一、网络流量双平面解析

在路由策略的设计中，必须明确区分两个关键平面：

1. 控制层面（Control Plane）

• ​​定义​​：路由协议传递路由信息形成的逻辑平面（如OSPF的LSA、RIP的Response报文）
• ​​特征​​：
  • 流量方向与数据层面​​相反​​
  • 携带路由的​​拓扑信息​​与​​开销值​​
  • 使用协议端口（如OSPF用224.0.0.5/6）

2. 数据层面（Data Plane）

• ​​定义​​：用户数据实际转发的物理平面
• ​​特征​​：
  • 转发路径由控制平面决策决定
  • 遵循​​最长匹配原则​​与​​路由优先级​

关键差异说明​​：

• OSPF控制层面使用​​入接口开销​​计算路径成本（有向图模型）
• 数据层面流量实际转发时，路径开销是​​逐跳出接口开销​​的累加

二、路由策略实施三部曲

1. 流量抓取：精准定位目标路由

1）ACL（访问控制列表）

基本概念

• 传统用于数据层面流量过滤
• 在路由策略中可用于匹配路由源/目的网络
• 匹配精度有限（通配符掩码不够灵活）

因为ACL主要是应用在数据层面，所以，在抓取控制层流量时，因为通配符的设计，导致无法精确匹配路由信息。

示例：

# 创建基本ACL（2000-2999匹配源IP）
acl number 2000  rule 5 permit source 192.168.1.0 0.0.0.255  # 匹配192.168.1.0/24rule 10 deny source any                     # 隐含拒绝所有# 创建高级ACL（3000-3999匹配源/目的IP）
acl number 3000rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 172.16.0.0 0.0.255.255

局限性

• 无法精确匹配路由掩码长度
• 通配符掩码与子网掩码逻辑不同（0表示严格匹配，1表示忽略）

2）前缀列表---ip-prefix：

基本概念

• 专为路由策略设计的匹配工具
• 可同时匹配网络地址和掩码长度
• 提供greater-equal/less-equal等灵活匹配方式

匹配规则

• 自上而下顺序匹配
• 默认步长10（可自定义）
• 末尾隐含拒绝所有规则

典型配置

[r1]ip ip-prefix aa index 15 permit 192.168.1.0 24 # 精确匹配192.168.1.0/24[r1]ip ip-prefix aa permit 192.168.1.0 24 less-equal 28--- 抓取掩码长度在24和28之间的路由
信息[r1]ip ip-prefix aa permit 192.168.1.0 24 greater-equal 28--- 如果出现前后矛盾，则掩码以
后面的规则为准，前面的数字变为前多少位固定（这里是前24位固定，子网掩码大于等于28）[r1]ip ip-prefix aa permit 0.0.0.0 0 greater-equal 32--- 匹配所有的主机路由[r1]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32--- 匹配所有[r1]ip ip-prefix aa permit 0.0.0.0 0 --- 匹配缺省路由

查看前缀列表

<r1>dis ip ip-prefix

2. 策略执行：精细化的路由操控

1）RIP Metricin与Metricout

1. Metricin（入方向度量调整）

基本概念

Metricin用于修改路由器接收到的RIP路由的跳数值，影响本地路由表的计算。

工作原理

• 当路由器从邻居接收到RIP路由更新时
• 在将路由加入路由表之前，先增加指定的metric值
• 最终metric = 原始metric + metricin增加值

典型配置

interface GigabitEthernet0/0/1rip metricin 3  # 所有从该接口收到的RIP路由跳数+3

高级用法（ACL过滤）

acl number 2000rule permit source 192.168.1.0 0.0.0.255  # 只匹配192.168.1.0/24网络interface GigabitEthernet0/0/1rip metricin 2000 5  # 仅对192.168.1.0/24的路由跳数+5

2. Metricout（出方向度量调整）

基本概念

Metricout用于修改路由器向邻居发送的RIP路由的初始跳数值。

工作原理

• 当路由器向邻居发送RIP路由更新时
• 在发送前修改路由的metric值
• 邻居收到的metric = 原始metric + metricout设置值

典型配置

interface GigabitEthernet0/0/2rip metricout 2  # 所有从该接口发出的RIP路由跳数设为2

高级用法（IP-Prefix过滤）

ip ip-prefix VIP permit 10.0.0.0 8interface GigabitEthernet0/0/2rip metricout ip-prefix VIP 1  # 对10.0.0.0/8路由设置跳数为1

2）Filter-Policy

1. 基本概念

Filter-Policy用于过滤路由的传播，可以基于ACL或IP-Prefix进行过滤。

2. 入方向过滤（Import）

ip ip-prefix DENY permit 172.16.0.0 16rip 1filter-policy ip-prefix DENY import  # 阻止172.16.0.0/16进入路由表

3. 出方向过滤（Export）

acl number 2100rule deny source 192.168.0.0 0.0.255.255rule permit source anyrip 1filter-policy 2100 export  # 禁止192.168.0.0/16路由传播

4. 接口级过滤

rip 1filter-policy ip-prefix INTERNAL export GigabitEthernet0/0/1

5. 注意事项

• import影响本地路由表
• export影响邻居路由表
• 末尾隐含deny any规则

3）Route-Policy

1. 基本结构

route-policy NAME permit|deny node NODE_NUMif-match [条件]apply [动作]

2. 条件匹配（if-match）

if-match ip-prefix VIP  # 匹配前缀列表
if-match acl 2000      # 匹配ACL
if-match cost 10       # 匹配cost值
if-match tag 100       # 匹配tag值

3. 动作设置（apply）

apply cost +10        # 增加cost值
apply cost 100        # 设置固定cost值
apply tag 6666        # 设置tag值
apply preference 150  # 修改协议优先级

4. 完整示例

ip ip-prefix FROM_OSPF permit 10.0.0.0 8
ip ip-prefix IMPORTANT permit 192.168.0.0 16route-policy OSPF_TO_RIP deny node 10if-match ip-prefix FROM_OSPF  # 阻止OSPF路由进入RIProute-policy OSPF_TO_RIP permit node 20if-match ip-prefix IMPORTANTapply cost 5                  # 重要路由设置低costapply tag 100route-policy OSPF_TO_RIP permit node 30  # 放行其他路由

5. 调用方式

rip 1import-route ospf 1 route-policy OSPF_TO_RIP

四、技术对比

技术	作用层次	主要功能	匹配精度
Metricin/out	接口级	调整路由metric值	中等（ACL/IP-Prefix）
Filter-Policy	协议级	路由过滤	高（精确匹配）
Route-Policy	策略级	复杂路由控制和属性修改	非常高（多条件）

五、排错命令

display rip route            # 查看RIP路由表
display route-policy POLICY  # 查看策略内容
debugging rip packet         # 调试RIP报文（慎用）
reset rip process            # 重置RIP进程
dis ip ip-prefix             # 查看前缀列表