行政与人力资源部运作手册

poopss
1 ℃
2016-12-17

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

RA-003IP路由策略与策略路由ISSUE2.0日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播理解路由策略和策略路由的基本概念掌握应用路由策略的五种过滤工具的使用方法掌握如何利用Route-policy实现IP单播及IP组播策略路由课程目标学习完本课程，您应该能够：路由策略策略路由目录路由策略路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy路由的发布、接收和引入如何有选择性的发布、接收和引入路由？对邻居发布路由从邻居接收路由OSPFBGP不同路由协议间引入路由路由策略路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤，比如只接收或发布一部分满足给定条件的路由信息；路由器在引入其它路由协议的路由信息时，可能需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置或修改，以使其满足本协议的要求。为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则，可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、发布路由信息的路由器地址等。五种常见的路由过滤方法访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy路由策略路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy访问控制列表（ACL）访问控制列表分为三类：Advanced：表示高级访问控制列表；Basic：表示基本访问控制列表；Interface：表示基于接口的访问控制列表；在对路由信息过滤时，一般使用基本访问列表和高级访问控制列表。使用基本访问控制列表，在定义访问列表时指定一个源IP地址或子网的范围，用于匹配路由信息的源地址。使用高级访问列表，则可以使用协议类型、源/目的地址或端口号等多种参数匹配路由信息。实现路由发布和接收策略（一）在BGP视图下，对BGP邻居（组）发布或接收路由时根据ACL规则进行路由过滤peer{group-name|peer-address}filter-policyacl-number{import|export}[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource10.1.0.00.0.255.255[H3C-acl-basic-2000]ruledenysourceany[H3C]bgp65400[H3C-bgp]peer1.1.1.1filter-policy2000import从邻居1.1.1.1只接收10.1.0.0/16网段的路由实现路由发布和接收策略（二）在BGP/OSPF/RIP/IS-IS视图下，利用filter-policy根据ACL规则对发布或接收的路由进行过滤filter-policyacl-numberexport[routing-protocol]filter-policyacl-numberimportRIP只接收10.1.0.0/16网段的路由RIP只发布10.2.0.0/16网段的路由[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource10.1.0.00.0.255.255[H3C-acl-basic-2000]ruledenysourceany[H3C]aclnumber2001[H3C-acl-basic-2001]rulepermitsource10.2.0.00.0.255.255[H3C-acl-basic-2001]ruledenysourceany[H3C]rip[H3C-rip]filter-policy2000import[H3C-rip]filter-policy2001export路由策略路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy前缀列表（ip-prefix）前缀列表（ip-prefix）通过IP地址以及掩码长度范围来定义一定的IP前缀范围。ipip-prefixip-prefix-name[indexindex-number]{permit|deny}networklen[greater-equalgreater-equal|less-equalless-equal]注意：地址前缀列表的各表项之间的过滤关系是“或”的关系，即通过一条表项的过滤就意味着通过该地址前缀列表的过滤。若没有通过任一表项的过滤，则通不过该地址前缀列表的过滤。前缀列表（ip-prefix）配置举例（一）#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为17或18的路由通过。[H3C]ipip-prefixp1permit10.0.192.08greater-equal17less-equal18上面的掩码长度8可以看做一个大的范围，即10.0.0.0/8；后面的掩码长度大于17小于18则表示一个较小的范围，因此实际匹配的网段为：10.0.128.0/17或10.0.192.0/18前缀列表（ip-prefix）配置举例（二）实际匹配的掩码长度范围8～17，实际匹配的网段为：10.0.0.0/8或10.0.0.0/9或……10.0.0.0/16或10.0.128.0/17#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为小于17路由通过。[H3C]ipip-prefixp1permit10.0.192.08less-equal17前缀列表（ip-prefix）配置举例（三）实际匹配的掩码长度范围18～32，实际匹配的网段为：10.0.192.0/18或10.0.192.0/19或……10.0.192.0/31或10.0.192.0/32#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为大于18的路由通过。[H3C]ipip-prefixp1permit10.0.192.08greater-equal18前缀列表（ip-prefix）配置举例（四）实际匹配的掩码长度范围8，实际匹配的网段为：10.0.0.0/8#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的路由通过。[H3C]ipip-prefixp1permit10.0.192.08利用前缀列表实现路由发布和接收策略（一）在BGP视图下，对BGP邻居（组）发布或接收路由时根据前缀列表（ip-prefix）规则进行路由过滤peer{group-name|peer-address}ip-prefixprefixname{import|export}从邻居1.1.1.1只接收10.0.128.0/17或10.0.192.0/18网段的路由（掩码和前缀必须完全匹配）[H3C]ipip-prefixp1permit10.0.192.08greater-equal17less-equal18[H3C]bgp65400[H3C-bgp]peer1.1.1.1ip-prefixp1import注意：对于单一的BGP邻居只能对接收的路由（import）进行过滤，对特定的BGP邻居组则可以对发布（export）和接收的路由都进行过滤。利用前缀列表实现路由发布和接收策略（二）在BGP/OSPF/RIP/IS-IS视图下，利用filter-policy根据前缀列表（ip-prefix）规则对发布或接收的路由进行过滤只接收来自由前缀列表（ip-prefix）规则所匹配的特定网关（路由器）的路由filter-policygatewayip-prefix-nameimport只发布或接收由前缀列表（ip-prefix）规则所匹配的路由filter-policyip-prefixip-prefix-nameimportfilter-policyip-prefixip-prefix-nameexport[protocol]只接收来自由前缀列表（ip-prefix）规则所匹配的特定网关（路由器），而且配置一定前缀列表（ip-prefix）规则的路由filter-policyip-prefixip-prefix-namegatewayip-prefix-nameimport利用前缀列表实现路由发布和接收策略（三）只接收来自BGP邻居10.1.1.1的路由[H3C]ipip-prefixp1permit10.1.1.132[H3C]bgp65400[H3C-bgp]filter-policygatewayp1import只发布和接收10.0.128.0/17或10.0.192.0/18网段的路由[H3C]ipip-prefixp1permit10.0.192.08greater-equal17less-equal18[H3C]bgp65400[H3C-bgp]filter-policyip-prefixp1import[H3C-bgp]filter-policyip-prefixp1export利用前缀列表实现路由发布和接收策略（四）只接收来自BGP邻居10.1.1.1，关于10.0.128.0/17或10.0.192.0/18网段的路由[H3C]ipip-prefixp1permit10.1.1.132[H3C]ipip-prefixp2permit10.0.192.08greater-equal17less-equal18[H3C]bgp65400[H3C-bgp]filter-policyip-prefixp2gatewayp1import路由策略路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy自治系统路径信息访问列表（as-pathlist）AS-path，也就是自治系统路径信息，是BGP路由的重要属性之一。而自治系统路径信息访问列表（as-pathlist）则主要利用正则表达式的方式来定义一组用于匹配AS-path列表的规则。ipas-path-aclaspath-acl-number{permit|deny}as-regular-expression正则表达式是按照一定的模板来匹配字符串的公式。常见的正则表达式符号符号说明^匹配一个字符串的开始。如“^200”表示只匹配AS_PATH的第一个值为200（“/b”也可用来表示字符串的开始）$匹配一个字符串的结束。如“200$”表示只匹配AS_PATH的最后一个值为200.匹配任何单个字符，包括空格。但是有些厂商实现的不一样，比如阿尔卡特的这个字符也可以匹配一个AS号。+匹配前面的一个字