策略路由和路由策略的名词解释
策略路由,路由策略
策略路由,路由策略前⾔:在企业⽹络中,常⾯临⾮法流量访问及流量路径不优的问题,为了保护数据访问的安全性、提⾼链路带宽的利⽤率,需要对⽹络中的流量⾏为控制,如控制⽹络流量可达性,调整⽹络流量路径。
如何控制流量可达性? ⽅案⼀:对接收和发布的路由进⾏过滤来控制可达性,路由策略 ⽅案⼆:使⽤Traffic-filter⼯具对数据进⾏过滤,流量过滤 什么是路由策略? 通过⼀系列的⼯具或者⽅式对路由进⾏各种控制的策略,这个策略可以影响路由的产⽣,发布和选择等,进⽽影响报⽂的转发路径 在ip⽹络中,路由策略的⽤途主要有两个⽅⾯:对路由信息过滤和修改路由属性。
如图,如果使⽤流量过滤,使市场部的流量不能访问财务部。
会有极⼤的局限性,若是在RTA上做traffic-filter,流量会经过RTC RTB再在RTA上被过滤极⼤的浪费链路带宽。
若在RTC⼊⼝做traffic-filter,可能RTC不是由你进⾏管理的。
⽽且流量过滤针对每⼀个报⽂进⾏过滤,极⼤的浪费设备性能,所以建议使⽤路由策略来进⾏对流量的可达性进⾏控制。
路由策略使⽤的⼯具: 条件⼯具:把路由匹配出来,acl ip-prefix 策略⼯具:匹配抓取的路由,执⾏各种各样的策略。
router-policy 调⽤⼯具:把策略应⽤到某个具体的协议中。
filter-policy import-route配置思路:配置filter-policy不让192.168.1.0路由发出给到AR1[AR2-rip-1]filter-policy 2000 export -----对所有接⼝发出的路由做过滤[AR2-rip-1]ACL 2000[AR2-acl-basic-2000]rule PER S 192.168.2.0 0 filter-policy 2000 export static import-route static 对引⼊的静态路由实现过滤,本地不存在LSDB 当过滤本地接⼝的路由时 filter-policy 2000 export 针对链路状态路由协议⽆效,链路状态路由协议发送的是LSA filter-policy 2000 import 针对链路状态协议有效,不过是在加表实现过滤,本地LSDB中依旧有此链路状态ACL的局限性?ACL只能抓取路由的前缀,不关⼼掩码信息,如果两条路由拥有相同的前缀,ACL⽆法分别抓取前缀列表的优势?相⽐ACL来说既能匹配前缀也能抓取掩码,前缀列表不能⽤于流量过滤。
第六章 路由策略
第六章路由策略6.1路由策略简介6.1.1路由策略与策略路由路由策略(Routing Policy)是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。
策略路由(Policy Routing)是一种依据用户制定的策略进行路由选择的机制。
有关策略路由的详细介绍请参见“策略路由”章节。
路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤,例如只接收或发布满足一定条件的路由信息。
一种路由协议可能需要引入其它的路由协议发现的路由信息,路由器在引入其它路由协议的路由信息时,可能只需要引入一部分满足条件的路由信息,并控制所引入的路由信息的某些属性,以使其满足本协议的要求。
为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则。
可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。
匹配规则可以预先设置好,然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。
6.1.2过滤器路由协议可以引用访问控制列表、地址前缀列表、AS 路径访问列表、团体属性列表、扩展团体属性列表和Route-policy 几种过滤器。
下面对各种过滤器逐一进行介绍。
1. 访问控制列表访问控制列表包括针对IPv4 报文的ACL 和针对IPv6 报文的ACL。
用户在定义ACL 时可以指定IP(v6)地址和子网范围,用于匹配路由信息的目的网段地址或下一跳地址。
ACL 的有关配置请参见“安全分册”中的“ACL 配置”。
2. 地址前缀列表地址前缀列表包括IPv4 地址前缀列表和IPv6 地址前缀列表。
地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于用户理解。
使用地址前缀列表过滤路由信息时,其匹配对象为路由信息的目的地址信息域;另外,用户可以指定gateway 选项,指明只接收某些路由器发布的路由信息。
关于gateway选项的设置请参见“IP 路由分册”中的“RIP 命令”和“OSPF 命令”。
策略路由和路由策略原理
策略路由和路由策略原理知识检测一、单选题1、策略路由,顾名思义,即是根据一定的策略进行报文转发,以下不属于策略路由的是()。
A.根据报文的长度来控制报文转发B.根据源IP来控制报文转发C.根据报文的目的地址查询转发表来实现D. 根据协议类型控制报文转发2、针对单播策略路由和组播策略路由,描述错误的是()。
A.组播策略路由只支持转发的报文B. 单播策略路由不对路由器本机产生的报文进行策略路由C.组播策略路由是设置在接收报文接口而不是发送接口D.单播策略路由只对入口数据包有效3、策略路由的处理流程分为流模式和逐包模式,针对流模式和逐包模式以下描述正确的是()A. 逐包模式对第一个包查路由转发表,如果存在路由,将该路由项以source、dest、tos、入接口等索引放置到cache中,以后同样的流就可以直接查cache 。
B. 流模式每个包都进行查表后才进行转发。
C. 流模式的高中端设备所有操作由CPU+内存处理。
D. 流模式对第一个包查路由转发表,以后同样的流就可以直接查cache。
4、策略路由匹配原则关于匹配项和操作项描述错误的是()A. 可以有多个操作项B. 可以多个匹配项C. 所有节点满足匹配后,才不再继续往下匹配。
D. 只有满足所有的if-match,才算匹配。
5、单播报文转发接口的优先级从高到低为:()A.路由表中下一跳->策略路由的下一跳->策略路由的缺省下一跳->策略路由的出接口->策略路由的缺省出接口B. 策略路由的出接口->策略路由的下一跳->路由表中下一跳->策略路由的缺省出接口->策略路由的缺省下一跳C. 策略路由的出接口->策略路由的缺省出接口->策略路由的下一跳->策略路由的缺省下一跳->路由表中下一跳D. 策略路由的出接口->策略路由的下一跳->路由表中下一跳->策略路由的缺省下一跳->策略路由的缺省出接口6、按照转发接口的优先级,以下报文匹配的策略描述错误的是()A.如果添加一个节点,没有匹配项,有设置操作项,则所有报文都匹配,根据permit/deny 执行相应的操作,不再继续往下匹配。
路由策略与策略路由要点
set metric [+|-]<metric-value>
set metric-type { internal | external | type-1 | type-2 } set origin { igp | egp | incomplete } set tag <tag-value>
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
内部公开▲ 内部公开▲
学习内容
• 第一章 路由策略
第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
路由策略的定义方法(1)
内部公开▲
OSPF路由过滤器(filter)
仅针对OSPF协议,用于过滤Type-5、Type-7 LSA
OSPF区域过滤列表(area filter-list)
仅针对OSPF协议区域间路由过滤,过滤Type-3 LSA
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map
内部公开▲
AS100
B路由器需要对A路由器发布的路由进行选 择,只接收20.1.1.1/32网段的路由,屏蔽 30.1.1.1/32网段的路由
20.1100域内产生的路 由,其他路由条目出于安全考虑,需要对 B屏蔽
10.1.1.2/30
20.1.1.2/30
用路由策略解决这些问题
问题一解决方案:
内部公开▲
AS100
Lo0:30.1.1.1/32 Lo1:20.1.1.1/32 10.1.1.1/30 10.1.1.2/30
路由策略和策略路由配置与管理
路由策略和策略路由配置与管理路由策略和策略路由配置与管理“路由策略”与“策略路由”之间的区别就在于它们的主体(或者说“作⽤对象”)不同,前者的主体是“路由”,是对符合条件的路由(主要)通过修改路由属性来执⾏相应的策略动作(如允许通过、拒绝通过、接收、引⼊等),使通过这些路由的数据报⽂按照规定的策略进⾏转发;⽽后者的主体是数据报⽂,是对符合条件的数据报⽂(如报⽂的源地址、报⽂长度等)按照策略规定的动作进⾏操作(如设置报⽂的出接⼝和下⼀跳、设置报⽂的缺省出接⼝和下⼀跳等),然后转发。
“路由策略”如RIP、OSPF、IS-IS、BGP中动态路由信息发送(发布)/接收控制、路由选路、路由引⼊以及BGP路由属性配置等都⽤到了“路由策略”。
路由策略基础路由策略(Routing Policy)是通过使⽤不同的匹配条件和匹配模式来选择路由,或改变路由属性。
路由策略主要应⽤在路由信息发布、接收、引⼊和路由属性修改等⼏个⽅⾯:1、控制路由的发布可通过路由策略对所要发布的路由信息进⾏过滤,只允许发布满⾜条件的路由信息。
2、控制路由的接收可通过路由策略对所要接收的路由信息进⾏过滤,只允许接收满⾜条件的路由信息。
这样可以控制路由条⽬的数量,提⾼⽹络的路由效率。
3、控制路由的引⼊可通过路由策略只引⼊满⾜条件的路由信息,并控制所引⼊的路由信息的某些属性,使其满⾜本路由协议的路由属性要求。
4、设置路由的属性修改通过路由策略过滤的路由的属性,满⾜⾃⾝需要。
⼀、路由策略原理要实现路由策略,⾸先要定义将要实施路由策略的路由信息的特征,即定义⼀组匹配规则,这就是路由策略中必须使⽤的过滤器。
可以⽤路由信息中的不同属性作为过滤器的匹配依据,如路由的⽬的地址、源地址等。
然后将匹配规则应⽤于路由的发布、接收和引⼊等过程的策略中。
在⼀个路由策略中可以包括多组以if-match语句指定的匹配条件,这些匹配条件是以节点(Node)来进⾏标识的。
如果在⼀个路由策略中包括多个节点,则路由会按照节点号从⼩到⼤依次进⾏匹配,直到与某节点的条件完全匹配(后⾯的节点就不在去匹配了),如果到了路由策略中所包括的最后⼀个节点仍没有完全匹配,则该路由拒绝通过。
策略路由和路由策略原理-整理
Interface GE11/1/0 GE11/1/0 Ethernet12/2/0 Ethernet12/2/0.200 InLoopBack0 GE11/1/0
RTB PC1 RTA RTC PC2 RTD
策略路由的引入
普通路由转发基于路由表进行报文的转发: 路由表的建立 直联路由 静态配置路由条目; 动态路由协议学习生成; 对于同一目的网段,可能存在多条distance不等的路由条目
有报文都匹配,根据permit/deny执行相应的操作,不再继 续往下匹配。但是策略路由的统计数字改变。
4、如果匹配项中使用的acl根本不存在,则缺省是不匹配任何
Page 22
报文。
5、当直接出接口指定为本地的以太网接口、子接口、
Virtual-Template接口时,虽然从指定接口转发,但不能正
通过设置IP Precedence或Tos来实现QOS。 实现负载均衡。
策略路由的分类
1、按报文分类:分为单播策略路由(针对单播报文进 行控制)和组播策略路由(只对组播报文进行控制)。
我是单播策略,单播 报文听我指挥,该报 文从接口e0/0转发
RTB RTE
单播报文 组播报文
RTA
我是组播策略,组播 报文听我指挥,该报 文从接口e1/0和s0/0 转发
直连路由:路由器接口所连接的子网的路由方式称为直连路由; 非直连路由:通过路由协议从别的路由器学到的路由称为非直连路由;分 为静态路由和动态路由; 直连路由是由链路层协议发现的,一般指去往路 由器的接口地址所在网段的路径,该路径信息不需要网络管理员维护,也 不需要路由器通过某种算法进行计算获得,只要该接口处于活动状态 (Active),路由器就会把通向该网段的路由信息填写到路由表中去,直连路 由无法使路由器获取与其不直接相连的路由信息。
H3C 路由策略与策略路由的详细讲解
list)
团体属性列表(community-list)
Route-policy
10
路由策略
路由策略概述
访问控制列表(ACL) 前缀列表(ip-prefix) 自治系统路径信息访问列表(as-path list) 团体属性列表(community-list)
Route-policy
RIP只接收10.1.0.0/16网段的路由 RIP只发布10.2.0.0/16网段的路由
[Quidway]acl number 2000 [Quidway-acl-basic-2000]rule permit source 10.1.0.0 0.0.255.255 [Quidway-acl-basic-2000]rule deny source any [Quidway]acl number 2001 [Quidway-acl-basic-2001]rule permit source 10.2.0.0 0.0.255.255 [Quidway-acl-basic-2001]rule deny source any [Quidway]rip [Quidway-rip]filter-policy 2000 import [Quidway-rip]filter-policy 2001 export
[Quidway] ip ip-prefix p1 permit 10.0.192.0 8 greater-equal 17 less-equal 18 [Quidway]bgp 65400 [Quidway-bgp]peer 1.1.1.1 ip-prefix p1 import
注意:对于单一的BGP邻居只能对接收的路由(import)进行过滤,对特定 的BGP邻居组则可以对发布(export)和接收的路由都进行过滤。
策略路由与路由策略
路由策略与策略路由的区别2008年02月27日星期三 18:20在网络设备维护上,现在很护的资料上都讲到“路由策略”与“策略路由”这两个名词,但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻,无法准确把握这两者之间的联系与区别。
本文简单分析一下这两者之间的概念,并介绍一些事例,希望大家能从事例中得到更深的理解。
一、路由策略路由策略,是路由发布和接收的策略。
其实,选择路由协议本身也是一种路由策略,因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的。
通常我们所说的路由策略指的是,在正常的路由协议之上,我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,注意,改变的是结果(即路由表),规则并没有改变,而是应用这些规则。
下面给出一些事例来说明。
改变参数的例子:例如,A路由器和B路由器之间是双链路(分别为AB1和AB2)且带宽相同,运行是OSPF路由协议,但是两条链路的稳定性不一样,公司想设置AB1为主用电路,当主用电路(AB1)出现故障的时候才采用备用电路(AB2),如果采取默认设置,则两条电路为负载均衡,这时就可以采取分别设置AB1和AB2电路的COST(开销)值,将AB1电路的COST 值改小或将AB2电路的COST值设大,OSPF会产生两条开销不一样的路由,COST (开销)越小路由代价越低,所以优先级越高,路由器会优先采用AB1的电路。
还可以不改COST值,而将两条电路的带宽(BandWidth)设置为不一致,将AB1的带宽设置的比AB2的大,根据OSPF路由产生和发现规则,AB1的开销(COST)会比AB2低,路由器同样会优先采用AB1的电路。
改变控制方式的例子,基本就是使用路由过滤策略,通过路由策略对符合一点规则的路由进行一些操作,例如最普通操作的是拒绝(deny)和允许(Permit),其次是在允许的基础上调整这些路由的一些参数,例如COST值等等,通常使用的策略有ACL(Acess Control List访问控制列表)、ip-prefix、AS-PATH、route-policy等等。