M0000005路由策略与引入(中文版11)定稿

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

课程XXXX路由策略与引入(M0000005)Issue1.011.1IP路由策略概述1.1.1路由策略的作用路由策略的作用路由策略的作用l过滤路由信息的手段l发布路由信息时只发送部分信息l接收路由信息时只接收部分信息l进行路由引入时引入满足特定条件的信息支持等值路由l设置路由协议引入的路由属性路由策略是提供给路由协议实现路由信息过滤的手段。路由协议在与对端路由器进行路由信息交换时,可能需要只接收或发布一部分满足给定条件的路由信息;路由协议在引入其它路由协议路由信息时,可能需要只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置以使其满足本协议的要求。路由策略用以提供路由协议实现这些功能的手段。路由策略由一系列的规则组成,这些规则大体上分为三类,分别作用于路由发布、路由接收和路由引入过程。因为定义一条策略等同于定义一组过滤器,并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤器,所以路由策略也常被称为路由过滤。公共过滤器是路由策略实现的基础。用户根据需要预先定义一些匹配条件,并在制定路由协议的策略规则时加以引用,将这些匹配条件作用于不同的对象,如路由信息的目的地址、发布路由信息的路由器地址等以实现路由信息过滤。课程XXXX路由策略与引入(M0000005)Issue1.021.1.2和策略相关的五种过滤器策略相关的五种过滤器策略相关的五种过滤器l路由策略(routingpolicy)设定匹配条件,属性匹配后进行设置,由if-match和apply字句组成l访问列表(access-list)用于匹配路由信息的目的网段地址或下一跳地址,过滤不符合条件的路由信息l前缀列表(prefix-list)?匹配对象为路由信息的目的地址或直接作用于路由器对象(gateway)l自治系统路径信息访问列表(aspath-list)仅用于BGP协议,匹配BGP路由信息的自治系统路径域l团体属性列表(community-list)仅用于BGP协议,匹配BGP路由信息的自治系统团体域路由策略提供了routingpolicy、access-list、aspath-list、community-list和prefix-list五种过滤器供各路由协议引用来进行协议策略规则的制定。如下所示:(1)路由策略(routingpolicy)用于匹配给定路由信息的某些属性,并在这些条件匹配后对该路由信息的某些属性进行设置。一个routingpolicy由一组if-match和apply子句组成,if-match子句定义匹配准则,也就是通过当前routingpolicy所需满足的过滤条件,匹配对象是所给路由信息的一些属性;apply子句指定动作,也就是在满足由if-match子句指定的过滤条件后所执行的一些配置命令,对路由信息的一些属性进行设置。(2)访问列表(access-list)访问列表access-list分为标准型的访问列表Standardaccess-list和扩展型的访问列表extendedaccess-list,应用于路由信息的过滤时,一般使用标准型的访问列表,用户在定义访问列表时指定一个IP地址的网段范围,用于匹配路由信息的目的网段地址或下一跳地址,过滤不符合条件的路由信息。如使用扩展access-list,则只用其源地址匹配域匹配路由信息的目的网段地址域而忽略扩展accesslist中指定的用于匹配数据包目的地址的IP地址范围。access-list的定义与检查已经在防火墙的配置中实现,有关的配置请用户参考防火墙配置中的“acl”命令。课程XXXX路由策略与引入(M0000005)Issue1.03(3)前缀列表(prefix-list)前缀列表prefix-list的作用类似于access-list,当用于路由信息过滤时,access-list的命令行会让用户难以理解,因为它用的是包过滤的格式,而prefix-list比它更为灵活和易于为用户理解。在应用于路由信息的过滤时,其匹配对象为路由信息的目的地址信息域;它的另一种应用直接作用于路由器对象(gateway),使本地路由协议只能接收某些特定路由器发布的路由信息,这些路由器的地址必须通过prefix-list的过滤,在这种情况下,prefix-list的匹配对象为路由信息包IP报头的源地址。一个prefix-list由列表名标识,可以分为几个部分,由sequence-number指定这几个部分的匹配顺序,在每个部分中,用户可以独立指定一个网络前缀形式的匹配范围。在匹配的过程中,不同sequence-number的各个部分之间的关系是“或”的关系,即路由信息依次匹配各个部分,通过prefix-list的某一部分,就意味着通过该prefix-list的过滤。(4)自治系统路径信息访问列表(aspath-list)自治系统路径信息访问列表aspath-list仅用于BGP协议。BGP协议的路由信息包中,包含一自治系统路径域,在BGP协议交换路由信息的过程中,路由信息经过的自治系统路径会记录在这个域中。aspath-list由aspath-list-number标识,用户在定义aspath-list时指定一个用于匹配路由信息aspath域的aspath的正则表达式。可以使用aspath-list匹配BGP路由信息的自治系统路径域,过滤掉不符合条件的路由信息。对于相同的列表号,用户可以定义多条aspath-list,也即一个列表号代表一组aspath访问列表。在匹配过程中,访问列表的成员aspath-list-number之间是一种“或”的关系,即路由信息通过这组列表中的一条就意味着通过由该列表号标识的这组aspath列表的过滤。(5)团体属性列表(community-list)团体属性列表community-list仅用于BGP协议。BGP协议的路由信息包中,包含一个community属性域,用来标识一个团体,实际上是一种根据路由信息包发往的目的地址将其分组的方法,分组之后就可以对整组路由信息进行发布、接收或重分配等操作。团体属性列表是一种基于community信息的访问列表,用于BGP协议,其匹配对象是BGP路由信息的团体属性域。课程XXXX路由策略与引入(M0000005)Issue1.041.1.3路由策略与过滤器的关系路由策略与过滤器的关系路由策略与过滤器的关系l在路由引入(import-route)时使用routingpolicyroutingpolicy由一系列的if-match子句和apply子句组成匹配AS-path时使用AS-pathlist匹配Community时使用Communitylist匹配IPaddress时使用IPPrefix和Accesslistl在路由发布(export)和路由接收(import)时使用地址前缀列表(IPPrefix)和访问控制列表接收时:IPPrefix、Accesslist和Gateway(特定路由器)发布时:IPPrefix和Accesslist路由策略在起作用时,分别作用于路由引入、路由发布和路由接收过程。在路由引入时,使用的命令为:import-routeprotocol[medmed][route-policypolicy-name]在命令中使用路由策略来匹配和设置满足过滤条件的路由属性,在匹配AS-path时使用AS-pathlist-number,具体的内容要通过ipas-pathaclaspath-list-number命令来设置,团体属性Community的匹配也是一样,要通过ipcommunity-list命令来设置。在匹配IPAddress时,可以使用Access-list和Prefix-list,在后面会有详细的介绍。在路由发布和路由接收时,都可以应用Access-list和Prefix-list来进行路由信息的过滤,另外在路由接收时可以指定只接收特定路由器发送的路由信息。在后面也会有详细的介绍。课程XXXX路由策略与引入(M0000005)Issue1.051.2路由策略的配置1.2.1路由策略配置任务列表路由策略配置任务列表路由策略配置任务列表l定义路由策略(routingpolicy)l定义路由策略的if-match子句l定义路由策略的apply子句l引入其他协议的路由信息l定义地址前缀列表prefix-listl配置路由过滤路由策略的配置可以分为过滤列表的定义和过滤列表的应用两部分,过滤器的应用实际上是一个策略规则的定义过程,通过对过滤器的引用以实现路由过滤的功能。各路由协议通用的策略配置任务列表如下所示:定义路由策略(routingpolicy)定义路由策略的if-match子句定义路由策略的apply子句引入其他协议的路由信息定义地址前缀列表prefix-list配置路由过滤课程XXXX路由策略与引入(M0000005)Issue1.061.2.2定义路由策略(routingpolicy)路由策略配置任务列表路由策略配置任务列表l一个routingpolicy下可以有多个节点,不同的节点号用seq-number标识,不同seq-number各个部分之间的关系是或的关系l每个节点下可以有多个if-match和apply子句,if-match子句之间是与的关系l允许模式:当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句,如路由项不满足该节点的if-match子句,该路由策略的下一个节点将被测试l拒绝模式:当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤,并且不会进行下一个节点的测试操作命令定义路由策略节点route-policypolicy-name{permit|deny}{seq-number}删除路由策略节点undoroute-policypolicy-name[permit|deny][seq-number]路由策略(routingpolicy)用于匹配路由信息的某些属性,并在这些属性匹配后执行某些动作。对于一个routingpolicy,有if-match和apply子句与其配合使用。if-match子句定义匹配准则,也就是需要通过当前routingpolicy的路由信息所需满足的过滤条件,匹配对象是这条路由信息的一些属性;apply子句指定动作,也就是满足由if-match子句指定的过滤条件后所执行的一些配置命令,对这条路由信息的一些属性进行修改。一个routingpolicy可以分为几个部分,每个部分都有自己的if-match子句与apply子句,由sequence-number指定这几个部分的匹配顺序。请在系统视图下进行下列配置。操作命令定义路由策略节点,进入路由策略视图。route-policypolicy-name{permit|deny}{seq-number}删除路由策略节点undoroute-policypolicy-name[permit|deny][seq-number]缺省情况下,未定义路由策略。permit指定所定义的路由策略节点的匹配模式为允许模式。当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句,如路由项不满足该节点的if-match子句,该路由策略的下一个节点将被测试。课程XXXX路由策略与引入(M0000005)Issue1.07deny指定所定义的路由策略节点的匹配模式为拒绝模式,当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤,并且不会进行下一个节点的测试。seq-number标识路由策略中的一个节点,当该路由策略用于路由信息过滤时,seq-number小的节点先被测试。需要注意的是:不同seq-number各个部分之间的关系是“或”的关系,即路由信息依次匹配各个部分,通过routingpolicy的某一部分,就意味着通过该routingpolicy过滤。课程XXXX路由策略与引入(M00

1 / 28
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功