路由策略、策略路由

1、華為3Com培訓中心路由策略與策略路由路由策略與策略路由2路由策略：針對路由信息的策略路由策略：針對路由信息的策略策略路由：使用策略，進行路由轉發(fā)策略路由：使用策略，進行路由轉發(fā)3路由協(xié)議進行路由控制的最有力的手段路由協(xié)議進行路由控制的最有力的手段在發(fā)布和接受路由時可以說在發(fā)布和接受路由時可以說“不不”在發(fā)布和接受路由時可以更改路由的屬性在發(fā)布和接受路由時可以更改路由的屬性 總之一句話：一切盡在掌握總之一句話：一切盡在掌握4Route-policy設定匹配條件，屬性匹配后進行設置，由設定匹配條件，屬性匹配后進行設置，由if-match和和apply子句完成子句完成訪問控制列表（訪問控制列表（A

2、CL） 用于匹配路由信息的目的網段地址或下一跳地址，過濾不符合條件的路用于匹配路由信息的目的網段地址或下一跳地址，過濾不符合條件的路由信息由信息前綴列表（前綴列表（ip-prefix） 作用類似于作用類似于acl，但比它更為靈活，但比它更為靈活 自治系統(tǒng)路徑信息訪問列表（自治系統(tǒng)路徑信息訪問列表（as-path list ） 僅用于僅用于BGP協(xié)議，匹配協(xié)議，匹配BGP路由信息的自治系統(tǒng)路徑域路由信息的自治系統(tǒng)路徑域團體屬性列表（團體屬性列表（community-list ） 僅用于僅用于BGP協(xié)議，匹配協(xié)議，匹配BGP路由信息的自治系統(tǒng)團體域路由信息的自治系統(tǒng)團體域其中其中Route-pol

3、icy是最常用和功能最強大的是最常用和功能最強大的5route-policy route-policy-name permit | deny node node-number if-match 條件條件1 if-match 條件條件2 . apply 指定動作指定動作同一節(jié)點中的不同同一節(jié)點中的不同if-match子句是子句是“與與”的關系的關系 一個一個Route-policy的不同節(jié)點間是的不同節(jié)點間是“或或”的關系的關系 6 If-match子句：子句：if-match as-path if-match communityif-match acl acl-number | ip-pref

4、ix ip-prefix-name if-match interface interface-type number if-match ip next-hop acl acl-number | ip-prefix ip-prefix-name if-match cost value if-match tag value 7apply子句：子句：apply as-path as-number-1 as-number-2 as-number-3 . apply community apply ip-addressapply isis level-1 | level-2 | level-1-2 ap

5、ply local-preference localpref apply cost value apply cost-type internal | external apply origin igp | egp as-number | incomplete apply tag value 8acl number acl-number match-order config | auto rule 規(guī)則1 rule 規(guī)則2 應用最廣泛的過濾器，常見于防火墻、路由策略等應用應用最廣泛的過濾器，常見于防火墻、路由策略等應用9ip ip-prefix ip-prefix-name index inde

6、x-number permit | deny network len greater-equal greater-equal | less-equal less-equal ip-prefix在應用于路由信息的過濾時，其匹配對象為路由信在應用于路由信息的過濾時，其匹配對象為路由信息的目的地址信息域；息的目的地址信息域；另外在另外在ip-prefix中，用戶可以指定中，用戶可以指定gateway選項，指明只接選項，指明只接收某些路由器發(fā)布的路由信息。收某些路由器發(fā)布的路由信息。 10定義定義AS的正則表達式的正則表達式 ：ip as-path-acl aspath-acl-number perm

7、it | deny as-regular-expression創(chuàng)建策略路由創(chuàng)建策略路由route-policy route-policy-name permit | deny node node-number if-match as-path 引用引用as-path-acl apply 指定動作指定動作as-path就是針對自治系統(tǒng)路徑域指定匹配條件。就是針對自治系統(tǒng)路徑域指定匹配條件。11AS正則表達式：正則表達式：字符字符符號符號特殊意義特殊意義句號 .匹配任意單字符星號 *匹配模式中0或更多的序列加號 +匹配模式中1或更多的序列問號 ?匹配模式0或1次出現加字符 匹配輸入字符串的開始美元

8、符 $匹配輸入字符串的結束下劃線 _匹配逗號，括號，字符串的開始和結束，空格方括號 范圍表示一個單字符模式的范圍連字符 -把一個范圍的結束點分開12例子：例子：_300$匹配所有源自匹配所有源自AS300始發(fā)的路徑始發(fā)的路徑300_最后經過的最后經過的AS為為300的路徑的路徑300$僅指源于僅指源于AS300且未經過任何其他且未經過任何其他AS的路由的路由_100_經過經過AS100的路徑的路徑.* 所有所有AS路徑路徑$“不經過任何不經過任何AS路徑，即本地始發(fā)的路由路徑，即本地始發(fā)的路由”13例子：例子：配置團體屬性列表配置團體屬性列表：ip community-list 創(chuàng)建策略路由創(chuàng)

9、建策略路由route-policy route-policy-name permit | deny node node-number if-match community 引用團體屬性列表引用團體屬性列表 apply 指定動作指定動作community-list就是針對團體屬性域指定匹配條件。就是針對團體屬性域指定匹配條件。14引入路由信息引入路由信息 import-route protocol med med | cost cost tag value type 1 | 2 route-policy route-policy-name 過濾接受的路由信息過濾接受的路由信息 filter-po

10、licy gateway ip-prefix-name import filter-policy acl-number | ip-prefix ip-prefix-name gateway import 對于鏈路狀態(tài)協(xié)議來說，它是在由對于鏈路狀態(tài)協(xié)議來說，它是在由LSDB生成路由表時進行過濾，因為無法對生成路由表時進行過濾，因為無法對 LSA進行過濾。進行過濾。 RIP和和BGP協(xié)議是對鄰居發(fā)來的路由表直接過濾。協(xié)議是對鄰居發(fā)來的路由表直接過濾。過濾發(fā)布的路由信息過濾發(fā)布的路由信息 filter-policy acl-number | ip-prefix ip-prefix-name expo

11、rt routing-process 15實現實現192.1.0.0/24 和和128.2.0.0/16 的路由信息的路由信息以不同的路由權值被以不同的路由權值被OSPF協(xié)議發(fā)布協(xié)議發(fā)布 校園網地區(qū)性網絡128.1.0.1128.2.0.0/16192.1.0.0/24128.1.0.0/1616# 定義地址前綴列表Routerip ip-prefix p1 permit 192.1.1.0/24 Routerip ip-prefix p2 permit 128.2.0.0/16 # 配置路由策略Routerroute-policy r1 permit 10 Router-route-poli

12、cyif-match ip address ip-prefix p1 Router-route-policy apply cost 120Router-route-policyroute-policy r1 permit 20 Router-route-policyif-match ip address ip-prefix p2 Router-route-policy apply cost 100# 配置OSPF協(xié)議Router-ospf-1 import-route rip route-policy r1 17在在Router B上配置路由過濾規(guī)則，使接收到的三條靜態(tài)路由部分可見，上配置路由

13、過濾規(guī)則，使接收到的三條靜態(tài)路由部分可見，部分被屏蔽掉部分被屏蔽掉20.0.0.0和和40.0.0.0網段的路由是可見的，網段的路由是可見的，30.0.0.0網段網段的路由則被屏蔽的路由則被屏蔽 Serial1/0/0 10.0.0.1/8Serial1/0/0 10.0.0.2/8Static: 20.0.0.130.0.0.140.0.0.1Area 0Router ARouter B1.1.1.12.2.2.218# 配置訪問控制列表。配置訪問控制列表。Router B acl number 2001Router B-acl-basic-2001 rule deny source 30.

14、0.0.0 0.255.255.255Router B-acl-basic-2001 rule permit source any# 配置配置OSPF對接收的外部路由進行過濾。對接收的外部路由進行過濾。Router B-ospf-1 filter-policy 2001 import19路由器連接了校園網路由器連接了校園網A和校園網和校園網B，都它們都使用，都它們都使用RIP作為內作為內部路由協(xié)議，路由器僅將校園網部路由協(xié)議，路由器僅將校園網A中的中的192.1.1.0/24和和192.1.2.0/24兩個網段的路由發(fā)布到校園網兩個網段的路由發(fā)布到校園網B中去。中去。 校園網A校園網B192.

15、1.0.0202.1.1.020# 配置地址前綴列表配置地址前綴列表Routerip ip-prefix p1 permit 192.1.1.0/24 Routerip ip-prefix p1 permit 192.1.2.0/24# 配置配置RIP協(xié)議協(xié)議Routerrip Router-ripnetwork 192.1.0.0 Router-ripnetwork 202.1.1.0 Router-ripfilter-policy ip-prefix p1 export21傳統(tǒng)路由傳統(tǒng)路由：單純依照：單純依照IP報文的目的地址查找路由表進行轉發(fā)報文的目的地址查找路由表進行轉發(fā)策略路由策略路

16、由：依據用戶制定的策略進行路由選擇的機制：依據用戶制定的策略進行路由選擇的機制 策略路由更加靈活策略路由更加靈活策略路由可應用于安全、負載分擔等目的策略路由可應用于安全、負載分擔等目的22接口策略路由與本地策略路由之比較：接口策略路由與本地策略路由之比較： 配置模式 作用報文接口策略路由接口策略路由 接口視圖下接口視圖下 到達該接口的報文到達該接口的報文 本地策略路由本地策略路由 系統(tǒng)視圖下系統(tǒng)視圖下 本機產生的報文本機產生的報文 23接口策略路由與本地策略路由之比較：接口策略路由與本地策略路由之比較： 配置模式 作用報文接口策略路由接口策略路由 接口視圖下接口視圖下 到達該接口的報文到達該接

17、口的報文 本地策略路由本地策略路由 系統(tǒng)視圖下系統(tǒng)視圖下 本機產生的報文本機產生的報文 24route-policy route-policy-name permit | deny node node-number if-match 條件條件 apply 指定動作指定動作25if-match子句子句 （支持兩種）（支持兩種） if-match packet-length min-len max-len if-match acl acl-number Apply子句子句 （支持五種）（支持五種） apply ip-precedence precedence apply output-interf

18、ace interface-type interface-number . interface-type interface-number apply ip-address next-hop ip-address . ip address apply default output-interface interface-type interface-number . interface-type interface-number apply ip-address default next-hop ip-address . ip address 26控制所有從以太網口控制所有從以太網口E3/0/0接口接收的接口接收的TCP報文，使用串口報文，使用串口serial1/0/0發(fā)送發(fā)送對其它報文，仍然按照查找路由表的方式進行轉發(fā)對其它報文，仍然按照查找路由表的方式進行轉發(fā)LAN A 10.110.0.0/255.255.0.0S2/0/0S1/0/0E3/0/0路徑1InternetRouter27# 定義訪問控制列表。定義訪問