03、配置策略路由

配置策略路由

配置策略路由可以将到达接口的三层报文重定向到指定的下一跳地址。

背景信息

通过配置重定向，设备将符合流分类规则的报文重定向到指定的下一跳地址。

包含重定向动作的流策略只能在入方向上应用。

前置任务

在配置策略路由前，需要完成以下任务：

• 配置相关接口的IP地址和路由协议，保证路由互通。

• 如果使用ACL作为策略路由的流分类规则，配置相应的ACL。

操作步骤

1. 配置流分类

   1. 执行命令system-view，进入系统视图。
   2. 执行命令traffic classifier classifier-name [ type { and | or } ]，创建一个流分类并进入流分类视图，或进入已存在的流分类视图。
      and表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：

      • 当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；

      • 当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。

      or表示流分类各规则之间是“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。

      缺省情况下，流分类中各规则之间的关系为“逻辑或”。

   3. 执行命令if-match，定义流分类中的匹配规则。

      流分类中可定义的规则有很多种，详细内容可参见《CloudEngine 12800系列交换机QoS业务配置指南-MQC配置》中的“配置流分类”部分。

   4. 执行命令commit，提交配置。
   5. 执行命令quit，退出流分类视图。

2. 配置流行为

   • 配置了TRILL网关后，如果在CE VLAN对应的VLANIF接口上应用流策略时，流行为不支持后策略路由。

   1. 执行命令traffic behavior behavior-name，创建一个流行为并进入流行为视图，或进入已存在的流行为视图。

   2. 请根据实际需要进行如下配置：

      • 执行命令redirect [ vpn-instance vpn-instance-name ] nexthop ip-address &<1-16> [ fail-action discard ] [ low-precedence [ source vpn-instance vpn-instance-name ] ]或者redirectipv6 [ vpn-instance vpn-instance-name ] nexthop ipv6-address &<1-16> [ fail-action discard ] [ low-precedence [ source vpn-instance vpn-instance-name ] ]，配置单个重定向到下一跳的IP地址的动作。该动作仅在进行三层转发时生效。

        • 当存在多个下一跳时，设备按照主备方式对报文进行重定向转发。设备根据下一跳的配置顺序确定主备链路，先配置的下一跳IP地址优先级较高。配置的第一个下一跳IP地址作为主用链路，其它链路作为备用链路。当主用链路Down之后，则自动选取优先级高的下一跳作为新的主链路。当高优先级的链路恢复后，流量会从低优先级链路切换到高优先级的链路上；当重定向的所有链路都不可用时，报文将根据目的地址找出接口进行转发。

        • 缺省情况下，如果配置的所有下一跳均不可达，则报文按照原来的目的地址转发。如果配置了fail-action discard参数，则如果配置的所有下一跳均不可达，则丢弃报文。

        • 在通过low-precedence指定后策略路由后，对于匹配所定义策略的报文，优先选择路由表中明细路由中的下一跳/出接口转发；当路由表中明细路由失效后，才使用策略路由中配置的下一跳/出接口转发报文。只有当明细路由和策略路由下一跳都失效后，如果路由表中还有缺省路由，则报文将匹配缺省路由继续转发。

      • 执行命令redirect load-balance [ vpn-instance vpn-instance-name ] nexthop { ip-address [ track nqa admin-name test-name [ reaction probe-failtimes fail-times ] ] } &<1-16> [ fail-action discard ] [ low-precedence [ source vpn-instance vpn-instance-name ] ]或者redirect ipv6 load-balance [ vpn-instance vpn-instance-name ] nexthop { ipv6-address [ track nqaadmin-name test-name [ reaction probe-failtimes fail-times ] ] } &<1-16> [ fail-action discard ] [ low-precedence [ source vpn-instance vpn-instance-name ] ]，在流行为中配置多个重定向到下一跳IP地址的动作。该动作仅在进行三层转发时生效。

        • 使用重定向到多个下一跳的正常转发过程中，如果当前下一跳对应的出接口状态突然为Down，或路由突然发生了改变，设备可将链路快速切换到当前可用的某个下一跳对应的出接口上。

        • 如果设备上没有命令中下一跳IP地址对应的ARP表项，使用此命令能配置成功，但重定向不能生效，设备仍按报文原来的目的地址转发，直到设备上有对应的ARP表项。

        • 如果配置了重定向到下一跳的IP地址后面跟踪了NQA测试例，若NQA探测失败的次数大于等于设定的探测失败值时，则自动取消当前下一跳。对于主备方式则会自动切换到后面一个可达的下一跳，对于负载分担方式则此下一跳不进行负载分担，由其余所有可达下一跳进行负载分担。

        • 缺省情况下，如果配置的所有下一跳均不可达，则报文按照原来的目的地址转发。如果配置了fail-action discard参数，则如果配置的所有下一跳均不可达，则丢弃报文。

        • 在通过low-precedence指定后策略路由后，对于匹配所定义策略的报文，优先选择路由表中明细路由中的下一跳/出接口转发；当路由表中明细路由失效后，才使用策略路由中配置的下一跳/出接口转发报文。只有当明细路由和策略路由下一跳都失效后，如果路由表中还有缺省路由，则报文将匹配缺省路由继续转发。

      • 执行命令redirect remote [ vpn-instance vpn-instance-name ] ip-address [ track nqa admin-name test-name [ reaction probe-failtimes fail-times ] ] [ exact ] [ low-precedence [ source vpn-instance vpn-instance-name ] ]或者redirect remote ipv6 [ vpn-instance vpn-instance-name ] ipv6-address [ exact ]，在流行为中创建将报文重定向到远程下一跳的动作。

        • 当配置的ip-address能够匹配IP路由表中多条表项，则设备按照最长匹配原则进行选择。

        • 如果重定向到下一跳的IP地址后面跟踪了NQA测试例，若NQA探测失败的次数大于等于设定的探测失败值时，则自动取消当前下一跳。

        • 当配置了exact参数后，设备的IP路由表中必须存在匹配所配置的ip-address的32位掩码主机路由，否则设备将无法进行重定向。例如：当配置了redirect remote 10.1.1.1 exact，则设备的IP路由表中必须存在一条10.1.1.1/32的路由，否则将无法进行重定向。

        • 在通过low-precedence指定后策略路由后，对于匹配所定义策略的报文，优先选择路由表中明细路由中的下一跳/出接口转发；当路由表中明细路由失效后，才使用策略路由中配置的下一跳/出接口转发报文。只有当明细路由和策略路由下一跳都失效后，如果路由表中还有缺省路由，则报文将匹配缺省路由继续转发。

      配置了TRILL网关后，如果在CE VLAN对应的VLANIF接口上应用流策略时，流行为不支持后策略路由。

   3. 执行命令commit，提交配置。
   4. 执行命令quit，退出流行为视图。
   5. 执行命令quit，退出系统视图。

3. 配置流策略

   1. 执行命令system-view，进入系统视图。

   2. 执行命令traffic policy policy-name，创建一个流策略并进入流策略视图，或进入已存在的流策略视图。

   3. 执行命令classifier classifier-name behavior behavior-name [ precedence precedence-value ]，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。

   4. 执行命令commit，提交配置。

   5. 执行命令quit，退出流策略视图。
   6. 执行命令quit，退出系统视图。

4. 应用流策略

   • 各视图下应用流策略的注意事项，请参见MQC配置注意事项（CE12800）。

   • 提交配置前可以执行命令display traffic-policy pre-state { global [ slot slot-id ] | interface { interface-type interface-number } | vlan vlan-id | bridge-domain bd-id } policy-name{ inbound | outbound }，查看待应用的流策略所占用的资源信息，以确认配置提交后对应的流策略是否能应用成功。

   • 当多个VLAN、接口要应用相同的流策略，或者匹配不同源IP地址的多个流分类需要绑定相同的流策略时，推荐将这些VLAN、源IP地址、接口加入同一个QoS组后，在QoS组下应用流策略。
   • 在接口上应用流策略

     1. 执行命令system-view，进入系统视图。

     2. 执行命令interface interface-type interface-number，进入接口视图。

     3. 执行命令traffic-policy policy-name { inbound | outbound }，在接口上应用流策略。

     4. 执行命令commit，提交配置。
   • 在VLAN上应用流策略

     1. 执行命令system-view，进入系统视图。

     2. 执行命令vlan vlan-id，进入VLAN视图。

     3. 执行命令traffic-policy policy-name { inbound | outbound }，在VLAN上应用流策略。

        应用后，系统对属于该VLAN并匹配流分类中规则的入方向或出方向报文实施策略控制。

     4. 执行命令commit，提交配置。
   • 在全局或单板上应用流策略

     1. 执行命令system-view，进入系统视图。

     2. 执行命令traffic-policy policy-name global [ slot slot-id ] { inbound | outbound }，在全局或单板上应用流策略。

     3. 执行命令commit，提交配置。
   • 在VSI实例上应用流策略

     1. 执行命令system-view，进入系统视图。

     2. 执行命令vsi vsi-name，进入VSI视图。

     3. 执行命令traffic-policy policy-name { inbound | outbound }，在VSI上应用流策略。

     4. 执行命令commit，提交配置。
   • 在VPN实例上应用流策略

     1. 执行命令system-view，进入系统视图。

     2. （可选）执行命令qos port-group group-id，创建并进入QoS端口组视图。

     3. （可选）执行命令group-member { interface-type interface-number1 [ to interface-type interface-number2 ] }，将接口添加到指定QoS端口组中。

     4. （可选）执行命令quit，退出QoS端口组视图。

     5. 执行命令ip vpn-instance vpn-instance-name，创建VPN实例，并进入VPN实例视图。

     6. 执行命令traffic-policy policy-name inbound [ exclude qos port-group group-id ]，在VPN实例上应用流策略。

     7. 执行命令commit，提交配置。

   • 在QoS组上应用流策略

     1. 执行命令system-view，进入系统视图。

     2. 执行命令qos group group-name，进入QoS组视图。

     3. 请根据需要选择配置：

        • 执行命令group-member interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-8>，将接口添加到指定QoS组中。

        • 执行命令group-member vlan { vlan-id1 [ to vlan-id2 ] } &<1-8>，将VLAN添加到指定QoS组中。

     4. 执行命令traffic-policy policy-name { inbound | outbound }，在QoS组上应用流策略。

     5. 执行命令commit，提交配置。
   • 在广播域BD上应用流策略

     1. 执行命令system-view，进入系统视图。

     2. 执行命令bridge-domain bd-id，进入BD视图。

     3. 执行命令traffic-policy policy-name { inbound | outbound }，在BD上应用流策略。

     4. 执行命令commit，提交配置。

检查配置结果

• 执行命令display traffic classifier [ classifier-name ]，查看已配置的流分类信息。
• 执行命令display traffic behavior [ behavior-name ]，查看已配置的流行为信息。

• 执行命令display traffic policy [ policy-name [ classifier classifier-name ] ]，查看已配置的流策略信息。

• 执行命令display traffic-policy applied-record [ policy-name ] [ global [ slot slot-id ] | interface interface-type interface-number | vlan vlan-id | vsi vsi-name | vpn-instance vpn-instance-name | qos group group-id | bridge-domain bd-id ] [ inbound | outbound ]，查看指定流策略的应用记录。

• 执行命令display system tcam fail-record [ slot slot-id ]，查看TCAM下发失败的信息。
• 执行命令display system tcam service brief [ slot slot-id ]，查看不同的业务占用的组索引和规则计数。
• 执行命令display system tcam service { cpcar slot slot-id | service-name slot slot-id [ chip chip-id ] }，查看指定槽位指定芯片的业务下发的EntryId。
• 执行以下命令查看流策略的应用数据：
  • display system tcam service traffic-policy { global | vlan vlan-id | interface interface-type interface-number | vsi vsi-name | vpn-instance vpn-instance-name | qos group group-id | bridge-domain bd-id } policy-name { inbound | outbound } [ slot slot-id [ chip chip-id ] ]
  • display system tcam service traffic-policy slot slot-id policy-name { inbound | outbound } [ chip chip-id ]
• 执行命令display system tcam match-rules slot slot-id [ [ ingress | egress | group group-id ] | [ chip chip-id ] ] ^*，查看规则命中的信息。