路由控制和路由选择

Page 4
第1章 过滤的工具 第2章 路由策略 第3章 策略路由
Page 5
第1章 过滤工具
1.1 过滤的工具
Page 6
过滤的工具
五种过滤工具
z 访问控制列表（access-list）
> 用于匹配路由信息或者数据包的地址，过滤不符合条件的路由信息或数 据包
z 前缀列表（prefix-list）
Protocol RIP Direct Direct
RTB
R
11.0.0.0 OSPF
R
Import rip
RTA 10 RIP .0. 0.0
R
Loopback0:2.2.2.2/32
Page 21
路由引入
为什么要配置路由引入？
z z
部署不同路由协议的机构合并 不同的网络使用不同的协议，并且这些网络需要共享路由信息 > 简单的网络可以使用RIP > 网络类型复杂的可以选用OSPF > 大型骨干网络一般选用ISIS 网络协议的限制 > 比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适 合运行ISIS协议的 > 需要配置静态路由，然后把静态路由引入到ISIS
Page 11
过滤的工具
ASPATH 列表和正则表达式
字符 符号 特殊意义 匹配任意单字符 匹配模式中0或更多序列 匹配模式中1或更多序列 匹配模式0或一次出现 匹配输入字符串的开始 匹配输入字符串的结束 匹配逗号，括号，字符串的开始和结束，空格 表示一个单字符模式的范围 把一个范围的结束点分开
句号
z
Page 33
OSPF下发缺省路由
普通区域
z z
默认不产生缺省路由 在ASBR上配置 > 非强制下发：default-route-advertise − 当路由表中存在非本OSPF进程产生的活动缺省路由时下发 > 强制下发：default-route-advertise always − 不管路由表中是否存在缺省路由都下发 产生的LSA是TYPE5 LSA 这个LSA在整个路由域内泛洪
RTB
11.0.0.0
R R
OSPF
RTA
10 .0
Import static
.0. 0
R
Loopback0:2.2.2.2/32
Page 20
路由引入
引入其它路由协议路由
Dest. 2.0.0.0 10.0.0.0 11.0.0.0
Protocol OSPF OSPF Direct
Dest. 2.0.0.0 10.0.0.0 11.0.0.0
路由引入
路由引入要注意什么？(续)
z
7. Import isis
0 15
路由环路
SE
0 t. A 15 s e SE D A 3. st. e D 8.
R RTC
6.
De s
t. I SI S
15
RTB
R
2. Dest. ASE 150
3. De st. A
15
R
RTD
1. Import direct cost 2
12.12.12.0/24 6.6.6.6/32
RTA
RTB
Page 30
路由过滤
规则
z
在出方向过滤路由 > 只能过滤路由信息，链路状态信息是不能被过滤的
z
可以在入方向过滤路由 > 对于链路状态路由协议，仅仅是不把路由加入到路由表中
z
可以过滤从其它路由协议引入的路由 > 只能在出方向过滤 > 在入方向过滤是没有意义的
Internal
路由控制和路由选择
z如何对报文转发的路径进行有效
控制?如何对发布、接收、引入的 路由信息进行有效控制，提高网络 安全性?学完本课程之后您将会找 到满意的答案。
Page 2
参考资料
z
VRP 操作手册
Page 3
学习完此课程，您将会： > 理解过滤的各种工具及其作用 > 学会路由策略的各种应用 > 学会应用策略路由
Page 22
z
路由引入
路由引入要注意什么？
z
次优路由
ISI . t s De . 3 5 S1
2. Import rip
1. D est
R RTC
.R IP
1 00
RTA
R
4. De st. ISI S
R
.R est I 00 1 P
Loopback0:Dest.
RTD
15
R RTB
1.
D
Page 23
Page 18
wenku.baidu.com
路由引入
引入直连网络路由
Dest. 2.2.2.2 10.0.0.0 11.0.0.0 Protocol OSPF OSPF Direct Dest. 2.2.2.2 10.0.0.0 11.0.0.0 Protocol Direct Direct Direct
R
11.0.0.0 OSPF
z 路由策略（route-policy）
> 设定匹配条件，属性匹配后进行设置，由if-match和apply子句组成
Page 7
过滤的工具
访问控制列表
z
访问控制列表是由permit | deny语句组成的一系列有顺序的规则， 这些规则根据源地址、目的地址、端口号等来描述。 按照访问控制列表的用途，可以分为三类： > 基本的访问控制列表（basic acl） > 高级的访问控制列表（advanced acl） > 基于接口的访问控制列表（interface-based acl） 访问控制列表的使用用途是依靠数字的范围来指定的 > 2000～2999：基本的访问控制列表 > 3000～3999：高级的访问控制列表 > 1000～1999：基于接口的访问控制列表
R
RTD
1. Import direct cost 2
SE
RTE
15 0
De . 5
st
R RTA
Loopback0:Dest. 4. Import ospf-ase
R
Page 29
路由过滤的作用
精确控制路由引入和路由发布
12.12.12.0/24 6.6.6.6/32 192.168.1.0/24 192.168.2.0/24 10.1.1.0/24
避免路由环路
SE 0 A . t 15 s SE De A . 3 st. e D 8. 0 15
7. Import isis （ filter dest.）
过滤掉回馈路由
R RTC
6.
De s
t. I SI S
15
1 RTB
R
2. Dest. ASE 150
3. De st. A
IS . IS 15
z
使用filter-policy进行过滤
Page 31
第2章 路由策略
2.1 路由引入 2.2 路由过滤 2.3 下发缺省路由 2.4 使用路由协议优先级
Page 32
缺省路由
缺省路由的概念
z z
缺省路由是路由转发的最后选择 使用缺省路由的好处 > 减小路由表规模 > 配置简单 > 可以隐藏明细路由 > 可以减小路由波动范围 缺省路由的不足 > 配置不当容易形成路由环路
5 S1
ISI . t s De . 3
R RTC
1. D est
.R IP
1 00
RTA
R
4. De st. ISI S 15
R
.R est I 00 1 P
Loopback0:Dest.
RTD
R RTB
1.
D
过滤掉RTA通告给RTB的关于Dest.的路由，避免次优路由。
Page 28
路由过滤的作用
Page 10
过滤的工具
ASPATH 列表和正则表达式
z z
ASPATH列表用来过滤BGP的AS-PATH属性 ASPATH属性使用正则表达式来定义 > 举例 − 匹配所有AS-PATH属性 ip as-path-filter 10 permit .* − 匹配从AS100发起的路由ip as-path-filter 10 permit _100$ − 匹配从AS200接收的路由ip as-path-filter 10 permit ^200_
SE
RTE
15 0
5.
D
IS S I t. es
R RTA
R
Loopback0:Dest. 4. Import ospf-ase
Page 24
路由引入
路由引入要注意什么？(续)
开销值的变化 20
z
RTB
R
Import isis 1 cost 2
RTA
R
R
RTC
Loopback0:Dest.
Page 25
Page 8
z
z
过滤的工具
访问控制列表(续)
z
有两种匹配顺序： > 配置顺序 − 配置顺序，是指按照用户配置ACL的规则的先后进行匹配 > 自动排序 − 自动排序使用“深度优先”的原则 − “深度优先”规则是把指定范围最小的语句排在最前面
Page 9
过滤的工具
前缀列表
z z z z
前缀列表用来过滤IP前缀，能同时匹配前缀号和前缀长度 前缀列表的性能比访问控制列表高 前缀列表不能用于数据包的过滤 例：ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28 > 前缀号必须为10.0 > 24<=前缀长度<=28 > 满足条件的如10.0.1.0/24, 10.0.2.0/25, 10.0.2.192/26
Page 13
过滤的工具
Route-policy
z
一个routing policy下可以有多个节点，不同的节点号用seq-number 标识，不同seq-number各个部分之间的关系是“或”的关系 每个节点下可以有多个if-match和apply子句，if-match子句之间是 “与”的关系 允许模式：当路由项满足该节点的所有if-match子句时被允许通过 该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的 if-match子句，该路由策略的下一个节点将被测试 拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过 该节点的过滤，并且不会进行下一个节点的测试 If-match子句可以引用其它的过滤器
通过该 Routing policy
Page 15
第1章 过滤工具 第2章 路由策略 第3章 策略路由
Page 16
第2章 路由策略
2.1 路由引入 2.2 路由过滤 2.3 下发缺省路由 2.4 使用路由协议优先级
Page 17
路由引入
什么是路由引入？
z z
在一个路由协议中通告其它途径学习到的路由 “其它途径”包括 > 直连网络 > 静态路由 > 其它路由协议
星号
. *
+ ?
加号 问号
加字符 美元符 下划线 方括号 连字符
^ $
_ [范围] -
Page 12
过滤的工具
团体列表
z z
团体列表用来根据团体属性表示和过滤BGP路由 团体列表有基本的和高级的两种 > 基本团体列表用来匹配实际的团体属性值和常量 − ip community-filter 1 permit 100:1 100:2 − ip community-filter 1 permit 100:1 − ip community-filter 1 permit no-export > 高级团体列表可以使用正则表达式 − ip community-filter 100 permit ^10
> 匹配对象为路由信息的目的地址或直接作用于路由器对象（gateway）
z 自治系统路径信息访问列表（ as-path-filter）
> 仅用于BGP协议，匹配BGP路由信息的自治系统路径域
z 团体属性列表（ community-filter）
> 仅用于BGP协议，匹配BGP路由信息的自治系统团体域
第2章 路由策略
2.1 路由引入 2.2 路由过滤 2.3 下发缺省路由 2.4 使用路由协议优先级
Page 26
路由过滤的作用
作用
z z z
避免路由引入导致的次优路由 避免路由回馈导致的路由环路 进行精确的路由引入和路由通告控制
Page 27
路由过滤的作用
避免次优路由
2. Import rip
RTB
Import direct
RTA 10 .0
R
Loopback0:2.2.2.2/32
.0. 0
R
Page 19
路由引入
引入静态路由
Dest. Dest. 2.2.2.2 11.0.0.0 Protocol OSPF Direct 2.2.2.2 10.0.0.0 11.0.0.0 Protocol Static Direct Direct
z
z
z
z
Page 14
过滤的工具
Route-policy(续)
seq1 match att1 match att2 通过seq1的所有 If-match子句
Y
根据seq1的 apply子句进 行属性设置
通过该 Routing policy
N
通过seq2的所有 If-match子句
Routing policy RP1
seq2
match att3 match att4
Y
根据seq2的 apply子句进 行属性设置
通过该 Routing policy
N
match att5 match att6
通过seq3的所有 If-match子句
Y N
通不过该 Routing policy
seq3
根据seq3的 apply子句进 行属性设置