HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedInternal我们可以使用路由策略来控制路由的引入、分发、选择过程;可以使用策略路由来改变数据包的默认的转发行为和转发路径。通过路由策略和策略路由,我们可以人为地控制路由信息的分发和数据包的转发。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage3参考资料VRP操作手册HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage4学习完此课程,您将会:理解过滤的各种工具及其作用学会路由策略的各种应用学会应用策略路由HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage5第1章过滤的工具第2章路由策略第3章策略路由HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage6第1章过滤工具1.1过滤的工具HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage7过滤的工具访问控制列表(access-list)用于匹配路由信息或者数据包的地址,过滤不符合条件的路由信息或数据包前缀列表(prefix-list)匹配对象为路由信息的目的地址或直接作用于路由器对象(gateway)自治系统路径信息访问列表(as-path-filter)仅用于BGP协议,匹配BGP路由信息的自治系统路径域团体属性列表(community-filter)仅用于BGP协议,匹配BGP路由信息的自治系统团体域路由策略(route-policy)设定匹配条件,属性匹配后进行设置,由if-match和apply子句组成五种过滤工具HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage8过滤的工具访问控制列表是由permit|deny语句组成的一系列有顺序的规则,这些规则根据源地址、目的地址、端口号等来描述。按照访问控制列表的用途,可以分为三类:基本的访问控制列表(basicacl)高级的访问控制列表(advancedacl)基于接口的访问控制列表(interface-basedacl)访问控制列表的使用用途是依靠数字的范围来指定的2000~2999:基本的访问控制列表3000~3999:高级的访问控制列表1000~1999:基于接口的访问控制列表访问控制列表HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage9过滤的工具有两种匹配顺序:配置顺序−配置顺序,是指按照用户配置ACL的规则的先后进行匹配自动排序−自动排序使用“深度优先”的原则−“深度优先”规则是把指定范围最小的语句排在最前面访问控制列表(续)HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage10过滤的工具前缀列表用来过滤IP前缀,能同时匹配前缀号和前缀长度前缀列表的性能比访问控制列表高前缀列表不能用于数据包的过滤例:ipip-prefixtestindex10permit10.0.0.016greater-equal24less-equal28前缀号必须为10.024=前缀长度=28满足条件的如10.0.1.0/24,10.0.2.0/25,10.0.2.192/26前缀列表HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage11过滤的工具ASPATH列表用来过滤BGP的AS-PATH属性ASPATH属性使用正则表达式来定义举例−匹配所有AS-PATH属性ipas-path-filter10permit.*−匹配从AS100发起的路由ipas-path-filter10permit_100$−匹配从AS200接收的路由ipas-path-filter10permit^200_ASPATH列表和正则表达式HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage12过滤的工具ASPATH列表和正则表达式字符符号特殊意义句号.匹配任意单字符星号*匹配模式中0或更多序列加号+匹配模式中1或更多序列问号?匹配模式0或一次出现加字符^匹配输入字符串的开始美元符$匹配输入字符串的结束下划线_匹配逗号,括号,字符串的开始和结束,空格方括号[范围]表示一个单字符模式的范围连字符-把一个范围的结束点分开HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage13过滤的工具团体列表用来根据团体属性表示和过滤BGP路由团体列表有基本的和高级的两种基本团体列表用来匹配实际的团体属性值和常量−ipcommunity-filter1permit100:1100:2−ipcommunity-filter1permit100:1−ipcommunity-filter1permitno-export高级团体列表可以使用正则表达式−ipcommunity-filter100permit^10团体列表HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage14过滤的工具一个routingpolicy下可以有多个节点,不同的节点号用seq-number标识,不同seq-number各个部分之间的关系是“或”的关系每个节点下可以有多个if-match和apply子句,if-match子句之间是“与”的关系允许模式:当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句,如路由项不满足该节点的if-match子句,该路由策略的下一个节点将被测试拒绝模式:当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤,并且不会进行下一个节点的测试If-match子句可以引用其它的过滤器Route-policyHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage15过滤的工具Route-policy(续)RoutingpolicyRP1seq1seq2seq3matchatt1matchatt2matchatt3matchatt4matchatt5matchatt6根据seq1的apply子句进行属性设置通过seq1的所有If-match子句YN通过seq2的所有If-match子句根据seq2的apply子句进行属性设置通过该RoutingpolicyY通过该Routingpolicy通过seq3的所有If-match子句根据seq3的apply子句进行属性设置通过该RoutingpolicyY通不过该RoutingpolicyNNHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage16第1章过滤工具第2章路由策略第3章策略路由HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage17第2章路由策略2.1路由引入2.2路由过滤2.3下发缺省路由2.4使用路由协议优先级HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage18路由引入在一个路由协议中通告其它途径学习到的路由“其它途径”包括直连网络静态路由其它路由协议什么是路由引入?HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage19路由引入引入直连网络路由RRRROSPFLoopback0:2.2.2.2/32DirectDirectDirectProtocol11.0.0.010.0.0.02.2.2.2Dest.RRDirectOSPFOSPFProtocol11.0.0.010.0.0.02.2.2.2Dest.11.0.0.0ImportdirectRTARTBHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage20路由引入引入静态路由RRRROSPFLoopback0:2.2.2.2/32DirectDirectStaticProtocol11.0.0.010.0.0.02.2.2.2Dest.RRDirectOSPFProtocol11.0.0.02.2.2.2Dest.11.0.0.0ImportstaticRTARTBHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage21路由引入引入其它路由协议路由RRRROSPFLoopback0:2.2.2.2/32DirectDirectRIPProtocol11.0.0.010.0.0.02.0.0.0Dest.RROSPF10.0.0.0DirectOSPFProtocol11.0.0.02.0.0.0Dest.11.0.0.0ImportripRIPRTARTBHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage22路由引入部署不同路由协议的机构合并不同的网络使用不同的协议,并且这些网络需要共享路由信息简单的网络可以使用RIP网络类型复杂的可以选用OSPF大型骨干网络一般选用ISIS网络协议的限制比如,使用拨号链路连接两个ISIS网络,而在拨号链路上是不适合运行ISIS协议的需要配置静态路由,然后把静态路由引入到ISIS为什么要配置路由引入?HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage23路由引入次优路由路由引入要注意什么?RRRRRRRRLoopback0:Dest.2.ImportripRTARTCRTBRTDHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage24路由引入路由环路路由引入要注意什么?(续)RRRRRRRRLoopback0:Dest.RR1.Importdirectcost22.Dest.ASE1504.Importospf-ase7.ImportisisRTARTBRTCRTDRTEHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage25路由引入开销值的变化路由引入要注意什么?(续)RRRTARRRRRTBRTC20Loopback0:Dest.Importisis1cost2HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage26第2章路由策略2.1路由引入2.2路由过滤2.3下发缺省路由2.4使用路由协议优先级HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage27路由过滤的作用避免路由引入导致的次优路由避免路由回馈导致的路由环路进行精确的路由引入和路由通告控制作用HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage28路由过滤的作用避免次优路由RRRRRRRRLoopback0:Dest.2.ImportripRTARTCRTBRTD过滤掉RTA通告给RTB的关于Dest.的路由,避免次优路由。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage29路由过滤的作用避免路由环路RRRRRRRRLoopback0:Dest.RR1.Importdirectcost22.Dest.ASE1504.Importospf-ase7.Importisis(filterdest.)1