路由协议-ip策略路由典型配置
H3C 路由器策略路由典型配置+中文注解
[Router-acl-1]rule normal permit source 40.1.1.0 0.0.0.127 // 允许40.1.1.0/25源地址网段
[Router-acl-1]rule normal deny source any // 禁止其他任何网段
[Router-Serial1]ip address 20.1.1.2 255.255.255.252
[Router]route-policy aaa permit 10 // 定义route-policy节点10
[Router-route-policy]if-match ip address 1 // 规则,匹配1的报文
[Router-route-policy]apply interface Serial1 // 发往serial1
[Router-route-policy]apply interface Serial0 // 发往serial0
[Router]route-policy aaa permit 20 // 定义route-policy节点20
[Router-route-policy]if-match ip address 2 // 匹配2的报文
1
acl num 2001
rule 1 permit soure 40.1.10 0.0.0.127
route-policy aaa permit node 10
『需求』
在Router上做策略路由,从40.1.1.0/25来的报文送往S0口,从40.1.1.128/25来的报文送往S1。
[Router]interface Ethernet0
路由策略及路由协议组网应用
过滤的工具
访问控制列表( 访问控制列表(续)
有两种匹配顺序:
配置顺序
配置顺序,是指按照用户配置ACL的规则的 先后进行匹配
自动排序
自动排序使用“深度优先”的原则 “深度优先”规则是把指定范围最小的语句 排在最前面
宇信机密, 宇信机密,未经许可不得扩散
过滤的工具
ACL举例 ACL举例
过滤的工具
前缀列表举例
只允许10.0.0.0/8网段内,掩码长度在17 到18之间的路由通过 通过前缀列表: ip ip-prefix p1 permit 10.0.0.0 8 greaterequal 17 less-equal 18
宇信机密, 宇信机密,未经许可不得扩散
句号
星号
. *
+ ?
加号 问号
加字符 美元符 下划线 方括号
^ $
_ [范围] -
连字符 宇信机密, 宇信机密,未经许可不得扩散
过滤的工具
团体列表
团体列表用来根据团体属性表示和过滤 BGP路由 团体列表有基本的和高级的两种
基本团体列表用来匹配实际的团体属性值 和常量
路由策略 路由协议组网应用
数据通信技术支持部
宇信机密, 宇信机密,未经许可不得扩散
第1章 路由策略原理 第2章 策略路由原理
宇信机密, 宇信机密,未经许可不得扩散
概述
课程内容
路由策略基本知识 OSPF路由策略 一般使用方法及配置 ISIS路由策略 一般使用方法及配置 BGP路由策略 一般使用方法及配置 各协议大型组网应用及案例
过滤的工具
前缀列表
前缀列表用来过滤IP前缀,能同时匹配前缀号和前缀长度 前缀列表的性能比访问控制列表高 前缀列表不能用于数据包的过滤 ip ip-prefix ip-prefix-name [ index index-number ] { permit | deny } ip-address mask-length [ greater-equal greater-equalvalue ] [ less-equal less-equal-value ] ip-address:指定IP地址、mask-length:掩码长度。 greater-equal greater-equal-value | less-equal less-equalvalue:如果IP地址和掩码长度都已匹配,则使用该参数来指定地址前缀 范围。greater-equal的意思是“大于等于”;less-equal的意思是 “小于等于”。长度范围可以表达为mask-length <= greater-equalvalue <= less-equal-value <= 32。如果只指定了greater-equal, 宇信机密, 宇信机密,未经许可不得扩散 前缀范围为[greater-equal-value,32];如果只指定了less-equal, 前缀范围为[mask-length,less-equal-value]。
H3C 路由策略与策略路由的详细讲解
list)
团体属性列表(community-list)
Route-policy
10
路由策略
路由策略概述
访问控制列表(ACL) 前缀列表(ip-prefix) 自治系统路径信息访问列表(as-path list) 团体属性列表(community-list)
Route-policy
RIP只接收10.1.0.0/16网段的路由 RIP只发布10.2.0.0/16网段的路由
[Quidway]acl number 2000 [Quidway-acl-basic-2000]rule permit source 10.1.0.0 0.0.255.255 [Quidway-acl-basic-2000]rule deny source any [Quidway]acl number 2001 [Quidway-acl-basic-2001]rule permit source 10.2.0.0 0.0.255.255 [Quidway-acl-basic-2001]rule deny source any [Quidway]rip [Quidway-rip]filter-policy 2000 import [Quidway-rip]filter-policy 2001 export
[Quidway] ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18 [Quidway]bgp 65400 [Quidway-bgp]peer 1.1.1.1 ip-prefix p1 import
注意:对于单一的BGP邻居只能对接收的路由(import)进行过滤,对特定 的BGP邻居组则可以对发布(export)和接收的路由都进行过滤。
路由策略配置
10.6.3 使能公网 IP FRR 功能.................................................................................................................10-17 10.6.4 检查配置结果...............................................................................................................................10-17 10.7 保护........................................................................................................................................................10-18 10.8 配置举例................................................................................................................................................10-18 10.8.1 对接收与公布的路由进行过滤...................................................................................................10-18 10.8.2 在路由引入时应用路由策略.......................................................................................................10-24 10.8.3 配置公网 IP FRR 功能.................................................................................................................10-28
华为AR系列路由器 01-12 策略路由配置
12策略路由配置关于本章通过配置策略路由,可以用于提高网络的安全性能和负载分担。
12.1 策略路由简介介绍策略路由的定义和作用。
12.2 策略路由原理描述介绍策略路由的实现原理。
12.3 策略路由应用介绍策略路由的应用场景。
12.4 策略路由配置任务概览设备不仅支持基于到达报文的源地址、报文长度等信息进行路由选择的本地策略路由和接口策略路由,还支持基于链路质量信息为业务数据流选择优选链路的智能策略路由SPR(Smart Policy Routing)。
12.5 策略路由配置注意事项介绍策略路由在使用和配置过程中的注意事项。
12.6 配置本地策略路由通过配置本地策略路由,可以控制本机下发的报文通过指定的出口进行发送。
本地策略路由只对主机面下发的数据生效。
12.7 配置接口策略路由配置接口策略路由可以将到达接口的三层报文重定向到指定的下一跳地址。
12.8 配置智能策略路由根据业务对链路质量的需求情况配置智能策略路由SPR(Smart Policy Routing)可以实现随链路质量变化情况动态切换业务数据的传输链路。
12.9 策略路由配置举例配置示例中包括组网需求和配置思路等。
12.1 策略路由简介介绍策略路由的定义和作用。
定义策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制,分为本地策略路由、接口策略路由和智能策略路由SPR(Smart PolicyRouting)。
说明●策略路由与路由策略(Routing Policy)存在以下不同:●策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。
●路由策略的操作对象是路由信息。
路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
路由策略的详细内容请参见10 路由策略配置。
目的传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。
Hillstone策略路由配置
目录
• 策略路由基本概念与原理 • Hillstone设备策略路由功能介绍 • 策略路由配置步骤详解
目录
• 典型应用场景分析:企业内外网访问控制 • 故障排查与性能优化方法论述 • 总结回顾与未来展望
01
策略路由基本概念与原理
策略路由定义及作用
定义
策略路由(Policy-Based Routing, PBR)是一种依据用户制定的策略进 行路由选择的技术,它可以根据数据 包的源/目的IP地址、端口号、协议类 型等特征,灵活选择出口路径。
RIP
支持RIP协议,实现基于距离矢 量的路由算法。
OSPF
支持OSPF协议,实现基于链路 状态的路由算法。
EIGRP
支持EIGRP协议,实现高级距 离矢量和链路状态混合路由算
法。
路由表项配置方法
命令行配置
01
通过设备的命令行接口进行路由表项的配置,提供灵活的配置
方式。
Web界面配置
02
通过设备的Web管理界面进行路由表项的配置,提供直观的配
配置日志记录参数,如记 录级别、存储位置等;
结合企业的审计要求,对 关键的网络访问行为进行 审计和追溯。
05
故障排查与性能优化方法 论述
常见故障现象及原因分析
路由表项不正确
可能是由于配置错误或网络拓扑变化导致,需要检查策略路由配置 和网络拓扑。
流量丢失或延迟
可能是由于网络设备故障、链路拥塞或路由环路等原因导致,需要 逐一排查。
AI驱动的策略路由优化
人工智能(AI)技术将在策略路由中发挥越来越重要的作 用,通过机器学习和数据分析来优化策略路由规则和算法 。
多云环境下的策略路由应用
华为6506路由策略配置
路由协议配置目录目录第6章IP路由策略配置........................................................................................................... 6-16.1 IP路由策略简介................................................................................................................. 6-16.2 IP路由策略配置................................................................................................................. 6-36.2.1 IP路由策略配置任务列表........................................................................................ 6-36.2.2 定义Route-map ...................................................................................................... 6-36.2.3 定义Route-map的match子句 .............................................................................. 6-46.2.4 定义Route-map的set子句 ................................................................................... 6-56.2.5 引入其它路由协议发现的路由信息 ......................................................................... 6-66.2.6 定义地址前缀列表................................................................................................... 6-76.2.7 配置路由过滤.......................................................................................................... 6-76.3 IP路由策略的监控与维护................................................................................................... 6-96.4 IP路由策略典型配置举例................................................................................................. 6-106.4.1 配置过滤接收的路由信息...................................................................................... 6-10第6章 IP路由策略配置6.1 IP路由策略简介路由器在发布与接收路由信息时,可能需要实施一些策略,对路由信息进行过滤,比如只希望接收或发布一部分满足给定条件的路由信息;一种路由协议(如RIP)可能需要引入(redistribute)其它的路由协议(如OSPF)发现的路由信息,从而丰富自己的路由知识;在引入其它路由协议的路由信息时,可能需要只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置,以使其满足本协议的要求。
策略路由(PBR)配置
策略路由(PBR)配置原理:PBR依据策略进行路由,而不是路由协议,目前支持的策略有:IP报文大小,源IP 地址,本例使用源IP地址过程:路由器R1只配置策略不配置路由,R2配置路由目的:PC1可以PING通PC2,PC2也可以PING通PC1,但PC2却PING不通R1的S1/1端口和F0/0端口,路由器R1没有192.168.2.0路由配置好各接口IP定义ACLR1(config)#ip access-list standard net1设置需要进行策略路由的源地址R1(config-std-nacl)#permit 192.168.0.10 255.255.255.255定义route-map,名为pbrR1(config)#route-map pbr permit 10设定源地址R1(config-route-map)#match ip address net1设置下一跳地址R1(config-route-map)#set ip next-hop 192.168.1.2进入源地址的路由器接口R1(config)#interface fastEthernet 0/0绑定route-mapR1(config-if)#ip policy route-map pbr路由器R2的配置添加静态路由R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1测试:查看路由R1#show ip routeC 192.168.0.0/24 is directly connected, FastEthernet0/0 C 192.168.1.0/24 is directly connected, Serial1/1没有到192.168.2.0的路由R2#show ip routeS 192.168.0.0/24 [1/0] via 192.168.1.1C 192.168.1.0/24 is directly connected, Serial1/0C 192.168.2.0/24 is directly connected, FastEthernet0/0检查所应用的策略路由R1#show ip policyInterface Route mapFa0/0 pbrR1#show route-maproute-map pbr, permit, sequence 10Match clauses:ip address (access-lists): net1Set clauses:ip next-hop 192.168.1.2Policy routing matches: 35 packets, 4180 bytes。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.5IP策略路由典型配置5.5.1策略路由基本配置『需求』在Router上做策略路由,从40.1.1.0/25来的报文送往S0口,从40.1.1.128/25来的报文送往S1。
【Router】当前路由器提示视图依次输入的配置命令,重要的命令红色突出显示简单说明! 适用版本:vrp1.74/1.44 [Router] acl 1 定义acl1[Router-acl-1] rule normal permit source 40.1.1.0 0.0.0.127 允许40.1.1.0/25源地址网段[Router-acl-1] rule normal deny source any 禁止其他任何网段![Router] acl 2 定义acl2[Router-acl-2] rule normal permit source 40.1.1.1280.0.0.127允许40.1.1.128/25源地址网段[Router-acl-2] rule normal deny source any 禁止其他任何网段![Router] interface Ethernet0 进入以太0口[Router-ethernet0] ip address 40.1.1.1 255.255.255.0 配置ip地址[Router-ethernet0] ip policy route-policy aaa 应用aaa策略![Router] interface Serial0 进入串口0口[Router-Serial0] link-protocol ppp 封装ppp链路层协议[Router-Serial0] ip address 30.1.1.2 255.255.255.252 配置ip地址![Router] interface Serial1 进入串口0口[Router-Serial1] link-protocol ppp 封装ppp链路层协议[Router-Serial1] ip address 20.1.1.2 255.255.255.252 配置ip地址!quit[Router] route-policy aaa permit 10 定义route-policy节点10[Router-route-policif-match ip address 1 规则,匹配1的报文y][Router-route-policapply interface Serial0 发往serial0y]quit[Router] route-policy aaa permit 20 定义route-policy节点20[Router-route-policif-match ip address 2 匹配2的报文y][Router-route-policapply interface Serial1 发往serial1y]!路由选择协议是用来确定到达路径的,它包括RIP,IGRP,EIGRP,OSPF。
起到一个地图导航,负责找路的作用。
它工作在传输层或应用层。
路由选择协议主要是运行在路由器上的协议,主要用来进行路径选择。
路由协议作为TCP/IP协议族中重要成员之一,其选路过程实现的好坏会影响整个Internet网络的效率。
按应用范围的不同,路由协议可分为两类:在一个AS(Autonomous System,自治系统,指一个互连网络,就是把整个Internet划分为许多较小的网络单位,这些小的网络有权自主地决定在本系统中应采用何种路由选择协议)内的路由协议称为内部网关协议(interior gateway protocol),AS之间的路由协议称为外部网关协议(exte rior gateway protocol)。
这里网关是路由器的旧称。
现在正在使用的内部网关路由协议有以下几种:RIP-1,RIP-2,IGRP,EIGRP,IS-IS和OSPF。
其中前4种路由协议采用的是距离向量算法,IS-IS和OSPF采用的是链路状态算法。
对于小型网络,采用基于距离向量算法的路由协议易于配置和管理,且应用较为广泛,但在面对大型网络时,不但其固有的环路问题变得更难解决,所占用的带宽也迅速增长,以至于网络无法承受。
因此对于大型网络,采用链路状态算法的IS-IS和OSPF较为有效,并且得到了广泛的应用。
IS-IS与OSPF在质量和性能上的差别并不大,但OSPF更适用于IP,较IS-IS更具有活力。
IETF始终在致力于OSPF的改进工作,其修改节奏要比IS-IS快得多。
这使得OSPF正在成为应用广泛的一种路由协议。
现在,不论是传统的路由器设计,还是即将成为标准的MPLS(多协议标记交换),均将OSPF视为必不可少的路由协议。
外部网关协议最初采用的是EGP。
EGP是为一个简单的树形拓扑结构设计的,随着越来越多的用户和网络加入Internet,给EGP带来了很多的局限性。
为了摆脱EGP的局限性,IETF边界网关协议工作组制定了标准的边界网关协议--BGP。
OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。
与RIP相对,OSPF是链路状态路由协议,而RIP是距离矢量路由协议。
链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。
在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。
在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。
运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
OSPF协议简介OSPF是Open Shortest Path First(即“开放最短路由优先协议”)的缩写。
它是IETF组织开发的一个基于链路状态的自治系统内部路由协议。
在IP网络上,它通过收集和传递自治系统的链路状态来动态地发现并传播路由。
每一台运行OSPF协议的路由器总是将本地网络的连接状态,(如可用接口信息、可达邻居信息等)用LSA(链路状态广播)描述,并广播到整个自治系统中去。
这样,每台路由器都收到了自治系统中所有路由器生成的LSA,这些LSA的集合组成了LSDB(链路状态数据库)。
由于每一条LSA是对一台路由器周边网络拓扑的描述,则整个LSDB就是对该自治系统网络拓扑的真实反映。
根据LSDB,各路由器运行SPF(最短路径优先)算法。
构建一棵以自己为根的最短路径树,这棵树给出了到自治系统中各节点的路由。
在图论中,“树”是一种无环路的连接图。
所以OSPF计算出的路由也是一种无环路的路由。
OSPF协议为了减少自身的开销,提出了以下概念:(1). DR:在各类可以多址访问的网络中,如果存在两台或两台以上的路由器,该网络上要选举出一个“指定路由器”(DR)。
“指定路由器”负责与本网段内所有路由器进行LSDB的同步。
这样,两台非DR路由器之间就不再进行LSDB的同步。
大大节省了同一网段内的带宽开销。
(2). AREA:OSPF可以根据自治系统的拓扑结构划分成不同的区域(AREA),这样区域边界路由器(ABR)向其它区域发送路由信息时,以网段为单位生成摘要LSA。
这样可以减少自治系统中的LSA的数量,以及路由计算的复杂度。
OSPF使用4类不同的路由,按来说分别是:区域内路由;区域间路由;第一类外部路由;第二类外部路由。
区域内和区域间路由描述的是自治系统内部的网络结构,而外部路由则描述了应该如何选择到自治系统以外目的地的路由。
一般来说,第一类外部路由对应于OSPF从其它内部路由协议所引入的信息,这些路由的花费和OSPF自身路由的花费具有可比性;第二类外部路由对应于OSPF从外部路由协议所引入的信息,它们的花费远大于OSPF自身的路由花费,因而在计算时,将只考虑外部的花费。
RIP是路由信息协议(Routing Information Protocol)的缩写,采用距离向量算法,是当今应用最为广泛的内部网关协议。
在默认情况下,RIP使用一种非常简单的度量制度:距离就是通往目的站点所需经过的链路数,取值为1~15,数值16表示无穷大。
RIP进程使用UDP的520端口来发送和接收RIP分组。
RIP分组每隔30s以广播的形式发送一次,为了防止出现“广播风暴”,其后续的的分组将做随机延时后发送。
在RIP中,如果一个路由在180s内未被刷,则相应的距离就被设定成无穷大,并从路由表中删除该表项。
RIP分组分为两种:请求分组和响应分组。
RIP(Routing Information Protocol)是基于D-V算法的内部动态路由协议。
它是第一个为所有主要厂商支持的标准IP选路协议,目前已成为路由器、主机路由信息传递的标准之一,适应于大多数的校园网和使用速率变化不大的连续的地区性网络。
对于更复杂的环境,一般不应使用RIP。
RIP OSPF比较:RIP也有它自己的优点。
对于小型网络,RIP就所占带宽而言开销小,易于配置、管理和实现,并且RIP还在大量使用中。
RIP-2更好地利用原来RIP-1分组种必须为零的域来增加功能,不仅支持可变长子网掩码,也支持路由对象标志。
此外,RIP-2还支持明文认证和MD5密文认证,确保路由信息的正确。
RIP通过用户数据报协议(UDP)报文交换路由信息,使用跳数来衡量到达目的地的距离。
由于在RIP中大于15的跳数被定义为无穷大,所以RIP一般用于采用同类技术的中等规模网络,如校园网及一个地区范围内的网络,RIP并非为复杂、大型的网络而设计。
但由于RIP使用简单,配置灵活,使得他在今天的网络设备和互联网中被广泛使用。
1 rip协议是距离矢量路由选择协议,它选择路由的度量标准(metric)是跳数,最大跳数是15跳,如果大于15跳,它就会丢弃数据包。
ospf协议是链路状态路由选择协议,它选择路由的度量标准是带宽,延迟。
2 RIP的局限性在大型网络中使用所产生的问题:RIP的15跳限制,超过15跳的路由被认为不可达RIP不能支持可变长子网掩码(VLSM),导致IP地址分配的低效率周期性广播整个路由表,在低速链路及广域网云中应用将产生很大问题收敛速度慢于OSPF,在大型网络中收敛时间需要几分钟RIP没有网络延迟和链路开销的概念,路由选路基于跳数。