策略路由與路由策略原理課件_第1頁(yè)
策略路由與路由策略原理課件_第2頁(yè)
策略路由與路由策略原理課件_第3頁(yè)
策略路由與路由策略原理課件_第4頁(yè)
策略路由與路由策略原理課件_第5頁(yè)
已閱讀5頁(yè),還剩27頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、策略路由與路由策略原理策略路由與路由策略原理如何對(duì)報(bào)文轉(zhuǎn)發(fā)的路徑進(jìn)行有效控制?如何對(duì)發(fā)布、接收、引入的路由信息進(jìn)行有效控制,提高網(wǎng)絡(luò)安全性?學(xué)完本課程之后您將會(huì)找到滿意的答案。前 言Page 1如何對(duì)報(bào)文轉(zhuǎn)發(fā)的路徑進(jìn)行有效控制?如何對(duì)發(fā)布、接收、引入的路參考資料操作手冊(cè)、命令手冊(cè)Page 2參考資料操作手冊(cè)、命令手冊(cè)目標(biāo)學(xué)習(xí)完此課程,您將會(huì):掌握策略路由基本原理掌握路由策略基本原理Page 3目標(biāo)學(xué)習(xí)完此課程,您將會(huì):內(nèi)容介紹第1章 策略路由原理第2章 路由策略原理Page 4內(nèi)容介紹第1章 策略路由原理策略路由的引入普通的報(bào)文轉(zhuǎn)發(fā)是依據(jù)報(bào)文的目的地址查詢轉(zhuǎn)發(fā)表來實(shí)現(xiàn)的。display ip

2、routing-table Routing Table: public netDestination/Mask Protocol Pre Cost Nexthop Interface0.0.0.0/0 RIP 100 1 200.200.203.2 GE11/1/00.0.0.0/32 RIP 100 1 200.200.203.2 GE11/1/01.0.0.0/8 STATIC 60 0 11.110.0.1 Ethernet12/2/04.4.4.0/24 DIRECT 0 0 4.4.4.4 Ethernet12/2/0.2004.4.4.4/32 DIRECT 0 0 127.0.0

3、.1 InLoopBack05.0.0.0/8 RIP 100 1 200.200.203.2 GE11/1/0 PC1PC2RTARTBRTCRTD S1/0/0E1/2/0Page 5策略路由的引入普通的報(bào)文轉(zhuǎn)發(fā)是依據(jù)報(bào)文的目的地址查詢轉(zhuǎn)發(fā)表來策略路由的引入(續(xù))普通的報(bào)文轉(zhuǎn)發(fā)是依據(jù)報(bào)文的目的地址查詢轉(zhuǎn)發(fā)表來實(shí)現(xiàn)的。但是遇到如下情況如何解決? 1、根據(jù)源IP來控制報(bào)文轉(zhuǎn)發(fā)。即控制來自PC1的報(bào)文通過接口S1/0/0轉(zhuǎn)發(fā),來自PC2的報(bào)文通過接口E1/2/0轉(zhuǎn)發(fā)口?2、根據(jù)報(bào)文的長(zhǎng)度來控制報(bào)文轉(zhuǎn)發(fā)。3、根據(jù)報(bào)文的其他屬性來控制報(bào)文轉(zhuǎn)發(fā)。PC1PC2RTARTBRTCRTD S1/0/0E1/

4、2/0Page 6策略路由的引入(續(xù))普通的報(bào)文轉(zhuǎn)發(fā)是依據(jù)報(bào)文的目的地址查詢轉(zhuǎn)策略路由概念策略路由是一種依據(jù)用戶制定的策略進(jìn)行路由選擇的機(jī)制,與單純依照IP報(bào)文的目的地址查找路由表進(jìn)行轉(zhuǎn)發(fā)不同,可應(yīng)用于安全、負(fù)載分擔(dān)等目的。VRP策略路由支持基于acl包過濾、地址長(zhǎng)度等信息,靈活地指定路由。而acl報(bào)文過濾則可以根據(jù)報(bào)文的源ip、目的ip、協(xié)議、端口號(hào)、優(yōu)先級(jí)、tos、時(shí)間段、vpn等各種豐富的信息將報(bào)文分類,然后控制將這些報(bào)文按照不同的路由轉(zhuǎn)發(fā)出去。Page 7策略路由概念策略路由是一種依據(jù)用戶制定的策略進(jìn)行路由選擇的機(jī)策略路由的分類按報(bào)文分類:分為單播策略路由(針對(duì)單播報(bào)文進(jìn)行控制)和組播

5、策略路由(只對(duì)組播報(bào)文進(jìn)行控制)。單播報(bào)文RTARTBRTCRTDRTFRTE我是組播策略,組播報(bào)文聽我指揮,該報(bào)文從接口e1/0和s0/0轉(zhuǎn)發(fā)我是單播策略,單播報(bào)文聽我指揮,該報(bào)文從接口e0/0轉(zhuǎn)發(fā)組播報(bào)文Page 8策略路由的分類按報(bào)文分類:分為單播策略路由(針對(duì)單播報(bào)文進(jìn)行策略路由的分類(續(xù))策略路由既可以應(yīng)用于被轉(zhuǎn)發(fā)的報(bào)文,又可以應(yīng)用于路由器本地產(chǎn)生的報(bào)文。前者稱為接口策略路由,后者稱為本地策略路由。接口策略路由只對(duì)轉(zhuǎn)發(fā)的報(bào)文起作用,對(duì)本地產(chǎn)生的報(bào)文(比如本地的ping報(bào)文)不起作用。而本地策略路由只對(duì)本地產(chǎn)生的報(bào)文起作用,對(duì)轉(zhuǎn)發(fā)的報(bào)文不起作用。接口策略路由配置在接口視圖下。 本地產(chǎn)生

6、的報(bào)文的策略路由配置在系統(tǒng)視圖下。注意:組播策略路由只支持轉(zhuǎn)發(fā)的報(bào)文,不對(duì)路由器本機(jī)產(chǎn)生的報(bào)文進(jìn)行策略路由。Page 9策略路由的分類(續(xù))策略路由既可以應(yīng)用于被轉(zhuǎn)發(fā)的報(bào)文,又可以匹配原則概述Route-policy : route_policy_name permit 10 : if-match acl 3000 if-match packet-length 100 500 apply output-interface Ethernet1/1/0 /有多個(gè)匹配項(xiàng) deny 20 : if-match acl 2000 /只有匹配項(xiàng) permit 30 : if-match acl 3100

7、permit 40 : apply output-interface Ethernet1/1/0 /只有操作項(xiàng) permit 50 : apply output-interface Ethernet1/1/0 deny 60 : /匹配項(xiàng)和操作項(xiàng)都沒有 permit 70 : permit 80 : if-match acl 3000 apply output-interface Ethernet1/1/0 serial1/0/0 apply ip-address next-hop 1.1.1.1 /有多個(gè)操作項(xiàng) Page 10匹配原則概述Route-policy : route_pol匹配項(xiàng)

8、匹配項(xiàng)就是if-match語句,根據(jù)這些匹配項(xiàng)將報(bào)文按照某個(gè)規(guī)則進(jìn)行分類,分為滿足規(guī)則和不滿足規(guī)則兩類。 定義什么節(jié)點(diǎn)?匹配否?PermitDenyMatch(所有條件都滿足)執(zhí)行退出不執(zhí)行退出Not match(任意一個(gè)不滿足)不執(zhí)行繼續(xù)不執(zhí)行繼續(xù)注意:1、只有滿足所有的ifmatch,才算匹配,即各匹配條件是與的關(guān)系。2、“匹配退出,不匹配繼續(xù)”的原則。即只要任意一個(gè)節(jié)點(diǎn)滿足匹配, 則不再繼續(xù)往下匹配,如果不匹配則繼續(xù)匹配下一個(gè)節(jié)點(diǎn)。Page 11匹配項(xiàng)匹配項(xiàng)就是if-match語句,根據(jù)這些匹配項(xiàng)將報(bào)文按操作項(xiàng)操作項(xiàng)就是apply語句,也就是滿足匹配項(xiàng)的報(bào)文將怎么處理、從哪個(gè)接口轉(zhuǎn)發(fā)出去

9、。route-policy n permit node 0 if-match acl 2000 if-match packet-length 100 500 apply ip-precedence priority apply output-interface Serial1/0/0 Ethernet1/1/0 apply default output-interface Serial1/0/0 apply ip-address next-hop 1.1.1.1 apply ip-address default next-hop 2.2.2.2 3.3.3.3 一個(gè)單播報(bào)文只能轉(zhuǎn)發(fā)一次,即只能

10、從某個(gè)接口轉(zhuǎn)發(fā)出去Page 12操作項(xiàng)操作項(xiàng)就是apply語句,也就是滿足匹配項(xiàng)的報(bào)文將怎么轉(zhuǎn)發(fā)接口的優(yōu)先級(jí)策略路由的出接口策略路由的下一跳路由表中下一跳策略路由的缺省出接口策略路由的缺省下一跳低高轉(zhuǎn)發(fā)優(yōu)先級(jí) 以上只針對(duì)單播報(bào)文,不包括組播報(bào)文。當(dāng)配置有優(yōu)先級(jí)高的策略,則優(yōu)先級(jí)低的配置將被忽略。單播策略路由可以同時(shí)配置兩個(gè)下一跳或設(shè)置兩個(gè)出接口,報(bào)文轉(zhuǎn)發(fā)將采用負(fù)載分擔(dān)的方式進(jìn)行。Page 13轉(zhuǎn)發(fā)接口的優(yōu)先級(jí)策略路由的出接口策略路由的下一跳路由表中下一報(bào)文匹配的其它策略 注意事項(xiàng):1、如果只添加一個(gè)節(jié)點(diǎn)而沒有任何匹配項(xiàng)和設(shè)置操作項(xiàng),則所有報(bào)文都匹配,不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計(jì)數(shù)字不改

11、變。2、如果添加一個(gè)節(jié)點(diǎn),只有匹配項(xiàng),沒有設(shè)置操作項(xiàng),則進(jìn)行匹配,但不執(zhí)行相應(yīng)的操作,不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計(jì)數(shù)字不改變。3、如果添加一個(gè)節(jié)點(diǎn),沒有匹配項(xiàng),有設(shè)置操作項(xiàng),則所有報(bào)文都匹配,根據(jù)permit/deny執(zhí)行相應(yīng)的操作,不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計(jì)數(shù)字改變。4、如果匹配項(xiàng)中使用的acl根本不存在,則缺省是不匹配任何報(bào)文。5、當(dāng)直接出接口指定為本地的以太網(wǎng)接口、子接口、Virtual-Template接口時(shí),雖然從指定接口轉(zhuǎn)發(fā),但不能正常通信,因?yàn)檫@幾個(gè)接口是廣播域,不能確定下一跳,因此必須指定為下一跳。 6、當(dāng)配置deny的節(jié)點(diǎn)時(shí),對(duì)于單播策略路由來說,節(jié)點(diǎn)的ap

12、ply 命令行等于沒配置一樣,數(shù)據(jù)包將走正常單播路由表轉(zhuǎn)發(fā),因此沒有deny的調(diào)試信息以及相應(yīng)的統(tǒng)計(jì)信息;對(duì)于組播策略路由來說,數(shù)據(jù)包將直接丟棄,不查詢組播路由表,有deny的調(diào)試信息以及相應(yīng)的統(tǒng)計(jì)信息。Page 14報(bào)文匹配的其它策略 注意事項(xiàng):4、如果匹配項(xiàng)中使用的acl根單播報(bào)文轉(zhuǎn)發(fā)流程YYYYYYY策略路由配置有出接口嗎?策略路由配置有下一跳嗎?路由表中有下一跳嗎?策略路由配置有缺省接口嗎?策略路由配置有缺省下一跳嗎?策略路由有設(shè)置優(yōu)先級(jí)嗎?丟棄該報(bào)文,發(fā)ICMP_UNREACH配置有本地策略路由嗎?本地報(bào)文發(fā)送流程按正常流程發(fā)送報(bào)文根據(jù)策略設(shè)置報(bào)文優(yōu)先級(jí)發(fā)送報(bào)文到該出接口發(fā)送報(bào)文到該

13、下一跳發(fā)送報(bào)文到該下一跳發(fā)送報(bào)文到該缺省下一跳結(jié)束發(fā)送報(bào)文到該缺省接口對(duì)來自外部的轉(zhuǎn)發(fā)報(bào)文首先判斷有接口策略路由嗎Page 15單播報(bào)文轉(zhuǎn)發(fā)流程YYYYYYY策略路由配置有出接口嗎?策略路組播策略路由和單播策略路由的區(qū)別:1、報(bào)文不一樣。單播報(bào)文就是以A、B、C類ip地址為目的地址的報(bào)文,組播報(bào)文就是以224.0.0.0239.255.255.255 為目的地址的報(bào)文。2、配置不一樣。組播策略路由的配置中apply必須包含acl。3、配置作用域不一樣。單播策略路由的配置僅對(duì)單播報(bào)文起作用,組播策略路由的配置僅對(duì)組播報(bào)文起作用。即apply中包含有acl的對(duì)組播報(bào)文起作用,對(duì)單播報(bào)文不起作用;

14、apply中不包含有acl的對(duì)單播報(bào)文起作用,對(duì)組播報(bào)文不起作用。4、當(dāng)單播同時(shí)配置有出接口和下一跳時(shí),則只從出接口轉(zhuǎn)發(fā),不從下一跳轉(zhuǎn)發(fā)。當(dāng)組播同時(shí)配置有出接口和下一跳時(shí),則既從各個(gè)出接口轉(zhuǎn)發(fā)(可能有多個(gè)),也從各個(gè)下一跳轉(zhuǎn)發(fā)(也可能有多個(gè)),但是最多只能從64個(gè)接口轉(zhuǎn)發(fā)。 Page 16組播策略路由和單播策略路由的區(qū)別:組播轉(zhuǎn)發(fā)邊界當(dāng)一個(gè)接口配置了組播轉(zhuǎn)發(fā)邊界以后,從該接口接收的報(bào)文和從該接口發(fā)出的報(bào)文(包括本機(jī)發(fā)出的報(bào)文)都將按照配置的acl策略進(jìn)行過濾。其中,對(duì)于從該接口接收的報(bào)文,先按照組播轉(zhuǎn)發(fā)邊界進(jìn)行過濾,再執(zhí)行可能的組播策略路由處理。組播轉(zhuǎn)發(fā)邊界可配置在所有支持組播報(bào)文轉(zhuǎn)發(fā)的接口上

15、。在入接口和出接口都進(jìn)行檢查。組播轉(zhuǎn)發(fā)邊界配置在接口視圖下:multicast packet-boundary acl-number 3000打開debug multicast forwarding 可以察看報(bào)文的丟棄信息。Page 17組播轉(zhuǎn)發(fā)邊界當(dāng)一個(gè)接口配置了組播轉(zhuǎn)發(fā)邊界以后,從該接口接收的組播轉(zhuǎn)發(fā)報(bào)文的最小TTL值 在接口上配置組播轉(zhuǎn)發(fā)報(bào)文的最小TTL值后,當(dāng)要將一個(gè)報(bào)文從該接口轉(zhuǎn)發(fā)出去時(shí)(包括本機(jī)發(fā)出的報(bào)文),對(duì)接口上配置的最小TTL值進(jìn)行檢查,若報(bào)文TTL值(報(bào)文TTL已在本路由器內(nèi)減1)大于接口上配置的最小TTL值,則轉(zhuǎn)發(fā)該報(bào)文;若報(bào)文TTL值小于或等于接口上配置的最小TTL值,

16、則丟棄該報(bào)文。組播轉(zhuǎn)發(fā)TTL值可配置在所有支持組播報(bào)文轉(zhuǎn)發(fā)的接口上。ttl檢測(cè)只有在出接口進(jìn)行。 組播轉(zhuǎn)發(fā)報(bào)文的最小TTL值 在接口視圖下:multicast minimum-ttl 200打開debug multicast forwarding 可以察看報(bào)文的丟棄信息。Page 18組播轉(zhuǎn)發(fā)報(bào)文的最小TTL值 在接口上配置組播轉(zhuǎn)發(fā)報(bào)文的最小T組播報(bào)文入接口組播邊界檢查配置組播策略路由嗎?滿足ifmatch條件嗎?出接口組播邊界檢查出接口TTL閾值檢查通過路由表轉(zhuǎn)發(fā)策略路由指定接口轉(zhuǎn)發(fā)YN組播報(bào)文策略路由的流程Page 19組播報(bào)文入接口組播邊界檢查配置組播策略路由嗎?滿足ifma問題請(qǐng)簡(jiǎn)要描

17、述單播報(bào)文轉(zhuǎn)發(fā)流程。請(qǐng)簡(jiǎn)要描述組播報(bào)文策略路由流程。Page 20問題請(qǐng)簡(jiǎn)要描述單播報(bào)文轉(zhuǎn)發(fā)流程。內(nèi)容介紹第1章 策略路由原理第2章 路由策略原理Page 21內(nèi)容介紹第1章 策略路由原理路由策略的作用過濾路由信息的手段發(fā)布路由信息時(shí)只發(fā)送部分信息接收路由信息時(shí)只接收部分信息進(jìn)行路由引入時(shí)引入滿足特定條件的信息支持等值路由設(shè)置路由協(xié)議引入的路由屬性Page 22路由策略的作用過濾路由信息的手段策略相關(guān)的五種過濾器路由策略(routing policy)設(shè)定匹配條件,屬性匹配后進(jìn)行設(shè)置,由if-match和apply字句組成訪問列表(access-list)用于匹配路由信息的目的網(wǎng)段地址或下一跳

18、地址,過濾不符合條件的路由信息前綴列表(prefix-list)匹配對(duì)象為路由信息的目的地址或直接作用于路由器對(duì)象(gateway)自治系統(tǒng)路徑信息訪問列表(aspath-list)僅用于BGP協(xié)議,匹配BGP路由信息的自治系統(tǒng)路徑域團(tuán)體屬性列表(community-list)僅用于BGP協(xié)議,匹配BGP路由信息的自治系統(tǒng)團(tuán)體域Page 23策略相關(guān)的五種過濾器路由策略(routing policy)路由策略與過濾器的關(guān)系在路由引入(import-route )時(shí)使用routing policyrouting policy由一系列的if-match子句和apply子句組成匹配AS-path時(shí)使

19、用AS-path list匹配Community時(shí)使用Community list匹配IP address時(shí)使用IP Prefix和Access list在路由發(fā)布(export)和路由接收(import)時(shí)使用地址前綴列表(IP Prefix)和訪問控制列表接收時(shí):IP Prefix、Access list和Gateway(特定路由器)發(fā)布時(shí):IP Prefix和Access listPage 24路由策略與過濾器的關(guān)系在路由引入(import-route 路由策略的執(zhí)行規(guī)則Routing policyaaaseq1seq2seq3match att1match att2match att3match att4match att5match att6根據(jù)seq1的apply子句進(jìn)行屬性設(shè)置通過seq1的所有If-match子句YN通過seq2的所有If-match子句根據(jù)seq2的apply子句

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論