一. 匹配工具:
1. ACL:
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。
访问控制列表是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目标地址、源端口、目的端口等信息来描述ACL规则通过匹配报文的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。
按照访问控制列表的用途,可以分为:
① 基本的访问控制列表(2000-2999)
② 高级的访问控制列表(3000-3999)
③ 二层访问控制列表(4000-4999)
(1)基本访问控制列表:
基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000-2999。一个ACL可以有多条“Permit/Deny”语句组成,每一条语句描述一条规则,每条规则有一个Rule-ID。Rule-ID可以有用户进行配置,也可以由系统自动根据步长生成,默认步长是5,Rule-ID默认按照配置先后顺序分配0、5、10、15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大进行匹配。
① 步长:
华为设备默认步长为5,使用命令[Huawei-acl-basic-2000]step 10进行定义步长。
② Permit/Deny:
华为设备使用Acl进行流量匹配,匹配的动作分为Permit和Deny:
- Permit:匹配该流量
- Deny:不匹配此流量
③ 反掩码:
Acl使用反掩码来严格匹配网络位数:
- 0表示严格匹配
- 1表示不匹配
④ time range:
Acl可以基于时间段进行生效或失效,使用time range进行配置有效时间段(使用正确的系统时间):
在配置Acl时进行绑定:
[Huawei-acl-basic-2000]rule 5 permit source 192.168.1.1 0 time-range telent
(2)高级访问控制列表:
基本访问控制列表只能用于匹配源IP地址,而在实际应用中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL局限性无法实现更多的功能,所以就需要使用高级的访问控制列表。
高级的访问控制列表在匹配项上做了扩展,编号范围为3000-3999,即可使用报文的源IP地址,也可以使用目的地址、IP优先级、IP协议类型、源端口号和目的端口号进行匹配。
配置命令:
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit tcp destination 192.168.1.0 0 destination-port eq 23 source 192.168.2.0 0.0.0.255
2. IP-Prefix:
ACL默认只能匹配路由条目,无法匹配掩码范围,路由前缀采用大于小于的形式来匹配路由,弥补了acl的不足
前缀列表,它可以将所定义的前缀列表相匹配的路由,根据定义的匹配模式进行过滤。前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网段地址或者主机地址,掩码长度的配置范围为0-32,可以进行精确匹配货真在一定掩码长度范围内匹配,也可以通过配置关键字greater-equal和less-equal指定待匹配的前缀掩码长度。
前缀列表同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤。
Acl缺陷:
如图,网络中存在黑客行为,接入了一条11.1.0/25的网络,与网络中11.1.1.0/24存在冲突,当路由协议收敛后,会优先匹配11.1.1.0/25(子网掩码越长越优先),造成网络瘫痪。
使用acl进行匹配,11.1.1.0 0.0.0.0进行匹配,会将11.1.1.0/24进行阻塞掉,所以acl无法满足要求。
使用IP-Prefix进行匹配:11.1.1.0 24 greater-equal 25 less-equal 25
① 11.1.1.0 24:匹配路由条目 前24位是否与11.1.1.0相同。
② greater-equal 25 less-equal 25:匹配掩码为/25的路由。
(1)IP-Prefix基本格式:
① 只存在掩码:
[Huawei]ip ip-prefix 1 index 10 permit 10.0.0.0 16
- 匹配的数据包中的IP地址的掩码为/16
- 匹配的数据包中的IP地址的前16位IP地址一致
② 存在greater-equal和less-equa:
[Huawei]ip ip-prefix 1 index 10 permit 10.0.0.0 16 greater-equal 16 less-equal 17
① 掩码值16:首先匹配前16位是否一致,一致进入下一步,不一致忽略
② greater-equal 16 less-equal 17:匹配子网掩码是/16、/17
(2)IP-Prefix配置:
① 只存在掩码:
a) 只允许/24的子网掩码通过:
[Huawei]ip ip-prefix 1 index 10 permit 10.0.1.0 24-----------前24位与10.0.1.0一致并且子网掩码是24位
b) 匹配默认路由:
[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0-----------匹配默认路由
c) 匹配所有路由:
ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32
d) 匹配所有主机路由:
e) ip ip-prefix 1 index 10 permit 0.0.0.0 0 greater-equal 32
② 存在greater-equal和less-equa:
① 匹配10.0.1.1/24和10.0.2.1/25的路由条目:
[Huawei]ip ip-prefix 1 index 10 deny 10.0.0.0 16 greater-equal 24 less-equal 25---匹配前16位一致的路由条目并且匹配子网掩码为24位到25位
[Huawei]ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32------隐式为拒绝所有,所以配置允许所有
③ 匹配所有地址:
[Huawei]ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32-----匹配所有
二. 流策略:
1. traffic-filter:
流过滤,用来阻止数据流的通信访问,使用ACL对源数据流进行匹配,可以是基本ACL对源进行匹配,也可以是高级ACL对目标进行匹配。
规则:
① 如果ACL定义的行为为Deny,则丢弃该报文
② 如果ACL定义的行为为Permit,则放行该报文
③ 如果ACL没有定义该报文的行文,放行该报文
配置举例:
只允许192.168.1.0的网段访问192.168.4.2,拒绝其余所有的流量访问192.168.4.2
AR2:
[Huawei-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.4.2 0
[Huawei-acl-adv-3000]rule 10 deny ip source any
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
2.traffic-policy:
流策略,主要用于对数据流的策略行为,流策略是对流量转发的控制工具,它使用acl进行流量的匹配,使用流分类和流行为对数据流进行匹配与控制访问。
(1)traffic classifier:
流分类,用户可以使用流分类用来匹配traffic-policy中需要处理的流量,流分类使用acl进行流量的匹配:
[Huawei]traffic classifier 1 --------定义流量分类1
[Huawei-classifier-1]if-match acl 2000--------调用ACL规则
(2)traffic behavior:
流行为,在匹配除流量之后,使用traffic behavior定义对数据流的行为。
[Huawei]traffic behavior 1-------定义流量行为1
[Huawei-behavior-1]permit--------定义流行为
(3)traffic-policy:
当匹配完数据流,定义好数据流的行为之后,使用traffic-policy将流分类和流行为进行绑定,也可以用来调用ACL,并在端口上调用traffic-policy。
[Huawei]traffic policy 1-------定义流量策略1
[Huawei-trafficpolicy-1]classifier 1 behavior 1------绑定流量分类1和流量行为1
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-policy 1 inbound------在接口上调用,当有流量进入vlan30的时候,启用流策略1
三. 路由策略:
路由协议在传递路由的时候,支持多种多样的路由控制技术,灵活的使用这些路由控制技术可以对数据选路进行精确的控制。
路由控制主要控制路由的属性,路由的传递进行选路的更改。其中实现进行路由的匹配,将所需要控制或修改的路由匹配,使用工具将其进行策略调度。
策略路由工具可以直接定义路由的信息,修改路由的出接口。
(1)用来匹配路由条目的工具有:
① ACL
② ip-prefix
(2)用来调用匹配路由条目的工具有:
① filter-policy:过滤策略
② route-policy:路由策略
1. filter-policy:
过滤策略,用于路由协议的路由通告过滤,filter-policy只能用于过滤路由,不能用于路由属性的修改,filter-policy隐式为丢弃所有。
Filter-policy可以分方向调用,outbound在接口的出方向调用;inbound在入接口调用。
(1)路由矢量 Filter-policy:
Filter-Plicy可以用于路由矢量的路由过滤,在路由进行传递路由和接收路由时进行路由的过滤行为。
R1禁止将loo1通告给R2,允许通告loo0和loo2:
① 配置路由匹配:
[Huawei]ip ip-prefix 1 index 5 deny 1.1.1.2 32 less-equal 32---拒绝loo2
[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32---放行所有(默认为拒绝所有)
② RIP下调用Filter-policy:
[Huawei-rip-1]filter-policy ip-prefix 1 export GigabitEthernet 0/0/0---在接口下调用策略,并使用ip-prefic1匹配路由(如果所有的接口都使用过滤策略,可以不配置接口)
(2)链路状态 Filter-policy:
Filter-policy可以过滤路由,但是无法过滤LSA,所以Filter-policy只能修改本地路由,但是无法阻止LSA的传递。但是在abr处为距离矢量路由协议,默认只发送type3的lsa,所以可以采用filter-policy对区域间的路由进行过滤。
① 区域内做Filter-policy:
R2拒绝1.1.1.1/32路由:
① 配置路由匹配:
[Huawei]ip ip-prefix 1 index 5 deny 1.1.1.1 32
[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32
② 本地过滤在OSPF下调用Filter-policy(area下无作用):
[Huawei-ospf-1-area-0.0.0.0]filter ip-prefix 1 import
查看R2路由:
路由策略已经生效。
查看R3路由:
Filter-policy只能过滤路由条目,无法过滤LSA。
② 区域间做Filter-policy:
R3上过滤AREA0的1.1.1.1/32路由条目,禁止泛洪到AREA1中:
① 配置流量匹配:
[Huawei]ip ip-prefix 1 index 5 deny 1.1.1.1 32
[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32
② ABR不同区域过滤在区域下调用Filter-policy:
[Huawei-ospf-1-area-0.0.0.0]filter ip-prefix 1 export-----在区域0中不允许acl2000中的路由条目去往其他区域
或:[Huawei-ospf-1-area-0.0.0.1]filter ip-prefix 1 inport---在区域1中不允许acl2000中的路由条目进入此区域
③ 防止路由引入导致环路:
拓扑中OSPF和RIP相互引入,如果192.168.5.0/24的网段断掉,RIP没有及时发送路由信息给OSPF,OSPF会从R8将192.168.5.0/24的网段在传回来,造成网络环路。
使用filter-policy过滤OSPF传递给rip的192.168.5.0/24网段:
[Huawei]ip ip-prefix 1 index 5 permit 192.168.5.0 24
[Huawei-ospf-1]filter-policy ip-prefix huawei export rip
2. Router-Policy:
路由策略,支持丰富的属性策略,可以用来修改路由的属性(cost、E1/E2)等。
(1)定义标准:
① Node:
Router-Policy由一个或多个节点(Node)构成。Node之间是“或”的关系。每个Node都有一个编号,路由项按照Node编号由小到大的顺序通过各个Node,如果Node被匹配,则执行动作,如果没有匹配,继续匹配下一个Node,当所有的Node都没有被匹配到,匹配默认隐式路由丢弃。
② If-math、apply:
- 每个node为“或”的关系,自上而下匹配,每个Node下可以有若干个if-match和apply(特殊情况下可以完全没有if-match和apply子句).
- if-match之间是“与”的关系。If-match子句用来定义匹配规则,即路由项通过Node所需要满足的条件,匹配兑现更新路由项的某些属性。
注1:as-path-filter、interface、community-filter、extcommunity-filter、route-type为“或”的关系,其余的If-math都为“与”的关系
注2:如果定义了ACL,但是ACL没有定义匹配目标,则默认使用隐式deny Any;如果没有定义ACL,则匹配所有
- 当满足If语句中的所有条件时,Apply子句用来规定处理动作,Apply中所有的动作都将执行。
③ permit/deny:
Router-policy的每个Node都有相应的permit模式或deny模式。
① permit模式:当路由项满足该node的所有if-match子句时,就被允许通过node的过滤并执行该Node的子句进行属性的apply属性修改。
② deny模式:当路由项满足该node的所有if-match子句时,就被拒绝通过该Node的过滤不执行apply的项目,直接输出。
(2)配置Router-Policy:
① OSPF引入rip修改cost值:
① 匹配路由:
[Huawei]ip ip-prefix 1 deny 1.1.1.1 32
② 定义规则:
[Huawei]route-policy huawei deny node 5---定义节点5
[Huawei-route-policy]if-match ip-prefix 1
[Huawei]route-policy huawei permit node 10---------定义节点10放行其余流量(隐式拒绝其余流量)
[Huawei-ospf-1]import-route rip route-policy 1----引入rip时调用router-policy
路由条目1.1.1.1/32的COST值被修改为100
② OSPF引入RIP路由修改E1/E2:
① 匹配路由:
[Huawei]ip ip-prefix 2 deny 1.1.1.1 32
② 定义规则:
[Huawei]route-policy Etype deny node 5---定义节点5
[Huawei-route-policy]if-match ip-prefix 2
[Huawei]route-policy Etype permit node 10---------定义节点10放行其余流量(隐式拒绝其余流量)
[Huawei-ospf-1]import-route rip route-policy Etype----引入rip时调用router-policy
1.1.1.1的类型已被修改为类型1
3. policy-based route:
策略路由,可以直接定义路由的信息,修改路由的出接口。(路由策略也可指定下一跳)
注:策略路由只能使用ACL匹配数据流。
(1)PBR配置:
指定从E0/001接口收到的数据流量源ip为192.168.1.2走192.168.4.2:
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 5 permit souce 192.168.1.3 0
[Huawei]policy-based-route huawei permit node 5
[Huawei-policy-based-route-huawei-5]if-match acl 2000
[Huawei-policy-based-route-huawei-5]apply ip-address next-hop 192.168.4.2
[Huawei]inter e0/0/0
[Huawei-Ethernet0/0/0]ip policy-based-route Huawei
注:如果修改本设备发起流量的PBR,在全局模式下使用命令[Huawei]ip local
policy-based-route huawei
四. IE问题:
1. ACL:
(1)匹配奇数路由:
有路由条目:192.168.1.0、192.168.2.0、192.168.3.0、192.168.4.0、192.168.5.0、192.168.6.0、192.168.7.0,只匹配其中的奇数路由
奇数路由器最后一位为1,所以使用反掩码0匹配最后一位即可
192.168.1.0=====192.168.00000001.0
192.168.3.0=====192.168.00000011.0
192.168.5.0=====192.168.00000101.0
192.168.7.0=====192.168.00000111.0
=====192.168.00000001.0 反掩码:0.0.0.00000110.0
=====192.168.1.0 0.0.6.0
(2)匹配偶数路由:
有路由条目:192.168.1.0、192.168.2.0、192.168.3.0、192.168.4.0、192.168.5.0、192.168.6.0、192.168.7.0,只匹配其中的偶数路由
奇数路由器最后一位为0,所以使用反掩码0匹配最后一位即可
192.168.0.0=====192.168.00000000.0
192.168.2.0=====192.168.00000010.0
192.168.4.0=====192.168.00000100.0
192.168.6.0=====192.168.00000110.0
=====192.168.00000000.0 反掩码:0.0.00000110.0
=====192.168.0.0 0.0.6.0
(3)匹配默认路由:
① 使用any匹配所有:
[Huawei-acl-basic-2000]rule 10 permit source any
② 使用反掩码匹配所有:
反掩码0为严格匹配,1为不匹配,放行所有路由,所有为都不匹配,所以反掩码都是1
[Huawei-acl-basic-2000]rule 20 permit source 0.0.0.0 255.255.255.255
2. IP-Prefix:
(1)包含路由:
前缀列表ip ip-prefix 1 index 10 permit 10.1.0.0 21 greater-equal 24 less-equal 26,包含/24、/25、/26分别有多少条路由
① /24:
10.1.0.0 21 greater-equal 24 less-equal 26 前21位固定,由于是/24的网络掩码,所以网络位剩余3位不固定
10.1.0.00000 XXX.0/24,所以路由条目为2^3=8条,为10.1.0.0~10.1.7.0
② /25:
10.1.0.0 21 greater-equal 24 less-equal 26 前21位固定,由于是/25的网络掩码,所以网络位剩余4位不固定
10.1.0.00000 XXX.X0000000/25,所以路由条目为2^4=16条
分别为:
10.1.0.0/25 10.1.0.128/25
10.1.1.0/25 10.1.1.128/25
10.1.2.0/25 10.1.2.128/25
10.1.3.0/25 10.1.3.128/25
10.1.4.0/25 10.1.4.128/25
10.1.5.0/25 10.1.5.128/25
10.1.6.0/25 10.1.6.128/25
10.1.7.0/25 10.1.7.128/25
③ /26:
10.1.0.0 21 greater-equal 24 less-equal 26 前21位固定,由于是/26的网络掩码,所以网络位剩余5位不固定
10.1.0.00000 XXX.XX000000/25,所以路由条目为2^5=32条
分别为:
10.1.0.0/26 10.1.0.64/26 10.1.0.128/26 10.1.0.192/26
10.1.1.0/26 10.1.1.64/26 10.1.1.128/26 10.1.1.192/26
10.1.2.0/26 10.1.2.64/26 10.1.2.128/26 10.1.2.192/26
10.1.3.0/26 10.1.3.64/26 10.1.3.128/26 10.1.3.192/26
10.1.4.0/26 10.1.4.64/26 10.1.4.128/26 10.1.4.192/26
10.1.5.0/26 10.1.5.64/26 10.1.5.128/26 10.1.5.192/26
10.1.6.0/26 10.1.6.64/26 10.1.6.128/26 10.1.6.192/26
10.1.7.0/26 10.1.7.64/26 10.1.7.128/26 10.1.7.192/26
(2)包含主网路由:
① 包含所有A类路由:
- 自然网络:
A类路由是1.0.0.0/8~126.0.0.0/8,只有第一位为0,其余的七位都不一样,所以只匹配第一位一样,由于是自然网络,所以掩码为8
ip ip-prefix 1 index 10 permit 0.0.0.0 1 greater-equal 8 less-equal 8
- VLSM全A类地址:
由于划分了VLSN,使用前缀列表匹配所有的VLSM关于A类的路由,由于使用了VLSM,所以掩码不固定,但是肯定要大于/8,所以从9~32
ip ip-prefix 1 index 10 permit 0.0.0.0 1 greater-equal 9
② 包含所有B类路由:
- 自然网络:
B类路由是128.0.0.0/16~191.0.0.0/16,前两位为10,其余的都不一样,所以只匹配前三位一样,并且掩码为16
ip ip-prefix 1 index 10 permit 128.0.0.0 2 greater-equal 16 less-equal 16
- VLSM全B类地址:
由于划分了VLSN,使用前缀列表匹配所有的VLSM关于B类的路由,由于使用了VLSM,所以掩码不固定,但是肯定要大于/16,所以从17~32
ip ip-prefix 1 index 10 permit 128.0.0.0 2 greater-equal 17
③ 包含所有C类路由:
- 自然网络:
C类路由是192.0.0.0/24~223.0.0.0/24,前两位为110,其余的都不一样,所以只匹配前三位一样,并且掩码为24
ip ip-prefix 1 index 10 permit 192.0.0.0 3 greater-equal 24 less-equal 24
- VLSM全C类地址:
由于划分了VLSN,使用前缀列表匹配所有的VLSM关于C类的路由,由于使用了VLSM,所以掩码不固定,但是肯定要大于/24,所以从24~32
ip ip-prefix 1 index 10 permit 128.0.0.0 2 greater-equal 24
(3)全0路由:
① 默认路由:
ip ip-prefix 1 index 10 permit 0.0.0.0 0
只匹配0.0.0.0 掩码为0,所以只匹配了默认路由一条路由
② 所有路由:
ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32
前0位一致,所有匹配所有的路由条目,掩码小于等于32,匹配所有的掩码路由,所以为匹配所有路由
③ 所有主机路由:
ip ip-prefix 1 index 10 permit 0.0.0.0 0 greater-equal 32
前0位一致,所有匹配所有的路由条目,掩码大于等于32,所以为32位的主机路由才能通过,所以为匹配所有主机路由
3. 路由引入:
路由引入只看路由表,路由表中有什么就引入什么
① AR2路由表中存在三条RIP路由
② AR2将RIP路由引入OSPF中,AR2数据库中会产生三条外部路由的5类LSA
③ AR4收到三条OSPF的外部路由
③ AR2将OSPF路由引入到ISIS区域中,路由器根据路由表的OSPF路由引入到IS-IS,RIP路由优于OSPF外部路由,所以路由表中的关于三条路由表示为RRIP路由,所以AR2不会将这三条外部路由以OSPF的方式引入到IS-IS中
④ 在AR2上配置一条静态路由指向1.1.1.1,此时路由表中去往1.1.1.1的路由为静态路由,所以在将RIP引入OSPF中,没有在引入1.1.1.1这条路由
4. 双点双向重分发:
使用Router-Policy对引入路由进行控制,防止次优路径和环路
① 在AR2上将RIP、OSPF路由互引
② 在AR1、AR4上将OSPF与IS-IS互引
(1)环路问题:
AR1和AR4会将引入的外部路由发布到IS-IS区域,AR1和AR4也会收到对方引入的相同的路由,路由又从两个方向重新引入到OSPF中,当RIP路由消失时,容易造成环路,所以在OSPF路由引入IS-IS时压入TAG,在重新引回OSPF时,过滤带TAG的路由
IS-IS在引入OSPF路由时增加TAG:
注:首先将所有的IS-IS路由器的Cost类型改为Wide
[Huawei]isis
[Huawei-isis-1]import-route ospf tag 100
在对端重新将IS-IS引入OSPF时过滤带TAG的路由:
引入的时候首先过滤掉带有Tag标记的路由,然后对引入的其余没有标记的路由压入Tag
① AR1中OSPF引入IS-IS路由时首先过滤Tag400的路由,将剩余的路由压入Tag100
② AR1中IS-IS引入OSPF路由时首先过滤Tag300的路由,将剩余的路由压入Tag200
③ AR4中OSPF引入IS-IS路由时首先过滤Tag200的路由,将剩余的路由压入Tag300
④ AR4中IS-IS引入OSPF路由时首先过滤Tag100的路由,将剩余的路由压入Tag400
AR1:
[Huawei]route-policy I2O deny node 5
[Huawei-route-policy]if-match tag 400
[Huawei]route-policy I2O permit node 10
[Huawei-route-policy]apply tag 100
[Huawei]ospf
[Huawei-ospf-1]import-route isis route-policy I2O
[Huawei]route-policy O2I deny node 5
[Huawei-route-policy]if-match tag 300
[Huawei]route-policy O2I permit node 10
[Huawei-route-policy]apply tag 200
[Huawei]isis
[Huawei-isis-1]import-route ospf route-policy O2I
AR4:
[Huawei]route-policy I2O deny node 5
[Huawei-route-policy]if-match tag 200
[Huawei]route-policy I2O permit node 10
[Huawei-route-policy]apply tag 300
[Huawei]ospf
[Huawei-ospf-1]import-route isis route-policy I2O
[Huawei]route-policy O2I deny node 5
[Huawei-route-policy]if-match tag 100
[Huawei]route-policy O2I permit node 10
[Huawei-route-policy]apply tag 400
[Huawei]isis
[Huawei-isis-1]import-route ospf route-policy O2I
(2)次优路径问题:
AR4和AR1访问1.1.1.1/32目标时,由于都是外部路由,ISIS的外部路由优先级为15,OSPF外部路由优先级为150,所以走IS-IS区域,造成次优路径问题
针对此路由条目在将其引入到IS-IS时将其IS-IS优先级调大
[Huawei]route-policy fifter permit node 5
[Huawei-route-policy]if-match tag 100
[Huawei-route-policy]apply preference 152
[Huawei]isis
[Huawei-isis-1]preference route-policy fifter