路由策略與策略路由

1、V1.0數(shù)據(jù)用服部?jī)?nèi)部公開(kāi) 內(nèi)部公開(kāi)學(xué)習(xí)目標(biāo)學(xué)習(xí)目標(biāo) 了解路由策略的作用 掌握定義路由策略的方法 熟悉路由策略的應(yīng)用 了解策略路由的作用 熟悉策略路由的應(yīng)用內(nèi)部公開(kāi) 內(nèi)部公開(kāi)學(xué)習(xí)內(nèi)容學(xué)習(xí)內(nèi)容 第一章 路由策略 第二章 策略路由內(nèi)部公開(kāi) 內(nèi)部公開(kāi)學(xué)習(xí)內(nèi)容學(xué)習(xí)內(nèi)容 第一章第一章 路由策略路由策略 第一節(jié) 路由策略的作用 第二節(jié) 路由策略的定義方法 第三節(jié) 常見(jiàn)的路由策略的應(yīng)用 內(nèi)部公開(kāi)問(wèn)題一：?jiǎn)栴}一：B路由器需要對(duì)A路由器發(fā)布的路由進(jìn)行選擇，只接收20.1.1.1/32網(wǎng)段的路由，屏蔽30.1.1.1/32網(wǎng)段的路由問(wèn)題二：?jiǎn)栴}二：A路由器只對(duì)B發(fā)布本AS100域內(nèi)產(chǎn)生的路由，其他路由條目出于安全

2、考慮，需要對(duì)B屏蔽問(wèn)題三：?jiǎn)栴}三：路由器B需要路由器優(yōu)先選擇10.1.1.0/32網(wǎng)段的鏈路通往AS100AS100AS20010.1.1.1/3010.1.1.2/3020.1.1.1/3020.1.1.2/30Lo0:30.1.1.1/32Lo1:20.1.1.1/32ABAB什么是路由策略什么是路由策略 內(nèi)部公開(kāi)需要一個(gè)有效的方法解決上面的問(wèn)題！需要一個(gè)有效的方法解決上面的問(wèn)題！路由策略路由策略路由策略的作用路由策略的作用n過(guò)濾發(fā)布和接收的路由信息n靈活地控制路由屬性 內(nèi)部公開(kāi)問(wèn)題一解決方案：?jiǎn)栴}一解決方案：B路由器通過(guò)使用路由策略過(guò)濾接收的路由信息，只接收20.1.1.1/32網(wǎng)段的路

3、由，屏蔽30.1.1.1/32網(wǎng)段的路由問(wèn)題二解決方案：?jiǎn)栴}二解決方案：A路由器通過(guò)路由策略過(guò)濾對(duì)B發(fā)布的路由信息，只發(fā)布只本AS100域內(nèi)產(chǎn)生的路由，其他路由不對(duì)B發(fā)布問(wèn)題三解決方案：?jiǎn)栴}三解決方案：路由器B通過(guò)使用路由策略修改由10.1.1.0/30網(wǎng)段鏈路接收到的路由條目的優(yōu)先級(jí)，使其優(yōu)先級(jí)高于從20.1.1.0/30網(wǎng)段鏈路學(xué)習(xí)到的路由條目用路由策略解決這些問(wèn)題用路由策略解決這些問(wèn)題AS100AS20010.1.1.1/3010.1.1.2/3020.1.1.1/3020.1.1.2/30Lo0:30.1.1.1/32Lo1:20.1.1.1/32ABAB內(nèi)部公開(kāi) 內(nèi)部公開(kāi)學(xué)習(xí)內(nèi)容學(xué)習(xí)

4、內(nèi)容 第一章第一章 路由策略路由策略 第一節(jié) 路由策略的作用 第二節(jié) 路由策略的定義方法 第三節(jié) 常見(jiàn)的路由策略的應(yīng)用 內(nèi)部公開(kāi)路由策略的定義方法路由策略的定義方法(1)n路由映像路由映像(route-map) 根據(jù)匹配條件進(jìn)行設(shè)置，主要由match和set語(yǔ)句組成n訪問(wèn)控制列表訪問(wèn)控制列表(access control list) 用于配置匹配條件n前綴列表前綴列表(prefix-list ) 作用類似ACL，用于配置匹配條件，可單獨(dú)使用，也可與路由映像、area filter-list結(jié)合使用n自治系統(tǒng)路徑訪問(wèn)列表自治系統(tǒng)路徑訪問(wèn)列表(as-path access-list ) 僅針對(duì)BG

5、P協(xié)議，用于匹配BGP路由信息的自治系統(tǒng)路徑域，與路由映像結(jié)合使用 內(nèi)部公開(kāi)路由策略的定義方法路由策略的定義方法(2)n團(tuán)體屬性列表團(tuán)體屬性列表(community-list) 僅針對(duì)BGP協(xié)議，用于匹配BGP路由信息的自治系統(tǒng)團(tuán)體域，與路由映像結(jié)合使用nOSPF路由過(guò)濾器路由過(guò)濾器(filter) 僅針對(duì)OSPF協(xié)議，用于過(guò)濾Type-5、Type-7 LSAnOSPF區(qū)域過(guò)濾列表區(qū)域過(guò)濾列表(area filter-list) 僅針對(duì)OSPF協(xié)議區(qū)域間路由過(guò)濾，過(guò)濾Type-3 LSA 內(nèi)部公開(kāi)route-mapnroute-map permit|deny match 匹配條件匹配條件 s

6、et 動(dòng)作動(dòng)作lroute-map由一系列的match子句和set子句組成l序列號(hào)小的先執(zhí)行l(wèi)匹配AS-path時(shí)使用as-path access-listl匹配community時(shí)使用community-listl匹配IP address時(shí)使用access-list 內(nèi)部公開(kāi)route-mapmatch語(yǔ)句語(yǔ)句nmatch的匹配條件的匹配條件lmatch ip address | prefix-list lmatch metric lmatch tag lmatch as-path lmatch community-list lmatch route-type | external 內(nèi)部公開(kāi)

7、route-mapset語(yǔ)句語(yǔ)句nset可以執(zhí)行的動(dòng)作可以執(zhí)行的動(dòng)作lset as-path prepend lset community no-advertise | no-export | no-export-subconfed lset dampening lset local-preference lset metric +|- lset metric-type internal | external | type-1 | type-2 lset origin igp | egp | incomplete lset tag 內(nèi)部公開(kāi)route-map示例示例n定義一個(gè)名為test的ro

8、ute-maproute-map test permit 2 /sequence-number為2 match set route-map test permit 3 /sequence-number為3 match set n該示例中，route-map由2個(gè)部分組成，sequence-number為2的部分將優(yōu)先執(zhí)行。如果匹配了sequence-number為2的match部分，則對(duì)匹配的部分進(jìn)行相應(yīng)的set操作，如果不匹配sequence-number為2的部分，則繼續(xù)匹配下一跳sequence-number為3的部分。如果都不匹配，默認(rèn)為deny，此路由條目將不被發(fā)布或者接收。 內(nèi)部公

9、開(kāi)route-map執(zhí)行原則執(zhí)行原則(1)n組合一：access-list 1 permit 1.1.1.1 0.0.0.0route-map redistribute permit 10match ip address 1set metric 300router ospf 100redistribute static route-map redistribute 結(jié)果：結(jié)果： 重分發(fā)成功重分發(fā)成功,指向指向1.1.1.1的靜態(tài)路由被重分發(fā)到的靜態(tài)路由被重分發(fā)到OSPF,并且并且METRIC值被設(shè)置為值被設(shè)置為300 內(nèi)部公開(kāi)route-map執(zhí)行原則執(zhí)行原則(2)n組合二：access-li

10、st 1 permit 1.1.1.1 0.0.0.0route-map redistribute deny 10match ip address 1set metric 120router ospf 100redistribute static route-map redistribute 結(jié)果：結(jié)果： 所有的靜態(tài)路由都不能夠重分發(fā)所有的靜態(tài)路由都不能夠重分發(fā) 內(nèi)部公開(kāi)route-map執(zhí)行原則執(zhí)行原則(3)n組合三：access-list 1 deny 1.1.1.1 0.0.0.0access-list 1 permit anyroute-map redistribute deny 10

11、match ip address 1 set metric 300route-map redistribute permit 20router ospf 100redistribute static route-map redistribute 結(jié)果：結(jié)果： 指向指向1.1.1.1的靜態(tài)路由被重分發(fā)到的靜態(tài)路由被重分發(fā)到OSPF,但是但是metric值使用默值使用默認(rèn)值。其他靜態(tài)路由不能夠被重分發(fā)。認(rèn)值。其他靜態(tài)路由不能夠被重分發(fā)。 內(nèi)部公開(kāi)ACLn最常用的用于設(shè)置匹配條件的方法l標(biāo)準(zhǔn)ACL，只能以源地址作為過(guò)濾條件 access-list deny | permit l擴(kuò)展ACL，可以源和目

12、的地址、源和目的端口、協(xié)議類型作為精確的過(guò)濾條件 access-list permit | deny source destination 內(nèi)部公開(kāi)prefix-listn設(shè)置匹配條件的方法，與access-list類似l ip prefix-list prefix-list name permit | deny network length ge greater-equal | le less-equal 注：length ge-value le-value32 n地址前綴范圍有兩部分，分別由length與ge、le來(lái)確定。若兩部分前綴范圍都被指定，則待過(guò)濾的IP必須同時(shí)匹配這兩部分的前綴范

13、圍。 例如：zxr10(config)# ip prefix-list test permit 10.1.1.0 8 ge 15 le 16 該條地址前綴列表表示：過(guò)濾發(fā)布IP地址的前8位必須與10.1.1.0匹配， 其子網(wǎng)掩碼在1516位的路由條目思考一下：這樣一條路由條目10.1.3.0/9是否能匹配該前綴列表？10.1.4.0/15呢，是否能匹配該前綴列表？ 內(nèi)部公開(kāi)as-path access-listn定義AS路徑的表達(dá)式lAS路徑記錄了BGP路由信息經(jīng)過(guò)的AS系統(tǒng)lip as-path access-list permit|deny n使用as-path access-list作為

14、定義路由策略的方法僅適用于BGP協(xié)議 內(nèi)部公開(kāi)as-path access-listAS正則表達(dá)式正則表達(dá)式字符字符含義含義$輸入字符串的結(jié)束輸入字符串的結(jié)束.任意單字符任意單字符_字符串的開(kāi)始和結(jié)束字符串的開(kāi)始和結(jié)束輸入字符串的開(kāi)始輸入字符串的開(kāi)始nAS路徑的正則表達(dá)式用來(lái)定義匹配BGP路由信息的AS路徑條件 內(nèi)部公開(kāi)as-path access-listAS正則表達(dá)式示例正則表達(dá)式示例表達(dá)式表達(dá)式含義含義$ 不經(jīng)過(guò)任何AS路徑，即本地始發(fā)的路由 100$ 僅指源于AS100且未經(jīng)過(guò)任何其他AS的路由 _100$ 匹配所有源自AS100始發(fā)的路徑 _100_ 經(jīng)過(guò)AS100的路徑 100_

15、最后經(jīng)過(guò)的AS為100的路徑 內(nèi)部公開(kāi)as-path access-list配置示例配置示例n 作為路由策略的匹配方法，as-path access-list往往不單獨(dú)使用，我們通常使用as-path access-list作為route-map中match語(yǔ)句的匹配條件 n 配置示例：route-map test permit 3 match as-path 10 set動(dòng)作ip as-path access-list 10 permit $ /as-path access-list10 為允許從自己開(kāi)始到自己結(jié)束的AS路徑 內(nèi)部公開(kāi)community-listn定義團(tuán)體屬性列表的表達(dá)式ip

16、 community-list permit|deny n與route-map的配合使用的示例 route-map test permit 3 match community-list 1 set 動(dòng)作 ip community-list 1 deny 5 ip community-list 1 permit any /community-list 1表示團(tuán)體5的路由之外，允許其它所有路由n團(tuán)體屬性列表community-list僅用于BGP協(xié)議。BGP協(xié)議的路由信息包中，包含一個(gè)community屬性字段 內(nèi)部公開(kāi)filternfilter定義：lOSPF路由配置模式下：filter exa

17、ct l在路由表中，配置了filter的路由才允許進(jìn)入，如果沒(méi)有配置則全部deny。用此命令可過(guò)濾LSA為5類、7類的路由。 nfilter使用示例router ospf 100 filter 5.5.5.5 255.255.255.255 10 過(guò)濾只允許5.5.5.5 的路由導(dǎo)入路由表，并將優(yōu)先級(jí)改為10，其他路由全部deny。注意：注意： filter命令只能過(guò)濾命令只能過(guò)濾5類和類和7類的類的LSA，對(duì)于其他類型，對(duì)于其他類型LSA沒(méi)有效果，同時(shí)沒(méi)有效果，同時(shí)這里的過(guò)濾指的是控制該這里的過(guò)濾指的是控制該LSA是否導(dǎo)入路由表，不能控制外部是否導(dǎo)入路由表，不能控制外部LSA的學(xué)習(xí)，的學(xué)習(xí)，

18、也就是說(shuō)也就是說(shuō)filter過(guò)濾不映像過(guò)濾不映像OSPF數(shù)據(jù)庫(kù)中數(shù)據(jù)庫(kù)中LSA的學(xué)習(xí)。的學(xué)習(xí)。 內(nèi)部公開(kāi)nOSPF區(qū)域過(guò)濾列表(area filter-list)定義larea filter-list prefix out | in in表示某區(qū)域允許或者禁止某些3類LSA導(dǎo)入out 表示某區(qū)域允許或者禁止網(wǎng)段導(dǎo)出到其他的區(qū)域只對(duì)3類LSA有效，允許或禁止操作由prefix定義，prefix默認(rèn)deny all只在ABR上使用nOSPF區(qū)域過(guò)濾列表與prefix-list使用示例ZXR10(config)# ip prefix-list test seq 1 deny 20.20.20.0 2

19、4 ZXR10(config)#ip prefix-list test seq 2 permit 0.0.0.0 0 ZXR10(config)#router ospf 1ZXR10(config-router)#network 10.10.10.0 0.0.0.255 area 0.0.0.0ZXR10(config-router)# network 20.10.10.0 0.0.0.255 area 0.0.0.100ZXR10(config-router)#area 0.0.0.0 filter-list prefix test out 這樣配置的結(jié)果是：不對(duì)0區(qū)域發(fā)布20.20.20.

20、0/24網(wǎng)段的3類LSA。OSPF區(qū)域過(guò)濾列表區(qū)域過(guò)濾列表(area filter-list)思考：如果不配置思考：如果不配置ip prefix-list test seq 2 permit 0.0.0.0 0 ，那，那么結(jié)果如何？么結(jié)果如何？?jī)?nèi)部公開(kāi) 內(nèi)部公開(kāi)學(xué)習(xí)內(nèi)容學(xué)習(xí)內(nèi)容 第一章第一章 路由策略路由策略 第一節(jié) 路由策略的作用 第二節(jié) 路由策略的定義方法 第三節(jié) 常見(jiàn)的路由策略的應(yīng)用 內(nèi)部公開(kāi)常見(jiàn)的路由策略應(yīng)用常見(jiàn)的路由策略應(yīng)用n有選擇的接收路由信息lRIP和BGP對(duì)鄰居發(fā)布的路由直接進(jìn)行選擇l鏈路狀態(tài)協(xié)議無(wú)法直接對(duì)LSA選擇，只能選擇是否導(dǎo)入路由表n有選擇的發(fā)布路由信息lneighbo

21、r 100.100.100.1 route-map test out route-map test permit 3 match ip address 10 access-list 10 permit 200.1.1.0 0.0.0.255n設(shè)置引入路由的屬性lredistribute metric route-map 內(nèi)部公開(kāi)路由策略應(yīng)用示例一路由策略應(yīng)用示例一(1)ABAS100AS200Lo1:20.1.1.1/32Lo2:30.1.1.1/3210.1.1.1/3010.1.1.2/30B路由器對(duì)A路由器發(fā)布的路由進(jìn)行選擇，只接收20.1.1.1/32網(wǎng)段的路由，屏蔽30.1.1.1/

22、32網(wǎng)段的路由AB 內(nèi)部公開(kāi)路由策略應(yīng)用示例一路由策略應(yīng)用示例一(2)Router B的關(guān)鍵配置(使用acl)：配置BGP協(xié)議router bgp 200 neighbor 10.1.1.1 remote-as 100 neighbor 10.1.1.1 route-map test in /只接收route-map test定義的路由 配置route-maproute-map test permit 3 match ip address 10 access-list 10 permit 20.1.1.1 0.0.0.0 內(nèi)部公開(kāi)路由策略應(yīng)用示例一路由策略應(yīng)用示例一(3)Router B的關(guān)鍵

23、配置(使用prefix-list)：配置BGP協(xié)議router bgp 200 neighbor 10.1.1.1 remote-as 100 neighbor 10.1.1.1 route-map test in 配置route-maproute-map test permit 3 match ip address prefix-list filter ip prefix-list filter permit 20.1.1.1 32 內(nèi)部公開(kāi)路由策略應(yīng)用示例二路由策略應(yīng)用示例二(1)AS100AS20010.1.1.1/3010.1.1.2/3020.1.1.1/3020.1.1.2/30L

24、o0:30.1.1.1/32B路由器可以從兩個(gè)方向?qū)W習(xí)到路由30.1.1.1/32，通過(guò)路由策略優(yōu)先使用從10.1.1.2學(xué)習(xí)到的路由。ABAB 內(nèi)部公開(kāi)路由策略應(yīng)用示例二路由策略應(yīng)用示例二(2)Router B的關(guān)鍵配置：配置BGP協(xié)議router bgp 200 neighbor 10.1.1.1 remote-as 100 neighbor 10.1.1.1 route-map higher-pref in neighbor 20.1.1.1 remote-as 100 neighbor 20.1.1.1 route-map lower-pref in配置route-maproute-m

25、ap higher-pref permit 10 set local preference 200route-map lower-pref permit 10 set local preference 100 內(nèi)部公開(kāi)路由策略應(yīng)用示例三路由策略應(yīng)用示例三(1)ABLo1:20.1.1.1/32Lo2:30.1.1.1/3240.1.1.1/30 40.1.1.2/30A路由器引入直連路由20.1.1.1/32和30.1.1.1/32，B路由器通過(guò)策略只引入30.1.1.1/32網(wǎng)段。AREA 0AB 內(nèi)部公開(kāi)路由策略應(yīng)用示例三路由策略應(yīng)用示例三(2)Router B的配置：配置OSPF協(xié)議ro

26、uter ospf 200 network 40.1.1.0 0.0.0.3 area 0 filter 30.1.1.1 255.255.255.255 110注意：注意： 在在route-B的的LSA中可以看見(jiàn)中可以看見(jiàn)20.1.1.1/32和和30.1.1.1/32相關(guān)的鏈路狀態(tài)相關(guān)的鏈路狀態(tài)信息。啟用了信息。啟用了filter命令后，將禁止命令后，將禁止20.1.1.1/32導(dǎo)入路由表。導(dǎo)入路由表。內(nèi)部公開(kāi) 內(nèi)部公開(kāi)學(xué)習(xí)內(nèi)容學(xué)習(xí)內(nèi)容 第二章第二章 策略路由策略路由 第一節(jié) 策略路由的作用 第二節(jié) 策略路由的配置步驟 第三節(jié) 常見(jiàn)的策略路由的應(yīng)用 內(nèi)部公開(kāi)需求需求 202.102.11.

27、0/24222.1.0.0/24 212.0.1.1/30200.30.10.1/30Bfei_1/1AB202.102.11.0/24網(wǎng)段用戶為ISP1的用戶，地址由ISP1分配，222.1.0.0/24網(wǎng)段用戶為ISP2的用戶，地址由ISP2分配要求實(shí)現(xiàn)：ISP1的用戶通過(guò)ISP1的出口上INTERNET，ISP2的用戶通過(guò)ISP2的出口上INTERNET 內(nèi)部公開(kāi)需求需求解決方法解決方法 202.102.11.0/24222.1.0.0/24 212.0.1.1/30200.30.10.1/30Bfei_1/1AB解決方法：根據(jù)用戶的源地址，人為的為用戶指定出口。解決方法：根據(jù)用戶的源地

28、址，人為的為用戶指定出口。通過(guò)策略路由實(shí)現(xiàn)，為特定的數(shù)據(jù)包轉(zhuǎn)發(fā)指定特定的路線通過(guò)策略路由實(shí)現(xiàn)，為特定的數(shù)據(jù)包轉(zhuǎn)發(fā)指定特定的路線 內(nèi)部公開(kāi)策略路由的作用策略路由的作用n普通的路由方式l按照IP包的目的地址查找路由表進(jìn)行轉(zhuǎn)發(fā)n策略路由方式l根據(jù)策略進(jìn)行路徑選擇，可以不用根據(jù)路由表進(jìn)行轉(zhuǎn)發(fā)n路由策略方式l對(duì)路由信息進(jìn)行控制的一種方法內(nèi)部公開(kāi) 內(nèi)部公開(kāi)學(xué)習(xí)內(nèi)容學(xué)習(xí)內(nèi)容 第二章第二章 策略路由策略路由 第一節(jié) 策略路由的作用 第二節(jié) 策略路由的配置步驟 第三節(jié) 常見(jiàn)的策略路由的應(yīng)用 內(nèi)部公開(kāi)策略路由的配置步驟策略路由的配置步驟n定義路由映象lroute-map permit|deny match 匹配條件 set 動(dòng)作l這里的match與ACL結(jié)合使用,set動(dòng)作用于設(shè)置下一跳地址或接口(只有next-hop和interface兩個(gè)動(dòng)作)，通過(guò)設(shè)置多個(gè)下一跳地址可以實(shí)現(xiàn)路由備份。n在接口上應(yīng)用linterface ip policy route-map 內(nèi)部公開(kāi) 內(nèi)部公開(kāi)學(xué)習(xí)內(nèi)容學(xué)習(xí)內(nèi)容 第二章第二章 策略路由策略路由 第一節(jié) 策略路由的作用 第二節(jié) 策略路由的配置步驟 第三節(jié) 常見(jiàn)的策略路由的應(yīng)用 內(nèi)部公開(kāi)策略路由示例策略路由示例(1)A路由器連接兩個(gè)ISP，其中202.102.11.0/24是ISP1分配的地址222.1.0.0/24是ISP2分配的地址；ISP1與A路由器互聯(lián)的地