂鏁版嵁鍖,杩欐牱鏁版嵁鍖呯殑杞彂鏁堢巼鏄潪甯镐綆鐨,鍦涓嶅悓鐨勫钩鍙颁笂,鍩烘湰鍦ㄦ瘡绉1000...
绛旓細绛栫暐璺敱浼樺厛绾ф瘮闈欐佽矾鐢变紭鍏堢骇楂樸
绛旓細杩2涓畬鍏ㄤ笉鏄竴涓被鍨 闈欐佽矾鐢 椤惧悕鎬濅箟灏辨槸 IP鍦板潃涓洪潤鎬佷笉鍙橈紝姣忎釜IP鍦板潃瀵瑰簲涓鍙拌绠楁満锛屽彲浠ラ氳繃瀵笽P鍦板潃鐨勭鐞嗗緢濂界殑鎺у埗璁$畻鏈虹殑缃戠粶琛屼负銆绛栫暐璺敱锛屾槸鎸囦綘璁惧畾濂界瓥鐣ワ紝鐢璺敱鍣鍒ゆ柇鏁版嵁鍖呮槸鍚﹂氳繃璺敱鍙戦侊紝杩欐槸涓绉嶇綉绠″瀷璺敱鍣紝閫氳繃瀵圭瓥鐣ョ鐞嗗璁$畻鏈虹殑缃戠粶鏁版嵁鎺у埗锛屽疄鐜扮姝紝闄愰燂紝鍜...
绛旓細绛栫暐璺敱鏄洰鍓嶇‖浠璺敱鍣鏀寔鐨勪竴绉嶉珮绾ц矾鐢辨妧鏈,璺敱鍣ㄤ笉浠呭彲浠ユ牴鎹洰鐨処P鍦板潃杩涜璺敱閫夋嫨澶,鑰屼笖杩樺彲浠ユ牴鎹叾浠栧洜绱犺繘琛岃矾鐢遍夋嫨銆傚湪Linux涓嬪簲鐢╥ptables鍜岀瓥鐣ヨ矾鐢卞疄鐜伴槻鐏,鍦ㄥ姛鑳戒笂鏇村己澶,浣跨鐞嗗憳鏇寸伒娲绘柟渚跨殑鎺у埗鎵闇瑕佺殑杞彂,涓嶄粎鑳藉鏍规嵁IP鍖呯殑鐩殑鍦板潃鑰屼笖鑳藉鏍规嵁鎶ユ枃澶у皬鎴朓P婧愬湴鍧鏉ラ夋嫨鏁版嵁鍖呯殑...
绛旓細锛1锛璺敱绛栫暐鍩烘湰淇℃伅鐨勮缃細route-map src80 permit 10 //寤虹珛涓涓绛栫暐璺敱锛屽悕瀛椾负src80锛屽簭鍙蜂负10锛岃鍒欎负瀹硅銆俶atch ip address 151 //璁剧疆match婊¤冻鏉′欢锛屾剰鎬濇槸鍙湁婊¤冻ip address绗﹀悎璁块棶鎺у埗鍒楄〃151涓瀹氱殑鎵嶈繘琛屽悗闈㈢殑set鎿嶄綔锛屽惁鍒欑洿鎺ヨ烦杩囥俿et ip next-hop 10.91.31.254 //婊¤冻涓婇潰...
