cisco網(wǎng)絡(luò)設(shè)備route-map功能淺析

重慶廣播電視大學(xué) 黃 　偉

cisco網(wǎng)絡(luò)設(shè)備route-map功能淺析

重慶廣播電視大學(xué) 黃 偉

路由策略是為了改變網(wǎng)絡(luò)流量所經(jīng)過(guò)的途徑而修改路由信息的技術(shù)，主要通過(guò)改變路由屬性來(lái)實(shí)現(xiàn)。routemap作為一個(gè)相當(dāng)重要的工具可以實(shí)現(xiàn)相應(yīng)的路由策略。

route-map；ACL；路由重發(fā)布

1　 route-map概述

route-map是一個(gè)相當(dāng)重要的工具，在從事網(wǎng)絡(luò)工程相關(guān)服務(wù)的時(shí)候經(jīng)常會(huì)看到route-map的身影，所以可見(jiàn)它非常的重要。接下來(lái)我們一起探討它的概念和特點(diǎn)，還有它部署的方式，同時(shí)也結(jié)合兩個(gè)案例來(lái)講解。

類似route-map的工具有很多，比如ACL等。在很多場(chǎng)合都能看到ACL。ACL有兩個(gè)主要的功能：第一個(gè)用來(lái)做數(shù)據(jù)的過(guò)濾，也就是說(shuō)它使用的對(duì)象是數(shù)據(jù)，通過(guò)ACL應(yīng)用在某一個(gè)接口的in或者out方向，從而對(duì)穿越這個(gè)接口的流量進(jìn)行過(guò)濾，比如permit或者deny。第二個(gè)廣泛的用途是匹配感興趣的流量，例如ACL搭配NAT，配置NAT的時(shí)候要去匹配內(nèi)網(wǎng)的流量用到的就是ACL；IPsec VPN去匹配加密的數(shù)據(jù)流也是用ACL去匹配的，但是用ACL去匹配路由的時(shí)候具有一定的局限性。routemap在用途和功能等各方面都要比ACL更強(qiáng)勢(shì)很多，下面我們重點(diǎn)來(lái)介紹route-map這個(gè)工具。

2　 route-map應(yīng)用案例1

R1和R2作為兩臺(tái)匯聚設(shè)備都連接到數(shù)據(jù)中心，數(shù)據(jù)中心有兩種服務(wù)器：一種是生產(chǎn)服務(wù)器，一種是辦公服務(wù)器。R1和R2到辦公服務(wù)器和生產(chǎn)服務(wù)器都是可達(dá)的。R3同時(shí)雙鏈路連接到兩臺(tái)匯聚設(shè)備上，下面連接的是普通用戶。

現(xiàn)在的需求是希望R3下面的用戶當(dāng)訪問(wèn)辦公服務(wù)器的時(shí)候，數(shù)據(jù)從R3到R1。當(dāng)R1和R3之間的鏈路出現(xiàn)問(wèn)題，或者R1宕機(jī)，或者R1連接辦公服務(wù)器的鏈路出現(xiàn)問(wèn)題的時(shí)候，數(shù)據(jù)能夠自動(dòng)切換到R2。同時(shí)，去往生產(chǎn)服務(wù)器的流量，從R3到R2。當(dāng)R2和R3之間的鏈路出現(xiàn)問(wèn)題，或者R2宕機(jī)，或者R2連接生產(chǎn)服務(wù)器的鏈路出現(xiàn)問(wèn)題的時(shí)候，訪問(wèn)生產(chǎn)服務(wù)器的流量能夠自動(dòng)切換到R1。

接下來(lái)我們分別用三種方法來(lái)進(jìn)行需求實(shí)現(xiàn)：

方法一：使用浮動(dòng)路由的方式。在R3上配置四條針對(duì)辦公服務(wù)器和生產(chǎn)服務(wù)器的靜態(tài)路由

ip router 10.1.1.0 255.255.255.0 10.1.13.1

//去往10.1.1.0/24網(wǎng)絡(luò)下一跳為R1，AD值默認(rèn)為1

ip router 10.1.1.0 255.255.255.0 10.1.23.2 10

//去往10.1.1.0/24網(wǎng)絡(luò)下一跳為R2，將AD值調(diào)高為10

ip router 10.1.2.0 255.255.255.0 10.1.23.2

//去往10.1.2.0/24網(wǎng)絡(luò)下一跳為R2，AD值默認(rèn)為1

ip router 10.1.2.0 255.255.255.0 10.1.13.1 10

//去往10.1.2.0/24網(wǎng)絡(luò)下一跳為R1，將AD值調(diào)高為10

上面的第1條和第4條路由將成為浮動(dòng)路由。這個(gè)時(shí)候訪問(wèn)辦公服務(wù)器的數(shù)據(jù)流量將從R3到R1，如果R1宕機(jī)，能自動(dòng)切換到R2；訪問(wèn)生產(chǎn)服務(wù)器的數(shù)據(jù)流量將從R3到R2，如果R2宕機(jī)，能自動(dòng)切換到R1。這已經(jīng)實(shí)現(xiàn)了基本的需求，但是卻沒(méi)有完全滿足我們的需求，因?yàn)殪o態(tài)路由的呈現(xiàn)方式比較死板，不能根據(jù)遠(yuǎn)程拓?fù)涞膭?dòng)態(tài)情況來(lái)做動(dòng)態(tài)更新。所以這個(gè)時(shí)候，當(dāng)R1和R3之間的鏈路發(fā)生故障，或者R2和R3之間的鏈路發(fā)生故障的時(shí)候，前面4條路由都能很好的應(yīng)付這種拓?fù)涞淖兓５牵绻荝1或者是R2的上聯(lián)鏈路發(fā)生問(wèn)題，靜態(tài)路由就無(wú)法感知了，因?yàn)樯下?lián)鏈路作為遠(yuǎn)程的網(wǎng)絡(luò)，它的拓?fù)渥兓琑3里面的靜態(tài)路由是無(wú)法感知的。所以使用浮動(dòng)路由能實(shí)現(xiàn)我們的需求，但不是最優(yōu)的。

圖1　

方法二：利用動(dòng)態(tài)路由代替靜態(tài)路由。在R1、R2和R3三臺(tái)路由器之間允許一個(gè)動(dòng)態(tài)路由協(xié)議，比如說(shuō)OSPF。然后由R1和R2來(lái)動(dòng)態(tài)的更新10.1.1.0/24和10.1.2.0/24的兩個(gè)網(wǎng)段的路由給R3。在這個(gè)時(shí)候，R1和R2兩個(gè)路由器都有可能成為10.1.1.0/24和10.1.2.0/24這兩股數(shù)據(jù)的承載者，所以對(duì)于R1來(lái)講，它需要同時(shí)將10.1.1.0/24和10.1.2.0/24的路由發(fā)送給R3，R2也需要同時(shí)下發(fā)將10.1.1.0/24和10.1.2.0/24的路由發(fā)送給R3，這個(gè)時(shí)候?qū)τ赗3來(lái)講，當(dāng)從同樣的路由協(xié)議學(xué)習(xí)到到達(dá)相同目的地的兩條不同路徑時(shí)，由metric值來(lái)決定最佳路由。這個(gè)時(shí)候的metric值是相等的，所以就是負(fù)載均衡。負(fù)載均衡自然也就無(wú)法實(shí)現(xiàn)我們的需求，我們的需求是數(shù)據(jù)的分流。另外，即使通過(guò)設(shè)置R3接口的COST值，將其調(diào)高，只要R3其中一側(cè)接口的COST值調(diào)高，那整個(gè)這一側(cè)的鏈路就不會(huì)用了，從而導(dǎo)致不管是去10.1.1.0/24還是10.1.2.0/24都會(huì)切換到另一側(cè)，這個(gè)時(shí)候也無(wú)法滿足我們的需求。

方法三：使用route-map工具。Route-map在這里能起到很好的用處。作為我們執(zhí)行路由策略的一個(gè)重要工具，我們可以分別針對(duì)10.1.1.0/24和10.1.2.0/24在R1和R2上分別進(jìn)行策略的部署。在R1將10.1.1.0/24這條路由通告給R3的時(shí)候?qū)⑺膍etric值設(shè)置得比另一邊小一點(diǎn)；在R2將10.1.2.0/24這條路由通告給R3的時(shí)候?qū)⑺膍etric值設(shè)置得比另一邊小一點(diǎn)。那么這樣一來(lái)的話，R3上就能夠從R1和R2都獲取到動(dòng)態(tài)的10.1.1.0/24和10.1.2.0/24路由更新。在R3路由器上看來(lái)，對(duì)于10.1.1.0/24網(wǎng)段來(lái)說(shuō)，R1通告的路由更新中metric值更小，對(duì)于10.1.2.0/24來(lái)說(shuō)，R2通告的路由更新中metric值更小.所以，R3去往10.1.1.0/24的數(shù)據(jù)流量會(huì)優(yōu)選R1，去往10.1.2.0/24的數(shù)據(jù)流量會(huì)優(yōu)選R2。同時(shí)能夠?qū)崿F(xiàn)熱備，因?yàn)閯?dòng)態(tài)路由協(xié)議能動(dòng)態(tài)的感知遠(yuǎn)端拓?fù)涞淖兓@就是route-map工具應(yīng)用的場(chǎng)合之一。

3　 route-map的用途

剛才已經(jīng)介紹過(guò)了router-map的第一個(gè)用途，重分發(fā)期間進(jìn)行路由過(guò)濾或執(zhí)行策略。它是一個(gè)被廣泛應(yīng)用的用途，大量的應(yīng)用在對(duì)網(wǎng)絡(luò)拓?fù)涮岢龈叩娜哂嘈曰蛘邤?shù)據(jù)流分流要求的時(shí)候，都會(huì)被大量的部署。第二個(gè)用途是策略路由，是對(duì)傳統(tǒng)路由功能上的提升。第三個(gè)用途是在NAT的時(shí)候，除了能調(diào)用ACL去匹配感興趣流量以外，我們還通過(guò)調(diào)用route-map去匹配。還有一個(gè)用途是用在BGP里面。在BGP里面route-map的應(yīng)用是很廣泛的，也是非常關(guān)鍵的東西。這些就是route-map的用途。

4　 route-map的格式

究竟route-map長(zhǎng)什么樣？圖2就是一個(gè)route-map的格式：

圖2　

可以看出，其實(shí)route-map在很多情況下和ACL是很類似的。route-map是使用一個(gè)字符串來(lái)定義的，以圖2為例，test就是被定義的字符串。一個(gè)route-map可以有多塊組成，圖2的route-map中包含了兩塊，每塊分別用一個(gè)序列號(hào)10和20定義，每塊由多行語(yǔ)句組成，每塊當(dāng)中我們又允許設(shè)置兩個(gè)元素：一個(gè)是條件match，一個(gè)是動(dòng)作set。當(dāng)作匹配的時(shí)候，是以塊為單位進(jìn)行的，按照序列號(hào)順序，從上往下逐級(jí)匹配，匹配的時(shí)候需要去看match語(yǔ)句后面的條件來(lái)一條一條匹配，當(dāng)所有條件都滿足的情況下，那么就會(huì)執(zhí)行set語(yǔ)句，并且跳出route-map。如果說(shuō)這個(gè)塊不匹配，也就是有條件不匹配，那么會(huì)從當(dāng)前塊，跳轉(zhuǎn)到下一塊來(lái)執(zhí)行，這就是route-map。

5　 route-map的特點(diǎn)

（1）使用match命令匹配特定的分組或路由，set修改該分組或路由相關(guān)屬性；

（2）route-map中的語(yǔ)句相當(dāng)于訪問(wèn)列表中的各行；

（3）route-map默認(rèn)為permit，默認(rèn)序列號(hào)為10，序列號(hào)不會(huì)自動(dòng)遞增，需要指定序列號(hào)；

（4）末尾隱含deny any。

6　 route-map應(yīng)用案例2

我們來(lái)再看一個(gè)route-map的示例，這個(gè)示例跟剛才講的案例是有關(guān)聯(lián)的。

圖3　

R2作為同時(shí)運(yùn)行了RIP和OSPF兩個(gè)協(xié)議的路由器，當(dāng)在R2上使用redistribute ospf 1 metric 2將OSPF重發(fā)布進(jìn)RIP的時(shí)候，所有從OSPF協(xié)議重發(fā)布進(jìn)RIP的路由的metric值都是2。如果我們的需求是對(duì)從OSPF協(xié)議重發(fā)布進(jìn)RIP的路由進(jìn)行區(qū)分對(duì)待。這里的三條路由按照剛才那個(gè)配置方法的話，三條路由重分發(fā)進(jìn)RIP，只能是一樣的metric值。可能基于某種特殊的需求，希望對(duì)三條路由進(jìn)行分別設(shè)置相應(yīng)的metric值。這時(shí)候可以使用route-map工具來(lái)實(shí)現(xiàn)。

在重發(fā)布的時(shí)候可以關(guān)聯(lián)route-map來(lái)進(jìn)行這樣的設(shè)置。實(shí)現(xiàn)的思路是：按照前面提到的route-map是一個(gè)列表，列表是由一個(gè)字符串來(lái)統(tǒng)一標(biāo)示的，這個(gè)列表中可能包含多個(gè)塊，每塊里面包含match和set。之前做重發(fā)布的命令是redistribute ospf 1 metric 2，所有從OSPF協(xié)議重發(fā)布進(jìn)RIP的路由的metric值都是2。現(xiàn)在需要對(duì)這三條路由進(jìn)行區(qū)分對(duì)待，方法是重發(fā)布命令里的metric 12去除，改為調(diào)用一個(gè)route-map，這個(gè)route-map是我們自定義的。

如何定義呢？比如說(shuō)我們寫(xiě)個(gè)route-map test ，因?yàn)槿齻€(gè)路由要分別進(jìn)行策略的執(zhí)行，然后定義三個(gè)序列號(hào)10、20、30分別對(duì)應(yīng)三個(gè)路由。第一個(gè)序列號(hào)的match語(yǔ)句匹配的路由是192.168.1.0，當(dāng)路由匹配了match語(yǔ)句的時(shí)候，執(zhí)行set語(yǔ)句，將這個(gè)路由的metric值設(shè)置為1跳；然后又用另外一個(gè)序列號(hào)20來(lái)匹配第二條路由，match語(yǔ)句定義的是第二條路由，然后set這個(gè)動(dòng)作執(zhí)行的是metric值改為2；第三個(gè)序列號(hào)對(duì)應(yīng)的是第三條路由，執(zhí)行的動(dòng)作是將metric值改為3。一旦我們將這個(gè)route-map關(guān)聯(lián)到重發(fā)布這個(gè)動(dòng)作的時(shí)候，那么在重發(fā)布的過(guò)程當(dāng)中，就會(huì)用每一條路由和這個(gè)route-map去比對(duì)。比如說(shuō)第二條路由拿過(guò)來(lái)做比對(duì)的話，從上往下比對(duì)，第一個(gè)序列號(hào)先進(jìn)行對(duì)比，結(jié)果發(fā)現(xiàn)第二條路由跟這個(gè)match不一致，因?yàn)檫@個(gè)match的是192.168.1.0，它就會(huì)繼續(xù)到第二個(gè)序列號(hào)比較。到了第二個(gè)序列號(hào)以后，發(fā)現(xiàn)match語(yǔ)句匹配了，因?yàn)檫@個(gè)match的就是192.168.2.0這條路由，它會(huì)執(zhí)行set這個(gè)動(dòng)作，將metric值設(shè)置為2，然后就跳出route-map。如果所有序列號(hào)里面的match都不匹配，在最后有一個(gè)默認(rèn)隱含的deny any，deny就是不匹配，這里的deny和ACL里面的deny是不一樣的，ACL的deny是直接丟棄，這里的deny是不匹配，這就是routemap的一個(gè)例子。

7　 route-map中match語(yǔ)句和set語(yǔ)句的常用配置

match語(yǔ)句：

match ip address 匹配訪問(wèn)列表或前綴列表

match length 根據(jù)分組的第三層長(zhǎng)度進(jìn)行匹配

match interface 匹配下一跳為指定接口之一的路由

match metric 匹配具有指定度量值的路由

match route-type 匹配指定類型的路由

match community 匹配BGP共同體

match tag 根據(jù)路由的標(biāo)記進(jìn)行匹配

set語(yǔ)句：

set metric 設(shè)置路由協(xié)議的度量值

set metric-type 設(shè)置目標(biāo)路由協(xié)議的度量值類型

set interface 指定報(bào)文的出接口

set ip next-hop 指定轉(zhuǎn)發(fā)的下一跳

8　 總結(jié)

最后來(lái)做一個(gè)整合，在全局模式下使用route-map來(lái)創(chuàng)建一個(gè)route-map，后面跟上一個(gè)自定義的字符串來(lái)表示這個(gè)route-map的名字。一個(gè)route-map可以包含多個(gè)序列號(hào)，每一個(gè)序列號(hào)里面允許定義一個(gè)或多個(gè)match和set語(yǔ)句，并且序列號(hào)是有順序的。route-map名字后面的permit表示匹配，deny表示不匹配，route-map里面的deny不是ACL里面的拒絕，ACL的deny如果用在數(shù)據(jù)進(jìn)行操作的話，表示把數(shù)據(jù)包丟棄。只要進(jìn)入一個(gè)序列號(hào)的配置中，就可以使用match語(yǔ)句去調(diào)用相應(yīng)的命令來(lái)進(jìn)行對(duì)應(yīng)的匹配，

match語(yǔ)句可以寫(xiě)多條，主要有兩種形式：

（1）如果兩條match語(yǔ)句是換行寫(xiě)的，那么這兩條語(yǔ)句就是且的關(guān)系，也就是說(shuō)，當(dāng)我們?cè)谧霰葘?duì)的時(shí)候，這兩個(gè)條件都要滿足，才認(rèn)為這個(gè)序列號(hào)的條件都滿足了，才執(zhí)行set語(yǔ)句，否則，只要有一個(gè)條件它沒(méi)有滿足，這個(gè)匹配就不成真，那就跳過(guò)這個(gè)序列號(hào)，進(jìn)入下一個(gè)序列號(hào)進(jìn)行比較；

（2）如果單條match語(yǔ)句包括多個(gè)條件時(shí)，使用邏輯or運(yùn)算，只要有一個(gè)條件滿足了，就認(rèn)為匹配了。