路由策略和路由的引入
策略路由,路由策略
策略路由,路由策略前⾔:在企业⽹络中,常⾯临⾮法流量访问及流量路径不优的问题,为了保护数据访问的安全性、提⾼链路带宽的利⽤率,需要对⽹络中的流量⾏为控制,如控制⽹络流量可达性,调整⽹络流量路径。
如何控制流量可达性? ⽅案⼀:对接收和发布的路由进⾏过滤来控制可达性,路由策略 ⽅案⼆:使⽤Traffic-filter⼯具对数据进⾏过滤,流量过滤 什么是路由策略? 通过⼀系列的⼯具或者⽅式对路由进⾏各种控制的策略,这个策略可以影响路由的产⽣,发布和选择等,进⽽影响报⽂的转发路径 在ip⽹络中,路由策略的⽤途主要有两个⽅⾯:对路由信息过滤和修改路由属性。
如图,如果使⽤流量过滤,使市场部的流量不能访问财务部。
会有极⼤的局限性,若是在RTA上做traffic-filter,流量会经过RTC RTB再在RTA上被过滤极⼤的浪费链路带宽。
若在RTC⼊⼝做traffic-filter,可能RTC不是由你进⾏管理的。
⽽且流量过滤针对每⼀个报⽂进⾏过滤,极⼤的浪费设备性能,所以建议使⽤路由策略来进⾏对流量的可达性进⾏控制。
路由策略使⽤的⼯具: 条件⼯具:把路由匹配出来,acl ip-prefix 策略⼯具:匹配抓取的路由,执⾏各种各样的策略。
router-policy 调⽤⼯具:把策略应⽤到某个具体的协议中。
filter-policy import-route配置思路:配置filter-policy不让192.168.1.0路由发出给到AR1[AR2-rip-1]filter-policy 2000 export -----对所有接⼝发出的路由做过滤[AR2-rip-1]ACL 2000[AR2-acl-basic-2000]rule PER S 192.168.2.0 0 filter-policy 2000 export static import-route static 对引⼊的静态路由实现过滤,本地不存在LSDB 当过滤本地接⼝的路由时 filter-policy 2000 export 针对链路状态路由协议⽆效,链路状态路由协议发送的是LSA filter-policy 2000 import 针对链路状态协议有效,不过是在加表实现过滤,本地LSDB中依旧有此链路状态ACL的局限性?ACL只能抓取路由的前缀,不关⼼掩码信息,如果两条路由拥有相同的前缀,ACL⽆法分别抓取前缀列表的优势?相⽐ACL来说既能匹配前缀也能抓取掩码,前缀列表不能⽤于流量过滤。
路由策略与策略路由要点
set metric [+|-]<metric-value>
set metric-type { internal | external | type-1 | type-2 } set origin { igp | egp | incomplete } set tag <tag-value>
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
内部公开▲ 内部公开▲
学习内容
• 第一章 路由策略
第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
路由策略的定义方法(1)
内部公开▲
OSPF路由过滤器(filter)
仅针对OSPF协议,用于过滤Type-5、Type-7 LSA
OSPF区域过滤列表(area filter-list)
仅针对OSPF协议区域间路由过滤,过滤Type-3 LSA
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map
内部公开▲
AS100
B路由器需要对A路由器发布的路由进行选 择,只接收20.1.1.1/32网段的路由,屏蔽 30.1.1.1/32网段的路由
20.1100域内产生的路 由,其他路由条目出于安全考虑,需要对 B屏蔽
10.1.1.2/30
20.1.1.2/30
用路由策略解决这些问题
问题一解决方案:
内部公开▲
AS100
Lo0:30.1.1.1/32 Lo1:20.1.1.1/32 10.1.1.1/30 10.1.1.2/30
6.36.3路由引入
import-route bgp [ permit-ibgp ] [ cost { cost | transparent } | route-policy route-policyname ],引入BGP路由信息。
2、 OSPF引入外部路由
当OSPF网络中的设备需要访问运行其他协议的网络中的设备时,需要将其他协 议的路由引入到OSPF网络中。OSPF是一个无环路的动态路由协议,但这是针 对域内路由和域间路由而言的,其对引入的外部路由环路没有很好的防范机制 ,所以在配置OSPF引入外部路由时一定要慎重,防止手工配置引起的环路。
配置OSPF路由引入,需要在运行OSPF协议的自治系统边界路由器ASBR上进行 以下配置配置在OSPF进程视图下进行。
3、ISIS引入外部路由
配置ISIS引入外部路由后,ISIS设备把引入的外部路由全部发布到ISIS路由域。
import-route { { rip | isis | ospf } [ process-id ] | static | direct | unr | bgp [ permit-ibgp ] } [ cost-type { external| internal } | cost cost | tag tag | route-policy route-policy-name | [ level-1 | level-2 | level-1-2 ] ],配置ISIS引入外部路由。
主要内容
1、 RIP引入外部路由 2 、OSPF引入外部路由 3、ISIS引入外部路由 4、BGP引入其他协议路由
路由引入
在互联网中,自治系统AS(Autonomous System)是指在一个(有时是多个) 实体管辖下的所有IP网络和路由器的网络,它们对互联网执行共同的路由策略 。每个自治系统AS内部可以采用统一的内部网关路由协议(IGP),也可以支 持多个不同内部网关路由协议。由于采用的算法不同,不同的路由协议不能发 现不同路由协议的路由。当网络规模比较大,使用多种路由协议时,不同的路 由协议间通常需要发布其他路由协议发现的路由。
router policy的使用场景
router policy的使用场景
路由策略(Routing Policy)是通过使用不同的匹配条件和匹配模式来进行路由信息的接收或发布过滤,或改变路由属性,通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
其主要应用在路由信息的发布、接收、引入和路由属性修改等几个方面,具体如下:
- 控制路由的发布:可通过路由策略对所要发布的路由信息进行过滤,只允许发布满足条件的路由信息,可使邻居设备所连网段用户访问不到特定网络。
- 控制路由的接收:可通过路由策略对所要接收的路由信息进行过滤,只允许满足条件的路由信息。
这样可以控制路由表中路由表项的数量,提高网络的路由效率,也可以控制本地设备所连网段用户如能访问特定的外部网络。
- 控制路由的引入:可通过路由策略只引入满足条件的路由信息,并控制所引入的路由信息的某些属性,使其满足本路由协议的路由属性要求。
- 设置路由属性:修改通过路由策略过滤的路由属性,使符合条件的路由具有特定的路由属性,满足某些特定的路由过滤,或者路由属性配置的需要。
要实现路由策略的应用,首先要定义将要实施路由测了的路由信息的特征,即定义一组匹配规则,这就是路由策略中必须使用的过滤
器(Filter)。
可以用路由信息中的不同属性作为过滤器的匹配依据,如路由的目的地址、路由标记、路由开销、各种BGP路由属性等。
然后将匹配规则应用于路由的发布、接收和引入等过程的策略中。
路由引入与路由策略
路由引入与路由策略[H3C]sysname RTA[RTA]int g0/0[RTA-GigabitEthernet0/0]ip add 10.0.1.1 24 [RTA-GigabitEthernet0/0]int g0/1[RTA-GigabitEthernet0/1]ip add 192.168.1.6 30 [RTA-GigabitEthernet0/1]int g0/2[RTA-GigabitEthernet0/2]ip add 192.168.1.1 30 [RTA-GigabitEthernet0/2]qu[RTA]rip 2[RTA-rip-2]version 2[RTA-rip-2]net 19.168.1.0[RTA-rip-2]net 192.168.1.4[RTA-rip-2]net 10.0.1.0[RTA-rip-2]undo summary[RTA-rip-2]qu[RTA]ip route-static 10.1.0.0 24 10.0.1.6 [RTA]ip route-static 10.1.1.0 24 10.0.1.6 [RTA]rip 2[RTA-rip-2]import-route st[RTA-rip-2]import-route static cost 2[RTA-rip-2]quit<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname RTB[RTB]int g0/2[RTB-GigabitEthernet0/2]ip add 192.168.1.2 30 [RTB-GigabitEthernet0/2]int g0/1[RTB-GigabitEthernet0/1]ip add 192.168.2.1 30 [RTB-GigabitEthernet0/1]qu[RTB]rip 2[RTB-rip-2]version 2[RTB-rip-2]net 192.168.1.0[RTB-rip-2]net 192.168.2.0[RTB-rip-2]undo net 192.168.2.0[RTB-rip-2]net 192.168.2.1[RTB-rip-2]undo summary[RTB-rip-2]quit[RTB]<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname RTC[RTC]int g0/1[RTC-GigabitEthernet0/1]ip add 192.168.1.5 30 [RTC-GigabitEthernet0/1]int g0/0[RTC-GigabitEthernet0/0]ip add 192.168.2.2 30 [RTC-GigabitEthernet0/0]quit[RTC]rip 2[RTC-rip-2]version 2[RTC-rip-2]net 192.168.1.5[RTC-rip-2]net 192.168.2.4[RTC-rip-2]undo summary<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname RTD[RTD]int g0/1[RTD-GigabitEthernet0/1]ip add 192.168.2.2 30 [RTD-GigabitEthernet0/1]int g0/2[RTD-GigabitEthernet0/2]ip add 192.168.2.1 30 [RTD-GigabitEthernet0/2]int g0/0[RTD-GigabitEthernet0/0]ip add 10.0.2.1 24 RTB和RTC的路由表查看:[RTA]ip prefix-list abc index 10 per 10.1.0.0 24 [RTA]route-policy abc per node 10[RTA-route-policy-abc-10]if-match ip add prefix-list abc [RTA-route-policy-abc-10]rip 2[RTA-rip-2]import-route static route-policy abc[RTA-rip-2]qu[RTA][RTB]ospf[RTB-ospf-1]area 0[RTB-ospf-1-area-0.0.0.0]net 192.168.2.1 0.0.0.3[RTB-ospf-1-area-0.0.0.0]rip 2[RTB-rip-2]import-route ospf 1[RTB-rip-2][RTC]ospf[RTC-ospf-1]area 0[RTC-ospf-1-area-0.0.0.0]net 192.168.2.2 0.0.0.3 [RTC-ospf-1-area-0.0.0.0]qu[RTC-ospf-1]im[RTC-ospf-1]import-route rip 2[RTC-ospf-1]qu[RTC][RTD]ospf[RTD-ospf-1]area 0[RTD-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.3 [RTD-ospf-1-area-0.0.0.0]net 192.168.2.4 0.0.0.3 [RTD-ospf-1-area-0.0.0.0]net 10.0.2.0 0.0.0.255 [RTD-ospf-1-area-0.0.0.0]qu[RTD-ospf-1]qu[RTD]RTA和RTD的路由表查看:。
06 华为路由交换精英培训之路由引入和控制
每个ACL可以包含多个规则 规则通过规则ID来标识 规则ID之间会留下一定的间隔
ACL规则匹配
命中规则 未命中规则
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
7
原理
命令
排障
案例
建议
路由选择工具—ACL分类
ACL类型根据不同的划分规则可以有不同的分类
按照创建ACL 时的命名方式分
• • • • • • 数字型ACL 命令型ACL 基于接口的ACL(编号范围1000-1999) 基本ACL(编号范围2000-2999) 高级ACL(编号范围3000-3999) 二层ACL(编号范围4000-4999)
按照ACL的功能分类
HUAWEI TECHNOLOGIES CO., LTD.
包括本地策略路由、接口策略路由和智能策略路由
类型 本地策略路由 接口策略路由 智能策略路由 匹配原则 对本地发送的报文有效。比如,ICMP、BGP 对转发报文生效 基于链路质量信息为业务数据流选择最佳链路, 需要特定的license支持
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
1.带VPN实例的规则优先 2.源IP地址范围小的优先 3.rule ID小的优先
1.带VPN实例的规则优先 2.指定了IP 协议承载的协议类型的规则优先 3.源IP地址范围小的优先 4.目的IP地址范围小的优先 5.四层端口号范围小的规则优先 6. rule-id 小的优
高级ACL
HUAWEI TECHNOLOGIES CO., LTD.
排障
案例
路由策略和策略路由
路由策略和策略路由策略路由简介定义策略路由PBR(Policy-Based Routing)是⼀种依据⽤户制定的策略进⾏路由选择的机制。
策略路由与路由策略(Routing Policy)存在以下不同:策略路由的操作对象是数据包,在路由表已经产⽣的情况下,不按照路由表进⾏转发,⽽是根据需要,依照某种策略改变数据包转发路径。
路由策略的操作对象是路由信息。
路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变⽹络流量所经过的路径。
⽬的传统的路由转发原理是⾸先根据报⽂的⽬的地址查找路由表,然后进⾏报⽂转发。
但是⽬前越来越多的⽤户希望能够在传统路由转发的基础上根据⾃⼰定义的策略进⾏报⽂转发和选路。
受益策略路由具有如下优点:可以根据⽤户实际需求制定策略进⾏路由选择,增强路由选择的灵活性和可控性。
可以使不同的数据流通过不同的链路进⾏发送,提⾼链路的利⽤效率。
在满⾜业务服务质量的前提下,选择费⽤较低的链路传输业务数据,从⽽降低企业数据服务的成本。
路由策略路由策略是为了改变⽹络流量所经过的途径⽽对路由信息采⽤的⽅法。
定义路由策略是通过⼀系列⼯具或⽅法对路由进⾏各种控制的“策略”。
该策略能够影响到路由产⽣、发布、选择等,进⽽影响报⽂的转发路径。
⼯具包括ACL、route-policy、ip-prefix、filter-policy等,⽅法包括对路由进⾏过滤,设置路由的属性等。
⽬的在IP⽹络中,路由策略的⽤途主要包括两个⽅⾯:对路由信息进⾏过滤和修改路由的属性,如表1所⽰。
作⽤执⾏过程结果对路由信息进⾏过滤如果某条路由符合某种条件,那么就接收这条路由。
如果某条路由符合某种条件,那么就发布这条路由。
如果某条路由符合某种条件,那么就引⼊这条路由。
要不要这条路由?修改路由的属性如果某条路由符合某种条件,那么将这条路由的某个属性值修改为⼀个特定值。
将这条路由的某个属性值修改为⼀个特定值。
通过路由策略对路由信息进⾏过滤图1 通过路由策略对路由信息进⾏过滤如图1所⽰,SwitchA属于双上⾏的组⽹结构,SwitchA会从SwitchB和SwitchC那⾥分别接收到路由。
路由策略
若允许其他子公司访问A,但是必须经过公司总部检查: 1:Ip as-path-acl 2 permit _100.+200$ 2:Ip as-path-acl 2 permit _100 200$
3:Ip as-path-acl 2 deny 200$ 4:Ip as-path-acl 2 permit .*
设置引入路由到IS-IS的级别:levelapply isis [ level-1 | level-2 | level-1-2 ] 1、level-2还是level-1-2
设置BGP路由信息的本地优先级 设置路由信息的路由权值 设置路由信息的路由权类型 设置BGP路由信息的路由源 apply local-preference localpref apply cost value apply cost-type [ internal | external ] apply origin { igp | egp as-number | incomplete }
匹配路由信息的路由权值
匹配OSPF路由信息的标记域
龙旭网络
网络创造无限
if-match tag value
Route-policy的apply配置
操作 命令
在BGP路由信息的as-path系列前加 入指定的AS号
在BGP路由信息中设置团体属性 设置路由信息的下一跳地址
设置OSPF路由信息的标记域
龙旭网络
网络创造无限
apply tag value
利用Route-policy实现路由发布和 接收的过滤
BGP中,对BGP邻居(组)发布和接收路由时通过route-policy进行路由过 滤.
配置:[ RA-bgp 100]peer {group-name | peer-address} route-policy <routepolicy-name> {import | export}
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
路由策略和路由的引入
一、路由引入
1、路由引入的原因:
(1)路由信息共享
(2)不同AS运行不同路由协议的路由器之间为了获得对方的路由信息必须在起边界网关作用的路由上引入路由。
(3)路由引入使支持不同路由协议的路由器在网络中协同工作成为可能。
二、路由策略
1、路由策略的作用:
(1)是路由协议过滤路由信息的手段
(2)可以使路由协议向外发布路由信息时只发布部分信息。
(3)可以使路由协议接受路由信息时只接收部分信息
(4)可以使路由协议在进行路由引入时引入部分满足特定的条件的信息
(5)可以设置路由协议引入的路由属性
2、路由策略配置任务列表:
(1)定义地址前缀列表(也可以定义访问列表)
(2)地址前缀列表的监控和维护
(3)定义路由映像(route-map)
(4)定义路由映像的match子句
(5)定义路由映像的set子句
(6)路由映像的监控和维护
(7)引入其他路由协议路由信息
(8)路由接收时的过滤
(9)路由发布时的过滤
路由协议路由策略的配置可以分为:过滤列表的定义,过滤列表的应用两部分;
过滤列表的应用实际上是一个策略规则的定义过程,通过对过滤列表的引用以实现路由过滤的功能。
3、路由策略的过滤列表的制定:
(1)访问列表(access-list)
(2)地址前缀列表(ip prefix-list)
(3)路由映像(route-map)
路由策略的过滤列表共有三种,通常定义一条策略等同于定义一组过滤列表,并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤列表。
--
4、Access-list在路由策略中的应用
访问列表分为标准型和扩展型的访问列表,应用于路由信息的过滤时,一般使用标准型的访问列表,用户在定义访问列表时指定一个IP地址的网段范围用于匹配路由信息的目的网段地址或者下一跳地址。
5、ip perfix-list的配置任务
(1)定义地址前缀列表
(2)删除地址前缀列表
(3)应用地址前缀列表
Ip prefix-list是过滤列表的一种,它的作用类似于access-list,当用于路由信息过滤时,其匹配对象为路由信息的目的地址信息域或下一跳域,他的另一种-应用直接作用于路由器对象(gateway),使本地路由协议只能接收某些特定路由器发布的路由信息,这些路由器的之地必须通过ip prefix-list的过滤,在这种情况下,prefix-list的匹配对象为路由信息包IP报头的源地址。
6、route-map的配置任务
(1)定义路由映像
(2)定义匹配规则
(3)定义赋值规则
路由映像(route-map)用于匹配路由信息的某些属性,并在这些属性匹配后执行某些动作。
对于一个route-map,有match和set子句与其配合使用。
Match自己定义匹配准则,也就是需要通过当前route-map的路由信息所需要满足的过滤条件,匹配对象是这条路由信息的一些属性;set子句指定动作,也就是满足match子句的过滤条件后执行的一些配置命令,对这条路由信息的一些属性进行修改。
一个route-map可以分为几个部分,每个部分所有自己的match子句与set子句,由sequence-number指定这几个部分的匹配顺序。
在匹配的过程中,同一部分match 之间的关系是“与”的关系,即路由信息依次匹配各个部分,通过route-map的某一部分,就意味着通过该route-map的过滤。
三、路由策略的过滤列表应用
1、引入其它协议路由信息
2、路由接收时的过滤
3、路由发布时的过滤
4、路由权值的更改
路由策略的应用大体分为四个部分:
引入其他协议路由信息的策略(redistribute)
路由接收时的过滤(distribute-list in)
路由发布时的过滤(distribute-list out)
路由权值的更改(offset-list)
More:DR5216路由策略与路由引入。