在网络设备配置中，route - policy、policy - base - route、filter - policy、traffic - policy、traffic - filter 都是常用的策略工具，但它们在功能定位、作用场景、配置逻辑等方面存在差异。作为网工，理清这些差异才能精准施策，让网络按预期高效运行。今天就来深度拆解对比，帮你彻底吃透！

一、核心功能定位

（一）route - policy：路由策略

作用：聚焦控制平面，专门用于路由信息的精细管控。既能过滤路由（决定哪些路由能进入 / 发布），又能深度修改路由属性（如 OSPF 外部路由类型、BGP 的本地优先级、MED 值等 ）。典型场景：OSPF 引入外部路由时修改路由类型（把默认的 external - type 2 改成 type 1）；BGP 选路时调整路由优先级，让特定路由更 “优先”；过滤不需要的路由，避免冗余路由占用设备资源。

（二）policy - base - route（PBR）：策略路由

作用：主打转发平面，强制数据包按自定义策略转发，优先级高于路由表。基于源 IP、目的 IP、端口、协议类型等多样条件，精准控制流量走向。典型场景：企业多出口场景，让特定部门（如研发部）流量走带宽大的专线，普通部门走普通链路；把访问特定业务系统（如 OA 系统）的流量，强制引流到安全设备做检测。

（三）filter - policy：路由过滤

作用：专注路由信息过滤，相对 “轻量”。只能过滤路由（决定是否加入路由表或对外发布），无法修改路由属性。在距离矢量协议（如 RIP）、链路状态协议（如 OSPF）、路径矢量协议（如 BGP）中，控制路由的收发。典型场景：OSPF 中，拒绝某条路由加入本地路由表；BGP 中，过滤掉从邻居收到的冗余路由，减少路由表规模。

（四）traffic - policy：流量策略

作用：基于 MQC（模块化 QoS 命令行），联动流分类（classifier）和流行为（behavior），实现复杂流量管控。既能过滤流量（允许 / 拒绝特定流量），也能对流量做重定向、修改优先级、限速等优化操作。典型场景：企业网中，给视频会议流量标记高优先级，保障通话流畅；对 P2P 下载流量限速，避免占用过多带宽；把特定网段流量重定向到审计设备。

（五）traffic - filter：流量过滤

作用：简单流量访问控制，基于 ACL（访问控制列表），在接口入 / 出方向过滤流量，决定哪些数据包能通过接口。功能相对基础，主要做 “允许 / 拒绝” 操作。典型场景：禁止某部门网段访问外网；在接入层交换机接口，拒绝非法 IP 的流量接入。

二、作用层级与处理对象

三、配置逻辑与规则匹配

（一）route - policy：“节点 + 匹配 + 动作” 逻辑

由多个node组成，节点间是 “或” 关系 （匹配一个节点就停止，不继续匹配 ）；每个node内可设多个if - match条件，条件间是 “与” 关系 （需全部匹配 ）；匹配后通过apply执行动作（如改路由类型、度量值 ）。

示例（OSPF 修改外部路由类型）：

route-policy RP permit node 10

if-match ip-prefix external-route // 匹配前缀列表

apply cost-type type-1 // 改成type-1外部路由

（二）policy - base - route：“策略 + 节点 + 匹配 + 动作” 逻辑

包含多个node，节点间 “或” 关系 ；节点内if-match条件支持 ACL、报文长度等，条件间 “与” 关系 ；匹配后执行动作（如指定下一跳、出接口 ），且不匹配时走路由表（区别于 route - policy 的 “默认拒绝” ）。

示例（让 192.168.1.0/24 网段走特定下一跳）：

policy-based-route PBR permit node 10

if-match acl 3000 // ACL匹配192.168.1.0/24

apply next-hop 10.0.0.1 // 强制下一跳

（三）filter - policy：“前缀列表 / ACL + 方向” 逻辑

依赖前缀列表（ip - prefix）或 ACL，定义允许 / 拒绝的路由；在协议视图（如 OSPF、BGP）下，指定import（入方向过滤路由接收 ）或export（出方向过滤路由发布 ）。

示例（OSPF 拒绝 192.168.2.0/24 路由加入）：

ip ip-prefix deny-route index 10 deny 192.168.2.0 24

ospf 1

filter-policy ip-prefix deny-route import

（四）traffic - policy：“流分类 + 流行为 + 绑定” 逻辑

流分类（classifier）：用if - match定义流量匹配规则（如 ACL、VLAN、端口 ）；流行为（behavior）：定义对匹配流量的操作（如 permit、deny、重定向 ）；traffic - policy：绑定流分类和流行为，在接口调用。

示例（拒绝 P2P 流量，允许其他）：

acl number 3000

rule 10 deny udp destination-port eq 1234 // 假设P2P端口1234

traffic classifier p2p-class

if-match acl 3000

traffic behavior p2p-behavior deny

traffic policy p2p-policy

classifier p2p-class behavior p2p-behavior

interface GigabitEthernet 0/0/1

traffic-policy p2p-policy inbound

（五）traffic - filter：“ACL + 接口方向” 逻辑

先配 ACL 定义流量规则（允许 / 拒绝 ）；在接口入 / 出方向调用，过滤数据包。

示例（拒绝 192.168.3.0/24 访问外网）：

acl number 2000

rule 10 deny source 192.168.3.0 0.0.0.255

interface GigabitEthernet 0/0/0

traffic-filter outbound acl 2000

四、典型实验对比（以华为设备为例）

实验场景：企业分支网络策略管控

需求 1：OSPF 中，R1 引入直连路由时，用 route - policy 把 192.168.1.0/24 改成 OSPF external - type 1；需求 2：让 192.168.2.0/24 网段流量，通过 policy - base - route 强制走备用链路（下一跳 10.0.0.2 ）；需求 3：在 R2 的 OSPF 中，用 filter - policy 过滤掉 192.168.3.0/24 路由，不加入路由表；需求 4：在出口路由器，用 traffic - policy 对视频流量（假设端口 5000）标记 DSCP 优先级，对 P2P 流量（端口 6000）限速；需求 5：在接入层交换机，用 traffic - filter 拒绝访客网段（192.168.4.0/24）访问内网服务器。

核心配置片段

// route - policy配置（需求1）

ip ip - prefix ospf - route index 10 permit 192.168.1.0 24

route - policy ospf - type permit node 10

if - match ip - prefix ospf - route

apply cost - type type - 1

ospf 1

import - route direct route - policy ospf - type

// policy - base - route配置（需求2）

acl number 3000 rule 10 permit ip source 192.168.2.0 0.0.0.255

policy - based - route branch - route permit node 10

if - match acl 3000

apply next - hop 10.0.0.2

interface GigabitEthernet 0/0/1

policy - based - route branch - route inbound

// filter - policy配置（需求3）

ip ip - prefix deny - ospf index 10 deny 192.168.3.0 24

ospf 2

filter - policy ip - prefix deny - ospf import

// traffic - policy配置（需求4）

acl number 3001 rule 10 permit udp destination - port eq 5000

acl number 3002 rule 10 permit udp destination - port eq 6000

traffic classifier video - class if - match acl 3001

traffic behavior video - behavior remark dscp ef // 标记高优先级

traffic classifier p2p - class if - match acl 3002

traffic behavior p2p - behavior car cir 1024 cbs 150000 // 限速1Mbps

traffic policy app - policy

classifier video - class behavior video - behavior

classifier p2p - class behavior p2p - behavior

interface GigabitEthernet 0/0/2

traffic - policy app - policy inbound

// traffic - filter配置（需求5）

acl number 2001 rule 10 deny source 192.168.4.0 0.0.0.255

interface GigabitEthernet 0/0/3

traffic - filter inbound acl 2001

五、总结：怎么选？看场景！

想精细改路由属性、深度控路由收发 → 选route - policy（OSPF/BGP 等协议场景）；想强制流量走特定路径，优先级高于路由表 → 选policy - base - route（多出口、流量引流场景）；仅需简单过滤路由（收 / 发），不改属性 → 选filter - policy（轻量化路由过滤场景）；既要过滤流量，又要做优化（重定向、限速、改优先级） → 选traffic - policy（复杂流量管控场景）；仅需基础流量 “允许 / 拒绝”，配置越简单越好 → 选traffic - filter（接入层、边界简单过滤场景）。