路由策略和策略路由
路由策略
2012年8月3日
9:48
路由策略是对控制层面的东西进行优化。
路由更新:减少路由条目(汇总,特殊区域)较少的路由频繁变动(被动接口)
路由过滤:distribute-list filter-list
重发布:1路由迁移 2 路由融合
Prefix-list前缀列表
A 只跟掩码
ip prefix-list R1 seq 5 deny 1.1.1.0/24
等价于ACL 1.1.1.0 0.0.0.0 前缀列表是用来定位网络的,没有任何定义掩码的范围。
B 跟一个参数 le ge
ip prefix-list R1 seq 5 deny 1.1.1.0/24 le 30
ip prefix-list R1 seq 5 deny 1.1.1.0/24 ge 31
所以的必须先满足/后面的掩码限定的范围
然后看le 或者ge的数值
/24 le 30 表示 24<= N <=30
/24 ge 31 31<=N <=32
C 同时使用le ge
ip prefix-list R1 seq 5 deny 1.1.1.0/24 ge 29 le 30
29<=N<=30 而且先满足24的掩码的范围
Distribut-list
1过滤更新
可以在路由进程下配置,对路由进行过滤,可以跟接口和方向A 用ACL做
access-list 1 deny 1.1.1.1
access-list 1 permit any
router eigrp 1
network 2.2.2.2 0.0.0.0
network 192.168.12.2 0.0.0.0
distribute-list 1 in Serial1/0
no auto-summary
B prefix
拒绝R1的1.1.1.4/30 放开1.1.1.1/32
ip prefix-list R1 seq 5 deny 1.1.1.0/24 le 30
ip prefix-list R1 seq 10 permit 0.0.0.0/0 le 32
router eigrp 1
network 2.2.2.2 0.0.0.0
network 192.168.12.2 0.0.0.0
distribute-list prefix R1 in Serial1/0
no auto-summary
C 调用route-map
ip prefix-list R1 seq 5 deny 1.1.1.0/24 le 30
ip prefix-list R1 seq 10 permit 0.0.0.0/0 le 32
route-map CCNP permit 10
match ip address prefix-list R1
router eigrp 1
network 2.2.2.2 0.0.0.0
network 192.168.12.2 0.0.0.0
distribute-list route-map CCNP in Serial1/0
no auto-summary
另外一种情况
route-map ccie deny 10
match ip address prefix-list R1
route-map ccie permit 20
第三种情况
access-list 1 deny 1.1.1.1
access-list 1 deny 1.1.1.2
access-list 1 permit any
route-map ccnp deny 10
match ip address 1
route-map ccnp permit 20
在进程调用发现负负得正,1.1.1.1/32 1.1.1.2/32的路由会出现
2 修改路由属性(不能针对链路状态协议)
Filter-list
默认发布列表在OSPF中使用,只能过滤自身的路由,不会影响到别的路由器,因为没办法过滤LSA。
如果想要在OSPF中过滤LSA必须使用filter-list。Filter-list只能调用前缀列表,针对区域去做,方向in out。
Filter-list只能在ABR上做,过滤3类LSA。
ip prefix-list CCNA seq 5 deny 1.1.1.1/32
ip prefix-list CCNA seq 6 deny 11.11.11.11/32
ip prefix-list CCNA seq 10 permit 0.0.0.0/0 le 32
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
area 1 filter-list prefix CCNA out 也可以做IN方向的
重发布
2012年8月6日
14:19
重发布的默认的Metric
将其他的协议(直连和静态是1)引入到RIP:无穷大 16跳
将其他的协议(直连和静态是1)引入到EIGRP:无穷大
将其他的协议(直连和静态是1)引入到OSPF:类型是 O E2 METIRC=20
路由迁移:
1 RIP到OSPF的迁移
A 修改管理距离,OSPF的比RIP的大。Distance 109
B 部署OSPF
C 检查OSPF的邻居以及OSPF的数据库LSDB
D 删除旧协议RIP ,一般建议从中间向两边拆,并且及时刷新路由表
E 检查OSPF的路由表,验证数据通信正常
2将OSPF迁移到EIGRP
A 修改OSPF的管理距离,要小于EIGRP的90
Distance 89 distance external/inter-area/intra-area ( 一般还是修改旧协议的AD)
B部署EIGRP
C 检查EIGRP的邻居表和拓扑表(如果EIGRP的拓扑表没有加入到主路由表,那么不会传递给邻居)
D 删除OSPF
E 检查EIGRP的路由表,验证数据通信正常
3 将RIP迁移到EIGRP
4将eigrp迁移到OSPF
路由融合
一单点双向重发布
1RIP 和ospf的单点双向重发布
将OSPF引入RIP的时候,需要给引入的路由修改metric。默认是无穷大(16)。
将rip引入到ospf的时候,如果RIP中有非主类网络的子网,需要加subnets参数。access-list 1 deny 11.11.11.11
access-list 1 permit any
!
route-map deny11 permit 10
match ip address 1
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
redistribute rip subnets route-map deny11
network 2.2.2.2 0.0.0.0 area 0
network 23.1.1.1 0.0.0.0 area 0
!
router rip
version 2
redistribute ospf 1 metric 1
network 2.0.0.0
network 12.0.0.0
no auto-summary
可以在重发布的时候更改属性以及路由过滤
ip access-list standard P1
permit 1.1.1.1
access-list 1 permit 11.11.11.11
route-map ccnp deny 10
match ip address 1
route-map ccnp permit 20
match ip address P1
set metric 10
set metric-type type-1
route-map ccnp permit 30
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
redistribute rip subnets route-map ccnp
network 2.2.2.2 0.0.0.0 area 0
network 23.1.1.1 0.0.0.0 area 0
2rip和eigrp的单点双向重发布
将其他路由协议引入到EIGRP的时候必须跟metric值。5个度量值分别为带宽延迟可靠性负载 MTU
3 OSPF和eigrp的单点双向重发布
二单点多向重发布
在单点多向重发布的时候,需要将每两个协议之间进行相互的重发布,才能保证全网路由可达。
三双点双向重发布
1次优路径的问题
直接修改外部的管理距离Distance ospf external 121
针对发送的源来修改管理距离
2路由回馈的问题
使用tag
3负载失衡
RIP的负载失衡
R7上
R8上
OSPF的负载失衡R7上的配置
R8上的配置
策略路由
2012年8月8日
15:53
路由策略
1offset-list
Benjamin 于 2012-08-08 16:22 修改
如果公司或者园区网使用公网IP和动态路由协议来链接运营商,那么可以使用offset-list 来调控路由的metric实现主备链路。但是只能支持rip 和eigrp,不能用于链路状态路由协议。
2 IP SLA Server leavel agreement
在一个园区网或者公司的内部,如果使用私有IP和静态缺省的方式上网,主备关系一般使用静态路由的管理距离来实现,并且配合NAT来上网。
NAT
ip nat inside source route-map ethernet interface FastEthernet0/0 overload
ip nat inside source route-map serial interface Serial1/1 overload
!
!
ip access-list standard backup
permit any
!
ip access-list extended wan
deny ip host 100.1.12.1 any
deny ip host 100.1.14.1 any
permit ip 192.168.17.0 0.0.0.255 any
!
route-map serial permit 10
match ip address wan
match interface Serial1/1
!
route-map ethernet permit 10
match ip address wan
match interface FastEthernet0/0
在上面的上网环境中,公司或者园区网内部是无法知道运营商内部的路由状态,如果运营商出现问题,那么要么电话找客服。要么使用ip sla来追踪事件,追踪到达运营商内部的数据是否正常通信,如果不同,切换。
ip sla monitor 1
type echo protocol ipIcmpEcho 3.3.3.3 source-ipaddr 100.1.14.1
frequency 5
ip sla monitor schedule 1 life forever start-time now
!
track 1 rtr 1 reachability
delay down 1 up 1
ip route 0.0.0.0 0.0.0.0 100.1.14.2 track 1
ip route 0.0.0.0 0.0.0.0 100.1.12.2 5
PBR 基于策略的路由
PBR可以针对数据源和目标去匹配流量,并将流量指定到相关的下一跳地址或者出接口。Configuration
ip access-list extended R1
permit ip host 1.1.1.1 host 3.3.3.3
route-map R1 permit 10
match ip address R1
set ip next-hop 192.168.23.2 也可以设置出接口 set interface s1/1
如果是以太网接口,一般建议写下一跳。
interface Serial1/0
ip address 192.168.12.2 255.255.255.0
ip policy route-map R1
serial restart-delay 0
PBR的两种调用
1在接口调用: ip policy route-map R1 只能匹配穿越路由器的流量,不能匹配自身的流量
2全局调用: ip local policy route-map R2 只能匹配自身的流量,不能匹配穿越路由器的流量
如果配置路由策略之后,数据的转发:
如果匹配上route-map,那么执行set的动作
*Mar 1 00:04:26.031: IP: s=1.1.1.1 (Serial1/0), d=3.3.3.3 (Serial1/1), len 28, FIB policy routed
*Mar 1 00:04:26.079: IP: s=1.1.1.1 (Serial1/0), d=3.3.3.3, len 28, FIB policy match
*Mar 1 00:04:26.079: fibidb->namestring: Serial1/1
*Mar 1 00:04:26.083: ipfib_policy_set_interface_lookup: tag_ptr: 0x0
*Mar 1 00:04:26.083: adj 0x0, NULL
如果没有匹配,数据正常转发
*Mar 1 00:04:54.623: IP: s=192.168.12.1 (Serial1/0), d=3.3.3.3, len 28, FIB policy rejected(no match) - normal forwarding
使用PBR来针对不同的感兴趣的流量做下一跳
首先的NAT同上
ip nat inside source route-map e interface FastEthernet0/0 overload
ip nat inside source route-map s interface Serial1/1 overload
ip access-list extended wan
deny ip host 100.1.12.1 any
deny ip host 100.1.14.1 any
permit ip 192.168.1.0 0.0.0.255 any
route-map e permit 10
match ip address wan
match interface FastEthernet0/0
!
route-map s permit 10
match ip address wan
match interface Serial1/1
主备链路配置
ip sla monitor 1
type echo protocol ipIcmpEcho 8.8.8.8 source-ipaddr 100.1.14.1
frequency 5
ip sla monitor schedule 1 life forever start-time now
!
track 100 rtr 1 reachability
delay down 1 up 1
ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 100.1.12.2 track 100
ip route 0.0.0.0 0.0.0.0 100.1.14.2 2 优选的电信的线路
PBR的配置
ip sla monitor 2
type echo protocol ipIcmpEcho 100.1.14.2 source-ipaddr 100.1.14.1
frequency 5
ip sla monitor schedule 2 life forever start-time now
!
track 200 rtr 2 reachability
delay down 1 up 1
!
ip access-list extended chinaunion
deny ip host 100.1.12.1 any
deny ip host 100.1.14.1 any
permit ip 192.168.1.0 0.0.0.255 221.1.0.0 0.0.255.255
!
route-map PBR permit 10
match ip address chinaunion
set ip next-hop verify-availability 100.1.14.2 1 track 200 在设置下一跳之前检测可达性,调用track检测
set ip next-hop 100.1.12.2
!
interface Serial1/2
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map PBR
serial restart-delay 0
华为路由器路由策略和策略路由
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
SR8800-X核心路由器策略路由配置指导
H3C SR8800-X 核心路由器 策略路由配置指导
目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 4.7 组网需求 (4) 4.8 配置思路 (5) 4.9 使用版本 (5) 4.10 配置步骤 (5) 4.11 验证配置 (6) 4.12 配置文件 (6) 5 相关资料 (7)
1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 ?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用,指导其转发,对本地产生的报文不起作用; ?配置重定向到下一跳时,不能将IPv4 规则重定向到IPv6 地址,反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如图1 所示,缺省情况下,Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由,对于访问Server 的报文实现如下要求: (1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文,将该报文的下一 跳重定向到10.5.1.2; (2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文,将该报文的下一跳重定向到 10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图
Juniper 防火墙策略路由配置
Juniper 防火墙策略路由配置 一、网络拓扑图 要求: 1、默认路由走电信; 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址,走电信,访问互联网走网通; 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加:
Extended acl id:acl 编号Sequence No.:条目编号源地址:192.168.1.10/32 目的地址:1.0.0.0/8 Protocol:选择为any 端口号选择为:1-65535 点击ok:
2、点击add seg No.再建立一条同样的acl,但protocol 为icmp,否则在trace route 的时候仍然后走默认路由:
3、建立目的地址为0.0.0.0 的acl: 切记添加一条协议为icmp 的acl; 命令行: set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol
路由器登陆方法与基本设置
路由器登陆方法与基本设置 首先,用一根普通网线把无线路由器跟电脑连接,设置好电脑网卡的IP地址,IP地址的前三个数字跟路由器内置IP 地址的前三个数字相同; 比如,如果路由器的IP地址为:192.168.0.1 (说明书里面有),那么电脑网卡的IP地址可以设置为192.168.0.3,子网掩码设置为255.255.255.0 ,网关设置为192.168.0.1 (就是路由器的IP地址)。 然后,电脑网络连接状态会显示本地连接已连接; 打开浏览器,在地址栏输入路由器的IP地址,比如:192.168.0.1 ,确定; 如果电脑IP地址与路由器IP地址在同一网段,就会弹出路由器的登陆界面,如图1 : 图1 路由器登陆界面 输入路由器的登陆用户名和口令,默认的登录名和口令在说明书里面有,默认的登录名大多为admin,默认口令为admin 或者为空; 进入WEB界面的路由器设置界面,可以使用设置向导完成设置,也可以不用向导进行设置。关键的设置项目是"网络参数“和”无线参数“。 网络参数里面,最关键的是WAN口参数,需要正确选择WAN口链接类型; 如果是通过电话线宽带拨号上网,就选择PPPOE连接类型,并设置好上网帐户和口令,就是安装宽带时ISP提供的帐户和口令; 还可以设置网络连接方式,如:按需连接,自动连接,定时连接,手动连接等方式。对于包月不限时用户,选择自动连接即可;对于有上网时间限制的用户,最好选择按需连接;
至于LAN口参数,设置一下本地连接的IP地址和子网掩码就行了,一般填路由器的IP地址,保持默认即可。如果改变了LAN口IP地址,那么重启后需要使用新 的IP地址登陆路由器,并且本地网卡的IP地址也需要改变到同一网段。 图2 路由器网络参数设置界面 无线网络参数的设置 点击图2左边工具栏里面的”无线参数“,进入无线网络基本设置界面,在这里必须设置SSID号(网络名),在无线上网电脑里面设置无线网络属性时,需要用到SSID号,名称由自己定。模式有11Mbps、54Mbps等,如果接入的宽带是1Mbps或2Mbps的,改变模式没有实际意义; 这里有两个选项比较重要,”开启无线功能“、”允许SSID无线广播“。 如果不选择”开启无线功能“,无线路由器只能当普通的有线路由器使用,不发出无线网络信号; 如果没有选择”允许SSID无线广播“,在电脑上设置无线网络时,不能自动搜索到无线信号,必须手动设置SSID号,无线网卡才能跟无线路由器建立无线连接; 允许SSID无线广播后,电脑的无线网卡会自动搜索到无线路由器的信号,如果没有加密,就可以自动建立连接,如果使用了加密,在设置密钥后建立连接; 不过,允许SSID无线广播后,凡是有无线网卡的电脑,在信号覆盖范围内,都可以搜索到无线路由器发出的无线网络信号,自由连接到无线路由器共享上网; 如果不想让不明电脑共享自己的无线宽带,可以使用无线网络密钥;
juniper路由器配置
juniper路由器配置 一.路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串:setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串: setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap: setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端:setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2.停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: setsystemno-redirects 接口级别停止广播转发使用如下命令: setinterfacesfxp0unit0familyinetno-redirects 3.停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp 服务器,如果没有使用,则应该使用如下命令停止: setsystemdhcp-relaydisable 4.禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolsigmpinterfacealldisable 5.禁止PIM服务(?),PIM服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolspimdisable 6.禁止SAP服务(?),SAP服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolssapdisable 7.禁止IPSourceRouting源路由 setchassisno-source-route 二.路由器登录控制: 1.设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2.设置登录超时时间: 默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟: setcliidle-timeout15
路由器的设置方法(图解)
[教程资料] 路由器的设置方法(图解) 路由器, 图解, 设置 路由器的设置方法(图解) tp-link各产品开启路由器的方法首先介绍一下利用路由器实现多台电脑同时上网的方法.首先具备的条件是:路由器一个(可以为4口,8口,16口,甚至更多的),如果你有很多台电脑,可以买个多口的交换机.网线直通线数条,电信mode一个(或者你是专线那就不需要mode了),pc电脑至少2台以上(如果只有一台,使用路由器是可以的,但是就失去了使用路由器的意义了.其实tp-link公司出的路由器,比如TP-LINKTL-402M 或者是401M或者是其他型号的tp-link路由器,路由开启方法大多差不多.下面本文以 TP-LINKTL-402M为例,请看图片 只要按图片里的介绍,将PC,电信宽带MODE,路由器,相互正确连接,那么一个网络就已经组好了.下面介绍怎么样开起路由功能.如果线都已经接好.我们这个时候随便打开一台连好的PC电脑.打开网上邻居属性(图片2),本地连接属性(图片3),tcp/ip协议属性(图片4),设置ip为192.168.1.2子网:255.255.255.0网关:192.168.1.1(图片5)确定,DNS在配置路由器完后在行设置.注:如果是98和me系统,请到控制面板网络连接
去设置.这里xp为例,请看图
对了,这里提醒一下大家,ip设置网段,可以设置在192.168.1.2-192.168.1.254之间都可以,不要将同一IP设置为多台电脑,这样就会引起IP冲突了.切记.好了当设置到这里.我就可以打开桌面的InternetExplorer,输入192.168.1.1回车,请看图片
策略路由配置命令
一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下,配置distribute 列表,引用acl 1,过滤从ospf 1重发布到rip的网络路由。也就是说,通过该路由器进行ospf的重发布到rip网络中,过滤acl 1的数据。在该例中的意思就是ospf中如果有数据属于192.168.1.0/24,那么在rip 网络中无法学习到这些路由。由于重发布的命令是redistribute,所以这里可以理解为发布到rip网络中。=============================================================================== ============================================ 二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称,10为序列号,下述条件如果成立的话动作为permit。注意:route-map和acl相同的是,在尾部都有隐藏的默认拒绝所有的条件。 3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足 4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候,对route-map的ospf-rip条目进行匹配过滤。在该例中就是禁止192.168.1.0/24的网络通过路由重发布到rip网络中,也就阻止了rip网络中的路由器学习到该路由。 =============================================================================== ============================================ 三、策略路由 1.定义acl (conf)#access-list 1 permit host 192.168.1.1 2.定义route-map (conf)# route-map pdb permit 10 其中pdb为route-map的名称,10为序列号
华为路由器路由策略和策略路由配置与管理
路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
Juniper路由器安全配置方案
Juniper路由器安全配置方案 一. 路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: set system processes snmp disable 使用如下命令来设置SNMP通讯字符串: set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串: set snmp interface fxp0 community mysnmp 使用如下命令来在接口上禁止SNMP服务trap: set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端: set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务< 2. 停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: set system no-redirects 接口级别停止广播转发使用如下命令: set interfaces fxp0 unit 0 family inet no-redirects 3. 停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp服务器,如果没有使用,则应该使用如下命令停止: set system dhcp-relay disable 4. 禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止: set protocols igmp interface all disable 5. 禁止PIM服务,PIM服务如果在没有使用的情况下应该使用如下命令禁止: set protocols pim disable
策略路由配置详解
38策略路由配置 38.1理解策略路由 38.1.1策略路由概述 策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵 活地进行路由选择。 现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何 策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文 则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。 用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型: 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由,而对于从该接口转发出去的报文不受策略路由的控制; 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文,对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由,必须先创建路由图,然后在接口上应用该路由图。一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。
ospf 路由策略配置
A B B路由器和A路由器之间运行OSPF协议,B路由器通过OSPF发布三条静态路由到A路由器,静态路由的目的网段为5.5.5.5,6.6.6.6,7.7.7.7,类型为第一类外部路由,A路由器学到的5.5.5.5.的cost值比6.6.6.6和7.7.7.7的cost值小。配置如下: B路由器 router id 2.2.2.2 # interface Ethernet4/2/0 ip address 11.11.11.12 255.255.255.0 # acl number 1 rule 0 permit source 5.5.5.5 0 # acl number 2 rule 0 deny source 5.5.5.5 0 rule 1 permit # ospf import-route static cost 100 type 1 route-policy cost # area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 11.11.11.0 0.0.0.255 # route-policy cost permit node 10 if-match acl 1 apply cost 10 route-policy cost permit node 20 if-match acl 2 # ip route-static 5.5.5.5 255.255.255.255 NULL 0 preference 60 ip route-static 6.6.6.6 255.255.255.255 NULL 0 preference 60 ip route-static 7.7.7.7 255.255.255.255 NULL 0 preference 60 #
策略路由配置与BFD
策略路由配置与BFD 38.1理解策略路由 38.1.1策略路由概述 策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容 灵活地进行路由选择。 现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的, 对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何 策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文 则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。
用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前 面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型: 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由,而对于从该接口转发出去的报文不受策略路由的控制; 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文,对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由,必须先创建路由图,然后在接口上应用该路由图。一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。 每条策略又由一条或者多条match语句以及对应的一条或者多条set语句组成。match语句定义了IP/IPv6报文的匹配规则,set语句定义了对符合匹配规则的IP/IPv6报文处理动作。在策略路由 转发过程,报文依优先级从高到底依次匹配,只要匹配前面的策略,就执行该策略对应的动作,然后退出策略路由的执行。 IP策略路由使用IP标准或者扩展ACL作为IP报文的匹配规则,IPv6策略路由使用IPv6扩展ACL 作为IPv6报文的匹配规则。IPv6策略路由对于同一条策略最多只能配置一个match ipv6 address。
Cisco路由器安全配置简易方案
一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
5,建议采用权限分级策略。如: 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置
Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3,禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4,建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置: 设置用户名和密码;采用访问列表进行控制。如: Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit 5,禁止BOOTp服务。 Router(Config)# no ip bootp server
路由策略与策略路由详解
在网络设备维护上,现在很多维护的资料上都讲到“路由策略”与“策略路由”这两个名词,但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻,无法准确把握这两者之间的联系与区别。本文简单分析一下这两者之间的概念,并介绍一些事例,希望大家能从事例中得到更深的理解。 一、路由策略 路由策略,是路由发布和接收的策略。其实,选择路由协议本身也是一种路由策略,因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的。通常我们所说的路由策略指的是,在正常的路由协议之上,我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,注意,改变的是结果(即路由表),规则并没有改变,而是应用这些规则。 下面给出一些事例来说明。 改变参数的例子:例如,A路由器和B路由器之间是双链路(分别为AB1和AB2)且带宽相同,运行是OSPF路由协议,但是两条链路的稳定性不一样,公司想设置AB1为主用电路,当主用电路(AB1)出现故障的时候才采用备用电路(AB2),如果采取默认设置,则两条电路为负载均衡,这时就可以采取分别设置AB1和AB2电路的COST(开销)值,将AB1电路的COST值改小或将AB2电路的COST值设大,OSPF会产生两条开销不一样的路由,COST(开销)越小路由代价越低,所以优先级越高,路由器会优先采用AB1的电路。还可以不改COST值,而将两条电路的带宽(BandWidth)设置为不一致,将AB1的带宽设置的比AB2的大,根据OSPF路由产生和发现规则,AB1的开销(COST)会比AB2低,路由器同样会优先采用AB1的电路。 改变控制方式的例子,基本就是使用路由过滤策略,通过路由策略对符合一点规则的路由进行一些操作,例如最普通操作的是拒绝(deny)和允许(Permit),其次是在允许的基础上调整这些路由的一些参数,例如COST值等等,通常使用的策略有ACL(Acess Control List访问控制列表)、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP协议配合使用中,属于路由接收和通告原则。 例如,上图中AS1不向AS2发布19.1.1.1/32这个网段,可以设置ACL列表,在RTB上设置(以华为的路由器为例): [RTB]acl number 1 match-order auto [RTB-acl-basic-1]rule deny source 19.1.1.1 0 [RTB-acl-basic-1]rule permit source any [RTB]bgp 1 [RTB-bgp]peer 2.2.2.2 as-number 2 [RTB-bgp] import-route ospf [RTB-bgp] peer 2.2.2.2 filter-policy 1 export 如果B向C发布了这条路由,但是C不想接收这条路由,则C可以设置: [RTC]acl number 1 match-order auto
2020年(安全生产)C路由器的安全配置方案
(安全生产)C路由器的安 全配置方案
Cisco路由器的安全配置方案 壹,路由器访问控制的安全配置 1,严格控制能够访问路由器的管理员。任何壹次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: A,如果能够开机箱的,则能够切断和CON口互联的物理线路。 B,能够改变默认的连接属性,例如修改波特率(默认是96000,能够改为其他的)。C,配合使用访问控制列表控制对CON口的访问。 如:Router(Config)#Access-list1permit192.168.0.1 Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec 5,建议采用权限分级策略。如:
Router(Config)#usernameBluShinprivilege10G00dPa55w0rd Router(Config)#privilegeEXEClevel10telnet Router(Config)#privilegeEXEClevel10showipaccess-list 6,为特权模式的进入设置强壮的密码。不要采用enablepassword设置密码。而要采用enablesecret命令设置。且且要启用Servicepassword-encryption。7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则壹定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的且发数目;采用访问列表严格控制访问的地址;能够采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:Router(Config)#ipftpusernameBluShin Router(Config)#ipftppassword4tppa55w0rd Router#copystartup-configftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(CiscoDiscoveryProtocol)。如: Router(Config)#nocdprun Router(Config-if)#nocdpenable 2,禁止其他的TCP、UDPSmall服务。 Router(Config)#noservicetcp-small-servers Router(Config)#noserviceudp-samll-servers 3,禁止Finger服务。
信翼路由器设置方法
信翼d521路由器设置方法: 【家庭网络环境布线】: 1、有猫(modem):猫(modem)----路由器wan口;路由器lan口----电脑。 2、没有猫(modem):网线----路由器wan口;路由器lan口----电脑。 【电脑进入路由器】: 1、电脑ip、dns设置自动获取。 2、打开浏览器,在地址栏输入192.168.1.1(一般路由器地址是这个或者查看路由器背面的登录信息)进路由-输入用户名,密码,(默认一般是admin)。 【设置路由器拨号】: 1、在【设置向导】里,选择【PPPoE拨号】(有些是ADSL拨号)这一项,按提示步骤输入上网的用户名和密码,保存。 2、在【网络参数】--【WAN设置】里,选【正常模式】,在【连接】的三个选项,选择【PPPoE 拨号】这一项。下面就是选择【自动连接】,保存,退出。
你好!设置无线路由器的方法步骤如下: 1、进入路由器地址,连接好无线路由器后,在浏览器输入在路由器看到的地址,一般是192.168.1.1(当然如果你家是用电话线上网那就还要多准备一个调制调解器,俗称“猫”)。 2、输入相应的账号密码,进入后会看到输入相应的帐号跟密码,一般新买来的都是admin。 3、选择设置向导,确实后进入操作界面,你会在左边看到一个设置向导,进击进入(一般的都是自动弹出来的)。 4、进入上网方式设置,设置向导的界面。 5、点击下一步,进入上网方式设置,我们可以看到有三种上网方式的选择,如果你家是拨号的话那么就用PPPoE。动态IP一般电脑直接插上网络就可以用的,上层有DHCP 服务器的。静态IP一般是专线什么的,也可能是小区带宽等,上层没有DHCP服务器的,或想要固定IP的。因为我拨号所以选择pppoe。 6、输入账号密码,选择PPPOE拨号上网就要填上网帐号跟密码,这个应该大家都明白,开通宽带都会有帐号跟,填进去就OK啦。 7、设置路由器的密码,然后下一步后进入到的是无线设置,我们可以看到信道、模式、
ACL ,地址前缀,路由策略,策略路由之间的区别
1.ACL,它使用包过滤技术,在路由器上读取第3层及第4层包头中的信息,如源地址,目的地址,源端口和目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 2.ACL应用与接口上,每个接口的inbound,outbound 两个方向上分别进行过滤。 3.ACL可以应用于诸多方面 包过滤防火墙功能:保证合法用户的报文通过及拒绝
非法用户的访问。NAT:通过设置ACL来规定哪些数据包需要地址转换。 QoS:通过ACL实现数据分类,对不同类别的数据提供有差别的服务。 路由策略和过滤:对路由信息进行过滤。 按需拨号:只有发送某类数据时,路由器才会发起PSTN/ISDN拨号。
地址前缀列表 1.前缀列表是一组路由信息过滤规则,它可以应用在各种动态路由协议中,对路由协议发布出去和接受到的路由信息进行过滤。 2.前缀列表的优点: ? 占用较小的CPU资源大容量prefix-list的装入速度和查找速度较快 ? 可以在不删除整个列表的情况下添加删除和插入规则 ? 配置简单直观
? 使用灵活可以实现强大的过滤功能 3.前缀列表中的每一条规则都有一个序列号,匹配的时候根据序列号从小往大的顺序进行匹配。 4.prefix-list的匹配满足一下条件: ? 一个空的prefix-list允许所有的前缀 ? 所有非空的prefix-list最后有一条隐含的规则禁止所有的前缀 ? 序列号小的规则先匹
配 路由策略 1.路由策略是为了改变网络流量所经过的途径而修改路由信息的技术。 2.Route-policy是实现路由策略的工具,其作用包括:?路由过滤 ?改变路由信息属性 3路由策略