19策略路由與路由策略原理課件

策略路由與路由策略原理ISSUE1.0如何對(duì)報(bào)文轉(zhuǎn)發(fā)的路徑進(jìn)展有效把握?如何對(duì)公布、接收、引入的路由信息進(jìn)展有效把握，提高網(wǎng)絡(luò)安全性?學(xué)完本課程之后您將會(huì)找到滿足的答案。1學(xué)習(xí)指南本課程全套資料包括培訓(xùn)膠片、配套原理教材、多媒體課件、試題、演練案例和教師教學(xué)指導(dǎo)書，合理有效利用上述資料您將會(huì)取得良好的學(xué)習(xí)效果。2參考資料VRP3.30《操作手冊(cè)》、《命令手冊(cè)》3目標(biāo)學(xué)習(xí)完此課程，您將會(huì)：把握策略路由根本原理把握路由策略根本原理4第1章策略路由原理第2章路由策略原理5策略路由的引入一般的報(bào)文轉(zhuǎn)發(fā)是依據(jù)報(bào)文的目的地址查詢轉(zhuǎn)發(fā)表來(lái)實(shí)現(xiàn)的。<Quidway>displayiprouting-tableRoutingTable:publicnetDestination/MaskProtocolPreCostNexthopInterfacePC1PC2RTARTBRTCRTD

S1/0/0E1/2/06策略路由的引入(續(xù))一般的報(bào)文轉(zhuǎn)發(fā)是依據(jù)報(bào)文的目的地址查詢轉(zhuǎn)發(fā)表來(lái)實(shí)現(xiàn)的。但是遇到如下?tīng)顩r如何解決？1、依據(jù)源IP來(lái)把握?qǐng)?bào)文轉(zhuǎn)發(fā)。即把握來(lái)自PC1的報(bào)文通過(guò)接S1/0/0轉(zhuǎn)發(fā)，來(lái)自PC2的報(bào)文通過(guò)接口E1/2/0轉(zhuǎn)發(fā)口？2、依據(jù)報(bào)文的長(zhǎng)度來(lái)把握?qǐng)?bào)文轉(zhuǎn)發(fā)。3、依據(jù)報(bào)文的其他屬性來(lái)把握?qǐng)?bào)文轉(zhuǎn)發(fā)。PC1PC2RTARTBRTCRTD

S1/0/0E1/2/07策略路由概念策略路由是一種依據(jù)用戶制定的策略進(jìn)展路由選擇的機(jī)制，與單純依照IP報(bào)文的目的地址查找路由表進(jìn)展轉(zhuǎn)發(fā)不同，可應(yīng)用于安全、負(fù)載分擔(dān)等目的。VRP策略路由支持基于acl包過(guò)濾、地址長(zhǎng)度等信息，靈敏地指定路由。而acl報(bào)文過(guò)濾則可以依據(jù)報(bào)文的源ip、目的ip、協(xié)議、端口號(hào)、優(yōu)先級(jí)、tos、時(shí)間段、vpn等各種豐富的信息將報(bào)文分類，然后把握將這些報(bào)文依據(jù)不同的路由轉(zhuǎn)發(fā)出去。8策略路由的分類按報(bào)文分類：分為單播策略路由〔針對(duì)單播報(bào)文進(jìn)展把握〕和組播策略路由〔只對(duì)組播報(bào)文進(jìn)展把握〕。單播報(bào)文RTARTBRTCRTDRTFRTE我是組播策略，組播報(bào)文聽(tīng)我指揮，該報(bào)文從接口e1/0和s0/0轉(zhuǎn)發(fā)我是單播策略，單播報(bào)文聽(tīng)我指揮，該報(bào)文從接口e0/0轉(zhuǎn)發(fā)組播報(bào)文9策略路由的分類〔續(xù)〕策略路由既可以應(yīng)用于轉(zhuǎn)發(fā)報(bào)文，又可應(yīng)用于路由器本地產(chǎn)生的報(bào)文。前者稱為接口策略路由，后者稱為本地策略路由。接口策略路由只對(duì)轉(zhuǎn)發(fā)的報(bào)文起作用，對(duì)本地產(chǎn)生的報(bào)文〔比方本地的ping報(bào)文〕不起作用。而本地策略路由只對(duì)本地產(chǎn)生的報(bào)文起作用，對(duì)轉(zhuǎn)發(fā)的報(bào)文不起作用。接口策略路由配置在接口視圖下。本地產(chǎn)生的報(bào)文的策略路由配置在系統(tǒng)視圖下。留意：組播策略路由只支持轉(zhuǎn)發(fā)的報(bào)文，不對(duì)路由器本機(jī)產(chǎn)生的報(bào)文進(jìn)展策略路由。10匹配原則概述Route-policy:route_policy_namepermit10:if-matchacl3000if-matchpacket-length100500applyoutput-interfaceEthernet1/1/0//有多個(gè)匹配項(xiàng)deny20:if-matchacl2023//只有匹配項(xiàng)permit30:if-matchacl3100permit40: applyoutput-interfaceEthernet1/1/0//只有操作項(xiàng)permit50:applyoutput-interfaceEthernet1/1/0deny60://匹配項(xiàng)和操作項(xiàng)都沒(méi)有permit70:permit80:if-matchacl3000applyoutput-interfaceEthernet1/1/0serial1/0/0applyip-addressnext-hop1.1.1.1//有多個(gè)操作項(xiàng)

11匹配項(xiàng)匹配項(xiàng)就是if-match語(yǔ)句，依據(jù)這些匹配項(xiàng)將報(bào)文依據(jù)某個(gè)規(guī)章進(jìn)展分類，分為滿足規(guī)章和不滿足規(guī)章兩類。定義什么節(jié)點(diǎn)？匹配否？ PermitDenyMatch（所有條件都滿足）執(zhí)行退出不執(zhí)行退出Notmatch（任意一個(gè)不滿足）不執(zhí)行繼續(xù)不執(zhí)行繼續(xù)留意：1、只有滿足全部的if－match，才算匹配，即各匹配條件是與的關(guān)系。2、“匹配退出，不匹配連續(xù)”的原則。即只要任意一個(gè)節(jié)點(diǎn)滿足匹配，則不再連續(xù)往下匹配，假設(shè)不匹配則連續(xù)匹配下一個(gè)節(jié)點(diǎn)。12操作項(xiàng)操作項(xiàng)就是apply語(yǔ)句，也就是滿足匹配項(xiàng)的報(bào)文將怎么處理、從哪個(gè)接口轉(zhuǎn)發(fā)出去。route-policynpermitnode0if-matchacl2000if-matchpacket-length100500applyip-precedencepriorityapplyoutput-interfaceSerial1/0/0Ethernet1/1/0applydefaultoutput-interfaceSerial1/0/0applyip-addressnext-hop1.1.1.1applyip-addressdefaultnext-hop2.2.2.23.3.3.3一個(gè)單播報(bào)文只能轉(zhuǎn)發(fā)一次，即只能從某個(gè)接口轉(zhuǎn)發(fā)出去13轉(zhuǎn)發(fā)接口的優(yōu)先級(jí)策略路由的出接口策略路由的下一跳路由表中下一跳策略路由的缺省出接口策略路由的缺省下一跳低高轉(zhuǎn)發(fā)優(yōu)先級(jí)以上只針對(duì)單播報(bào)文，不包括組播報(bào)文。當(dāng)配置有優(yōu)先級(jí)高的策略，則優(yōu)先級(jí)低的配置將被無(wú)視。單播策略路由可以同時(shí)配置兩個(gè)下一跳或設(shè)置兩個(gè)出接口，報(bào)文轉(zhuǎn)發(fā)將承受負(fù)載分擔(dān)的方式進(jìn)展。14報(bào)文匹配的其它策略留意事項(xiàng)：1、假設(shè)只添加一個(gè)節(jié)點(diǎn)而沒(méi)有任何匹配項(xiàng)和設(shè)置操作項(xiàng)，則全部報(bào)文都匹配，不再連續(xù)往下匹配。但是策略路由的統(tǒng)計(jì)數(shù)字不轉(zhuǎn)變。2、假設(shè)添加一個(gè)節(jié)點(diǎn)，只有匹配項(xiàng)，沒(méi)有設(shè)置操作項(xiàng)，則進(jìn)展匹配，但不執(zhí)行相應(yīng)的操作，不再連續(xù)往下匹配。但是策略路由的統(tǒng)計(jì)數(shù)字不轉(zhuǎn)變。3、假設(shè)添加一個(gè)節(jié)點(diǎn)，沒(méi)有匹配項(xiàng)，有設(shè)置操作項(xiàng)，則全部報(bào)文都匹配，依據(jù)permit/deny執(zhí)行相應(yīng)的操作，不再連續(xù)往下匹配。但是策略路由的統(tǒng)計(jì)數(shù)字轉(zhuǎn)變。4、假設(shè)匹配項(xiàng)中使用的acl根本不存在，則缺省是不匹配任何報(bào)文。5、當(dāng)直接出接口指定為本地的以太網(wǎng)接口、子接口、Virtual-Template接口時(shí)，雖然從指定接口轉(zhuǎn)發(fā)，但不能正常通信，由于這幾個(gè)接口是播送域，不能確定下一跳，因此必需指定為下一跳。6、當(dāng)配置deny的節(jié)點(diǎn)時(shí)，對(duì)于單播策略路由來(lái)說(shuō)，節(jié)點(diǎn)的apply命令行等于沒(méi)配置一樣，數(shù)據(jù)包將走正常單播路由表轉(zhuǎn)發(fā)，因此沒(méi)有deny的調(diào)試信息以及相應(yīng)的統(tǒng)計(jì)信息；對(duì)于組播策略路由來(lái)說(shuō)，數(shù)據(jù)包將直接丟棄，不查詢組播路由表，有deny的調(diào)試信息以及相應(yīng)的統(tǒng)計(jì)信息。15單播報(bào)文轉(zhuǎn)發(fā)流程YYYYYYY策略路由配置有出接口嗎？策略路由配置有下一跳嗎？路由表中有下一跳嗎？策略路由配置有缺省接口嗎？策略路由配置有缺省下一跳嗎？策略路由有設(shè)置優(yōu)先級(jí)嗎？丟棄該報(bào)文，發(fā)ICMP_UNREACH配置有本地策略路由嗎？本地報(bào)文發(fā)送流程按正常流程發(fā)送報(bào)文根據(jù)策略設(shè)置報(bào)文優(yōu)先級(jí)發(fā)送報(bào)文到該出接口發(fā)送報(bào)文到該下一跳發(fā)送報(bào)文到該下一跳發(fā)送報(bào)文到該缺省下一跳結(jié)束發(fā)送報(bào)文到該缺省接口對(duì)來(lái)自外部的轉(zhuǎn)發(fā)報(bào)文首先判斷有接口策略路由嗎16組播策略路由和單播策略路由的區(qū)分：1、報(bào)文不一樣。單播報(bào)文就是以A、B、C類ip地址為目的地址的報(bào)文，組播報(bào)文就是以224.0.0.0~239.255.255.255為目的地址的報(bào)文。2、配置不一樣。組播策略路由的配置中apply必需包含acl。3、配置作用域不一樣。單播策略路由的配置僅對(duì)單播報(bào)文起作用，組播策略路由的配置僅對(duì)組播報(bào)文起作用。即apply中包含有acl的對(duì)組播報(bào)文起作用，對(duì)單播報(bào)文不起作用；apply中不包含有acl的對(duì)單播報(bào)文起作用，對(duì)組播報(bào)文不起作用。4、當(dāng)單播同時(shí)配置有出接口和下一跳時(shí)，則只從出接口轉(zhuǎn)發(fā)，不從下一跳轉(zhuǎn)發(fā)。當(dāng)組播同時(shí)配置有出接口和下一跳時(shí)，則既從各個(gè)出接口轉(zhuǎn)發(fā)〔可能有多個(gè)〕，也從各個(gè)下一跳轉(zhuǎn)發(fā)〔也可能有多個(gè)〕，但是最多只能從64個(gè)接口轉(zhuǎn)發(fā)。17組播轉(zhuǎn)發(fā)邊界當(dāng)一個(gè)接口配置了組播轉(zhuǎn)發(fā)邊界以后，從該接口接收的報(bào)文和從該接口發(fā)出的報(bào)文〔包括本機(jī)發(fā)出的報(bào)文〕都將依據(jù)配置的acl策略進(jìn)展過(guò)濾。其中，對(duì)于從該接口接收的報(bào)文，先依據(jù)組播轉(zhuǎn)發(fā)邊界進(jìn)展過(guò)濾，再執(zhí)行可能的組播策略路由處理。組播轉(zhuǎn)發(fā)邊界可配置在全部支持組播報(bào)文轉(zhuǎn)發(fā)的接口上。在入接口和出接口都進(jìn)展檢查。組播轉(zhuǎn)發(fā)邊界配置在接口視圖下：multicastpacket-boundaryacl-number3000翻開(kāi)debugmulticastforwarding可以觀看報(bào)文的丟棄信息。18組播轉(zhuǎn)發(fā)報(bào)文的最小TTL值在接口上配置組播轉(zhuǎn)發(fā)報(bào)文的最小TTL值后，當(dāng)要將一個(gè)報(bào)文從該接口轉(zhuǎn)發(fā)出去時(shí)〔包括本機(jī)發(fā)出的報(bào)文〕，對(duì)接口上配置的最小TTL值進(jìn)展檢查，假設(shè)報(bào)文TTL值〔報(bào)文TTL已在本路由器內(nèi)減1〕大于接口上配置的最小TTL值，則轉(zhuǎn)發(fā)該報(bào)文；假設(shè)報(bào)文TTL值小于或等于接口上配置的最小TTL值，則丟棄該報(bào)文。組播轉(zhuǎn)發(fā)TTL值可配置在全部支持組播報(bào)文轉(zhuǎn)發(fā)的接口上。ttl檢測(cè)只有在出接口進(jìn)展。組播轉(zhuǎn)發(fā)報(bào)文的最小TTL值在接口視圖下：multicastminimum-ttl200翻開(kāi)debugmulticastforwarding可以觀看報(bào)文的丟棄信息。19組播報(bào)文入接口組播邊界檢查配置組播策略路由嗎？滿足if－match條件嗎？出接口組播邊界檢查出接口TTL閾值檢查通過(guò)路由表轉(zhuǎn)發(fā)策略路由指定接口轉(zhuǎn)發(fā)YN組播報(bào)文策略路由的流程20問(wèn)題請(qǐng)簡(jiǎn)要描述單播報(bào)文轉(zhuǎn)發(fā)流程。請(qǐng)簡(jiǎn)要描述組播報(bào)文策略路由流程。21第1章策略路由原理第2章路由策略原理22路由策略的作用過(guò)濾路由信息的手段公布路由信息時(shí)只發(fā)送局部信息接收路由信息時(shí)只接收局部信息進(jìn)展路由引入時(shí)引入滿足特定條件的信息支持等值路由設(shè)置路由協(xié)議引入的路由屬性23策略相關(guān)的五種過(guò)濾器路由策略〔routingpolicy〕設(shè)定匹配條件，屬性匹配后進(jìn)展設(shè)置，由if-match和apply字句組成訪問(wèn)列表〔access-list〕用于匹配路由信息的目的網(wǎng)段地址或下一跳地址，過(guò)濾不符合條件的路由信息前綴列表〔prefix-list〕匹配對(duì)象為路由信息的目的地址或直接作用于路由器對(duì)象〔gateway〕自治系統(tǒng)路徑信息訪問(wèn)列表〔aspath-list〕僅用于BGP協(xié)議，匹配BGP路由信息的自治系統(tǒng)路徑域團(tuán)體屬性列表〔community-list〕僅用于BGP協(xié)議，匹配BGP路由信息的自治系統(tǒng)團(tuán)體域24路由策略與過(guò)濾器的關(guān)系在路由引入〔import-route〕時(shí)使用routingpolicyroutingpolicy由一系列的if-match子句和apply子句組成匹配AS-path時(shí)使用AS-pathlist匹配Community時(shí)使用Communitylist匹配IPaddress時(shí)使用IPPrefix和Accesslist在路由公布〔export〕和路由接收〔import〕時(shí)使用地址前綴列表〔IPPrefix〕和訪問(wèn)把握列表接收時(shí)：IPPrefix、Accesslist和Gateway〔特定路由器〕公布時(shí)：IPPrefix和Accesslist25路由策略的執(zhí)行規(guī)章Routingpolicyaaaseq1seq2seq3matchatt1matchatt2matchatt3matchatt4matchatt5matchatt6根據(jù)seq1的apply子句進(jìn)行屬性設(shè)置通過(guò)seq1的所有If-match子句YN通過(guò)seq2的所有If-match子句根據(jù)seq2的apply子句進(jìn)行屬性設(shè)置通過(guò)該RoutingpolicyY通過(guò)該Routingpolicy通過(guò)seq3的所有If-match子句根據(jù)seq3的apply子句進(jìn)行屬性設(shè)置通過(guò)該RoutingpolicyY通不過(guò)該RoutingpolicyNN26AS正則表達(dá)式27策略路由與路由策略的區(qū)分策略路由與路由策