第十三章：网络系统建设与运维（高级）—— 路由控制和策略路由

目录

核心结论

一、路由控制概述

[1. 核心目的](#1. 核心目的)

[2. 核心工具分类](#2. 核心工具分类)

二、流量可达性控制（核心重点）

[1. 流量过滤方式（ACL + Traffic-filter）](#1. 流量过滤方式（ACL + Traffic-filter）)

原理

[（1）ACL 分类与配置](#（1）ACL 分类与配置)

[进入 ACL 视图](#进入 ACL 视图)

[配置规则（允许 / 拒绝 源 IP + 通配符）](#配置规则（允许 / 拒绝 源 IP + 通配符）)

[接口应用（ inbound/outbound ）](#接口应用（ inbound/outbound ）)

（2）IP-Prefix（精确匹配路由）

（3）Route-Policy（灵活路由控制）

三、网络流量路径调整

[1. 路由策略方式（控制层面）](#1. 路由策略方式（控制层面）)

[2. 策略路由方式（转发层面）](#2. 策略路由方式（转发层面）)

（1）本地策略路由（设备自身流量）

（2）接口策略路由（经过接口的流量）

四、核心案例：双点双向路由重发布

[1. 核心问题](#1. 核心问题)

[2. 解决方案](#2. 解决方案)

五、补充知识点（实用拓展）

[1. 关键工具对比](#1. 关键工具对比)

[2. 常见故障排查](#2. 常见故障排查)

[3. 实战配置模板（双点双向重发布完整配置）](#3. 实战配置模板（双点双向重发布完整配置）)

---

核心结论

路由控制的核心是 "保障安全可达 + 优化流量路径"，通过两类工具实现：一是流量过滤与路由策略 （控制层面，影响路由表），二是策略路由（转发层面，不修改路由表），最终满足部门隔离、链路负载、路径优化等业务需求。

一、路由控制概述

1. 核心目的

• 安全保障：限制非法流量访问（如市场部不能访问研发部）。
• 资源优化：调整流量路径，避免链路闲置，提高带宽利用率（如 PC1 经 AR2、PC2 经 AR3 访问 PC3）。

2. 核心工具分类

工具类型	作用层面	核心工具
流量可达性控制	控制层（路由表）	ACL、IP-Prefix、Route-Policy、Traffic-filter、Filter-Policy
流量路径调整	转发层（数据转发）	路由策略（修改路由属性）、策略路由（本地 / 接口）

二、流量可达性控制（核心重点）

1. 流量过滤方式（ACL + Traffic-filter）

原理

通过 ACL 定义匹配规则，结合 Traffic-filter 工具在接口上过滤数据报文，直接拒绝 / 允许特定流量。

（1）ACL 分类与配置

ACL 类型	编号范围	匹配字段	配置命令
标准 ACL	2000-2999	仅源 IP 地址	```bash

进入 ACL 视图

acl 2001

配置规则（允许 / 拒绝 源 IP + 通配符）

rule permit source 192.168.1.0 0.0.0.255rule deny source 192.168.2.0 0.0.0.255

接口应用（ inbound/outbound ）

interface GigabitEthernet 0/0/0traffic-filter inbound acl 2001

|

| 扩展ACL | 3000-3999 | 源IP、目的IP、协议、端口 | ```bash
acl 3001
# 拒绝TCP协议 192.168.1.0访问 192.168.3.0的80端口
rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 destination-port eq 80
interface GigabitEthernet 0/0/1
traffic-filter outbound acl 3001
``` |

#### （2）ACL使用原则
1. 匹配顺序：自上而下，匹配即停止，需合理排序（精确规则在前）。
2. 应用位置：标准ACL靠近目的端（减少误过滤），扩展ACL靠近源端（尽早过滤无效流量）。
3. 接口限制：每个协议、每个端口、每个方向仅能应用一个ACL。
4. 特殊说明：ACL对路由器自身产生的IP报文无效。

### 2. 路由策略方式（控制路由条目）
#### 核心逻辑
通过过滤/修改路由条目，间接控制流量转发（路由表无某路由，则无法访问对应网段）。

#### （1）Filter-Policy（路由信息过滤）
- 原理：结合ACL/IP-Prefix，过滤接收/发送的路由信息（距离矢量协议直接过滤，OSPF仅在路由计算时过滤）。
- 配置命令：
  ```bash
  # 过滤接收的路由（import）
  filter-policy 2001 import
  # 过滤发送的路由（export）
  filter-policy 3001 export
  # 过滤引入的静态路由
  import-route static
  filter-policy 2001 export static

（2）IP-Prefix（精确匹配路由）

• 优势：相比 ACL，可同时匹配 IP 前缀和子网掩码长度，仅用于路由过滤。

• 配置命令（关键场景）： bash

  运行

  # 匹配192.168.1.0/24（子网掩码严格24位）
  ip ip-prefix P1 permit 192.168.1.0 24
  # 匹配192.168.1.0/24，子网掩码25-32位
  ip ip-prefix P1 permit 192.168.1.0 24 greater-equal 25
  # 匹配所有C类网段（子网掩码24位）
  ip ip-prefix P2 permit 192.0.0.0 3 greater-equal 24 less-equal 24
  # 匹配缺省路由
  ip ip-prefix P3 permit 0.0.0.0 0

• 匹配规则：自上而下、匹配即停止、默认拒绝所有。

（3）Route-Policy（灵活路由控制）

• 核心能力：结合 ACL/IP-Prefix，支持匹配路由 + 修改路由属性（Cost、Tag、路由类型）。

• 结构：多个 node（逻辑 "或"），每个 node 含 if-match（匹配条件，逻辑 "与"）和 apply（执行动作）。

• 配置示例（修改外部路由属性）： bash

  运行

  # 定义Route-Policy，node 10 允许
  route-policy RP1 permit node 10
  if-match acl 2001  # 匹配192.168.1.0/24
  apply ospf type 1  # 修改为Type1外部路由
  # node 20 允许
  route-policy RP1 permit node 20
  if-match acl 2002  # 匹配192.168.2.0/24
  apply cost 200  # 修改Cost值为200
  # node 30 允许（无if-match匹配所有）
  route-policy RP1 permit node 30

三、网络流量路径调整

1. 路由策略方式（控制层面）

• 原理：修改路由属性（优先级、Cost、Tag），影响路由表选路，间接调整流量路径。

• 示例：调整 OSPF 外部路由优先级： bash

  运行

  preference ase route-policy pre 150  # 外部路由优先级设为150

2. 策略路由方式（转发层面）

不修改路由表，直接为特定流量指定转发路径，分两类：

（1）本地策略路由（设备自身流量）

• 配置命令： bash

  运行

  # 定义本地策略路由
  policy-based-route PBR_LOCAL permit node 10
  if-match acl 3001  # 匹配自身产生的TCP流量
  apply ip-address next-hop 10.0.12.2  # 指定下一跳
  # 应用策略
  ip local policy-based-route PBR_LOCAL

（2）接口策略路由（经过接口的流量）

• 依赖 MQC（模块化 QoS），三步配置：流分类→流行为→流策略绑定。

• 配置命令： bash

  运行

  # 1. 流分类（匹配流量）
  traffic classifier TC1
  if-match acl 3002  # 匹配PC1的流量
  # 2. 流行为（指定动作）
  traffic behavior TB1
  redirect ip-nexthop 10.0.23.3  # 转发到AR3
  # 3. 流策略（绑定分类和行为）
  traffic policy TP1
  classifier TC1 behavior TB1
  # 4. 接口应用（入方向）
  interface GigabitEthernet 0/0/0
  traffic-policy TP1 inbound

四、核心案例：双点双向路由重发布

1. 核心问题

• 次优路径：高优先级协议引入低优先级协议，导致流量走非最优路径。
• 环路风险：路由回馈（路由在两个协议间循环引入）。

2. 解决方案

• 解决次优路径：调整路由优先级，使最优路径的路由优先级更低。

• 解决环路：对引入的路由打 Tag，另一端拒绝带有该 Tag 的路由引回： bash

  运行

  # 一端引入时打Tag
  route-policy TAG permit node 10
  apply tag 100
  import-route ospf 1 route-policy TAG
  # 另一端拒绝带Tag 100的路由
  route-policy DENY_TAG deny node 10
  if-match tag 100
  route-policy DENY_TAG permit node 20
  import-route isis route-policy DENY_TAG

五、补充知识点（实用拓展）

1. 关键工具对比

工具	适用场景	核心差异
ACL vs IP-Prefix	路由过滤	ACL 仅匹配 IP，IP-Prefix 可匹配子网掩码，精确性更高
Route-Policy vs Policy-Based-Route	路径调整	Route-Policy 改路由属性（控制层），PBR 直接指定转发路径（转发层）
Traffic-filter vs Filter-Policy	流量控制	Traffic-filter 过滤数据报文，Filter-Policy 过滤路由信息

2. 常见故障排查

• ACL 不生效：检查配置顺序（精确规则在前）、接口应用方向（inbound/outbound）、ACL 编号是否正确。
• 策略路由不生效：检查 MQC 绑定是否完整（分类→行为→策略）、接口应用方向（仅入方向生效）、下一跳是否可达。
• 路由回馈环路：确认 Tag 标记是否正确、Route-Policy 的 deny 节点是否在 permit 之前。

3. 实战配置模板（双点双向重发布完整配置）

bash

运行

# AR1（OSPF→ISIS）
ospf 1
import-route isis route-policy OSPF_IMPORT
route-policy OSPF_IMPORT permit node 10
if-match tag 200  # 仅接收带Tag 200的ISIS路由
apply cost 10
route-policy OSPF_IMPORT permit node 20

# AR3（ISIS→OSPF）
isis 1
import-route ospf 1 route-policy ISIS_IMPORT
route-policy ISIS_IMPORT permit node 10
if-match tag 100  # 仅接收带Tag 100的OSPF路由
apply tag 200
route-policy ISIS_IMPORT permit node 20