华为数通基础03-路由控制

* 1.路由策略：通过控制路由的接收/发布/路由优选进而实现对流量可达性以及流量路径的控制 2.策略路由：直接对流量进行可达性以及流量路径的控制Filter-Policy工具（过滤策略）：过滤路由表里的路由条目，不能过滤路由属性Route-Policy工具（路由策略）：修改路由属性Traffic-Filter工具（流量过滤）traffic-policy（流量策略）1.控制网络流量可达性：方式： 1.路由策略：可通过修改路由条目（即对接收和发布的路由进行过滤）来控制流量可达性2.流量过滤：可使用Traffic-Filter工具对数据进行过滤1.路由策略：可通过修改路由条目（即对接收和发布的路由进行过滤）来控制流量可达性控制路由的发布：只发布满足条件的路由信息。

控制路由的接收：只接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。

过滤和控制引入的路由：一种路由协议在引入其它路由协议时，只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。

设置特定路由的属性：为通过路由策略过滤的路由设置相应的属性路由策略工具：1.利用Filter-Policy工具(过滤策略)，通过引用ACL或地址前缀列表，对接收或发布的路由进行过滤，可应用于ISIS、OSPF、BGP等协议首先使用ACL或IP-Prefix List工具来匹配目标流量(定义规则)然后在协议视图下，利用Filter-Policy向目标流量发布策略(应用规则)作用：用于控制路由的接收和发布部署位置：协议视图下部署命令格式：Filter-Policy + ACL/IP-prefix + export（出方向执行过滤策略）/import（入方向执行过滤策略）注意事项：针对链路状态路由协议，Filter-Policy在进行路由过滤时只能在入方--》是因为链路状态路由协议发布的是链路状态信息，而并非路由，因此无法在出方向进行过滤；而Filter-Policy也无法在入方向过滤链路状态信息，但可以阻止链路状态信息计算出的路由加入到路由表中，所以能达到过滤的效果（BGP为距离矢量路由协议，可以在出/入配置）2.利用Route-Policy工具（路由策略），在引入路由时对路由进行过滤首先使用ACL或IP-Prefix List工具来匹配目标流量(定义规则)然后在协议视图下，利用Route-Policy对引入的路由条目进行控制(应用规则)作用：1.控制路由的接收和发布（主要应用于BGP环境中，因为BGP属性多）2.可以控制路由的引入3.控制路由的属性--间接实现控制选路（如修改属性，起源属性，cost，下一跳，优先级）部署位置：协议视图下部署命令格式：Filter-Policy + route-policy + 策略名字 + permit/deny + node + node-id（节点号）子语句：if-match 如果匹配……apply 则修改……route-policy + 策略名字 + permit/deny + node + node-id（节点号）+ if-match {acl/cost/interface/ip next-hop/ip-prefix} apply {cost/ip-address next-hop/tag}注意：1.一个route-policy有若干个node组成，node之间是“或”的关系，进行匹配时，按序号从小到大匹配，如未能匹配，可以查后续的node2.一个node有若干个if-match和apply子语句组成，若存在多个if-match，if-match之间是“与”的关系，只要路由同时要满足多个if-match子语句，才能被该node所匹配；若是存在多个apply，则是修改多个属性若是不存在if-match，则表示匹配所有3.若一条路由未被route-policy中任何一个node所命中，则拒绝该路由（默认存在一个拒绝所有的node），所有需要打开permit4.ACL/ip-prefix的动作和node中的结果的动作关系：ACL/ip-prefix node 最终结果permit permit permitpermit deny denydeny permit denydeny deny 无效技巧：若写的是deny语句，则不用写apply语句路由选择工具：筛选出需要执行路由策略的路由1.访问控制列表（ACL）（Access Control List）：定义：是由permit或deny语句组成的一系列有顺序规则的集合，它通过匹配报文的信息实现对报文的分类作用：匹配路由或者流量，主要用于匹配流量，通过基本ACL实现匹配路由的作用，过滤数据包命令格式：ACL+ 编号（2000-2999）rule+ 编号+permit/deny+source+路由网络号+通配符掩码使用方式： rule 1 deny source 0.0.0.0 0.0.0.0 拒绝所有路由（默认存在）permit 允许所有permit source 192.168.2.X 0.0.0.0 允许192.168.2.0网段permit source 192.168.2.0 0.0.0.0 允许192.168.2.0问题：ACL可以灵活地匹配IP地址的前缀，但无法匹配掩码长度；遇到同一个前缀，不同前缀的掩码长度时ACL就不适用基本ACL：主要基于源地址、分片标记和时间段信息对数据包进行分类定义，编号范围为2000-2999。

华为数通考试试卷（路由协议基础&动态路由协议和RIP协议原理）考试时间60分钟（共100分）一、填空题（共10空，每空1分、共计10分）1.路由表的构成有：目的地址、网络掩码、出接口、下一跳IP地址、协议、优先级、花销。

2.路由的来源主要有：链路层协议发现的路由（Direct）、手工配置的静态路由（Static）、动态路由协议发现的路由。

3.路由选路原则的要素：协议优先级、路由花费值4.缺省路由是在没有找到匹配的路由表入口项时才使用的路由。

它也是一种静态路由；它以日的网络0.0.0.0掩码为0.0.0.0的形式出现。

5.OSPF将协议报文直接封装在IP 报文中，协议号89，BGP使用TCP作为传输协议，端口号是179，RIP使用UDP作为传输协议，端口号520。

二、判断题（共10题，每题1分、共计10分）1.当产生路由自环时，报文会在几个路由器之间循环转发，直至TTL=0 时才被丢弃。

（√）2.RIP 使用跳数（Hop Count）来衡量到达目的网络的距离，RIP规定metric取值0~15之间的整数，大于或等于16的跳数被定义为无穷大，即目的网络或主机不可达（√）3.RIP包括RIP-1和RIP-2两个版本，RIP-1不支持变长子网掩码(VLSM)，RIP-2支持变长子网掩码(VLSM)，同时RIP-2只支持明文认证。

（×）4.华为设备：0表示直接连接的路由，255 表示任何来自不可信源端的路由。

（√）5.不同的路由协议之间的路由花费值没有可比性，也不存在换算关系。

（√）6.自治系统的编号范围是1到65535，其中1到65411是注册的因特网编号，65412到65535是专用网络编号。

（√）7.为了在同一个互联网中支持多种路由协议，必须在这些不同的路由协议之间共享路由信息。

这种在不同路由协议中间交换路由信息的过程被称为路由引入；路由引入可以是单向的也可以是双向的。

（√）8.“路由自环”是指某个报文从一台路由器发出，经过几次转发之后又回到初始的路由器。

华为路由器基础配置华为路由器基础配置华为路由器是一款高性能路由器，广泛应用于家庭和中小企业网络中。

正确配置华为路由器可以使其发挥最佳的网络性能和安全性。

下面我们将介绍华为路由器的基础配置，帮助大家更好地使用这款设备。

一、网络设置1、WAN口设置：根据您的上网方式，选择正确的WAN口连接类型，如动态IP（DHCP）、静态IP等。

确保已正确设置WAN口IP地址、子网掩码和网关。

2、LAN口设置：设置LAN口IP地址和子网掩码。

确保LAN口和WAN口在同一网段内。

3、Wi-Fi设置：根据您的需求，设置Wi-Fi名称（SSID）和密码。

建议使用强密码来确保网络安全。

4、端口映射：根据您的需求，设置端口映射，将内网IP地址的端口映射到公网IP地址。

二、安全设置1、密码设置：为路由器设置管理员密码，确保密码强度足够，避免使用简单密码。

2、防火墙设置：开启防火墙，防止来自公网的未经授权的访问。

根据需要设置防火墙规则，允许必要的网络流量通过。

3、网络安全控制：根据您的需求，设置网络安全控制，如IP与MAC 地址绑定、访问控制列表（ACL）等。

三、其他功能配置1、DHCP服务：根据您的网络拓扑和设备数量，设置DHCP服务，为网络中的设备自动分配IP地址。

2、动态IP分配：配置动态IP（DHCP）分配，使客户端设备能够自动获取IP地址和DNS服务器地址。

3、无线AP设置：如果您需要扩展无线网络覆盖范围，可以配置无线AP模式，将多个AP设备连接在一起形成一个无线网络。

4、模块配置：根据您的需求，添加所需的模块，如防火墙模块、VPN 模块等。

以上是华为路由器基础配置的简要介绍。

正确配置华为路由器将有助于提高网络性能和安全性。

如果大家有任何疑问，建议参考华为路由器用户手册或咨询专业技术人员。

思科路由器查看配置命令在计算机网络管理中，路由器是网络拓扑结构中不可或缺的一部分。

特别是在复杂的网络环境中，思科路由器扮演着至关重要的角色。

路由控制1 路由控制需求控制⽹络流量可达性调整⽹络流量路径2 控制⽹络流量可达性的两种⽅式2.1 路由策略：当路由器在发布、接收和引⼊路由信息时对路由信息进⾏过滤或改变路由信息的属性，以满⾜实际组⽹需求。

2.2 策略路由：通过预先制定的策略⽽进⾏流量转发的机制。

2.3 路由策略和策略路由对⽐：策略路由的查找优先级⾼于路由策略，且策略路由不改变路由表的任何内容。

3 路由策略（两种⼯具：Filter-Policy和Route-Policy）3.1 ACL（Access Control List）基本ACL：编号范围2000~2999，主要基于源地址、分⽚标记和时间段信息对数据包进⾏分类定义。

⾼级ACL：编号范围3000~3999，可以基于源地址、⽬的地址、源端⼝号、⽬的端⼝号、协议类型、优先级和时间段等信息对数据包进⾏更为细致的分类定义。

⼆层ACL：编号范围4000~4999，主要基于源mac地址、⽬的mac地址和报⽂类型等信息对数据包进⾏分类定义。

⽤户⾃定义ACL：编号5000~5999，主要根据⽤户⾃定义的规则对数据报⽂做出相应的处理。

3.2 IP-Prefix List能够同时匹配IP地址前缀及掩码⻓度。

仅⽤于路由前缀的匹配，不能⽤于IP报⽂的过滤。

IP-Prefix List中的每⼀条IP-Prefix都有⼀个序列号index，默认步⻓为10，匹配时根据index从⼩到⼤进⾏匹配。

当所有前缀过滤列表均未匹配时，缺省情况下，存在最后⼀条默认匹配模式为deny。

当引⽤的前缀过滤列表不存在时，则默认匹配模式为permit。

3.3 Filter-PolicyFilter-Policy能够对接收或发布的路由进⾏过滤，可应⽤于RIP、OSPF、BGP等协议。

⾸先使⽤ACL或IP-Prefix List⼯具来匹配⽬标流量再在协议视图下利⽤Filter-Policy向⽬标流量发布策略Filter-Policy作⽤的时间点为路由协议完成SPF计算向路由表中添加路由的过程中，因⽽LSDB中可能还有⽬标路由，但路由表中过滤掉了。

华为路由器基本配置命令华为路由器基本配置命令I. 登录华为路由器1. 打开浏览器，输入华为路由器的管理地址：，并按下Enter 键。

2. 在登录页面中，输入用户名和密码，登录按钮。

II. 网络设置1. 在菜单栏中选择“网络设置”选项。

2. 在网络设置页面中，配置路由器的IP地址、子网掩码、网关、DHCP等信息。

III. WLAN设置1. 在菜单栏中选择“WLAN设置”选项。

2. 在WLAN设置页面中，配置无线网络的SSID、加密方式、密码等参数。

IV. DHCP设置1. 在菜单栏中选择“DHCP设置”选项。

2. 在DHCP设置页面中，配置DHCP服务器的起始IP地址、终止IP地址、租期等参数。

V. 防火墙设置1. 在菜单栏中选择“防火墙设置”选项。

2. 在防火墙设置页面中，配置入站规则、出站规则、端口转发等防火墙规则。

VI. 路由设置1. 在菜单栏中选择“路由设置”选项。

2. 在路由设置页面中，配置静态路由、动态路由等路由表信息。

VII. 安全设置1. 在菜单栏中选择“安全设置”选项。

2. 在安全设置页面中，配置访问控制、端口映射、VPN等安全策略。

附件：本文档无附件。

法律名词及注释：1. IP地址：Internet Protocol Address，互联网协议地址的简称，是用于识别和定位计算机设备的数字标识。

2. 子网掩码：Subnet Mask，用于划分IP地址中网络地址和主机地址的一个掩码。

3. 网关：Gateway，是一个网络通信设备，用于连接不同网络之间的数据通信。

4. DHCP：Dynamic Host Configuration Protocol，动态主机配置协议，用于自动分配IP地址和其他网络配置参数。

5. WLAN：Wireless Local Area Network，无线局域网，用于在局域网范围内实现无线数据通信。

6. SSID：Service Set Identifier，服务集标识，是无线网络的名称。

(一)本地span1、span和vspan概念：(1)span:span是交换机端口分析器。

即把某个VLAN或一组端口的网络流量复制镜像到某个端口中。

这个端口再连接到网络分析服务器或运行网络分析的设备，以对网络进行监控。

(2)本地span:源端口或源VLAN与复制镜像流量的目的端口在同一交换机上叫本地span。

可将单个或多个VLAN配为span源。

源vlan 中包括的所有端口都是源端口。

(3)支持的流量类型：流入的流量；流出的流量；双向网络流量。

默认监控双向网络流量，包括多播BPDU。

(4)span可将交换端口和路由端口配为源端口。

干道端口和非干道端口也可成为混合源端口。

目标端口可配置干道封装(dot1q或isl)以设定转发的数据包，即监控哪些数据。

如果目标端口不配置干道封装，则在把监控的数据复制镜像到目标端口时就清除掉ISL或dot1q。

目标端口必须专用于SPAN，不能学习任何MAC地址。

2、本地SPAN使用时要遵守的准则：(1)源端口不能同时配为目标端口(2)源端口可以属不同VLAN(3)端口通道接口(etherchannel）可配为源端口，但不能配为目标端口。

(4)一个目标端口只能做一个SPAN会话的目标端口(5)IOS交换机中二层、三层接口都可做源和目标端口(6)目标端口不参与生成树实例(7)VSPAN只能监控VLAN中进出第二层端口的流量。

3、配置命令：(1) monitor session session-number source {interface interface-id|vlan vlan-id}[,][+]{rx|tx|both}// session-number:会话号interface-id:源端口vlan-id:源VLAN rx,tx,both:入流量，出流量，双向流量(2) monitor seesion session-number destination interface interface-id [encapsulation {dot1q|isl}] [ingress vlan vlan-id]//session-number:会话号interface-id:目标端口encapsulation:配置目标端口可识别的干道协议，当源端口是干道端口时可用。