華為綜合學(xué)習(xí)資料-04-路由操縱

1、 網(wǎng)絡(luò)科技有限公司HUAWEI（HCNA HCNP HCIE）綜合學(xué)習(xí)資料-04-路由操縱CONTENTS目錄一、路由引入41.1 引入直連51.2 引入靜態(tài)51.3 引入其他路由協(xié)議61.4 路由引入的相關(guān)問題71.5 路由相互引入的特殊案例10二、路由選擇工具112.1 ACL122.1 ACL的分類和基礎(chǔ)122.2 ACL示例142.2 前綴列表162.3 filter-policy路由過濾（同思科的distribute-list）192.3.1 解決選路次優(yōu)化問題202.3.2 解決雙點(diǎn)雙向重分布引起的路由環(huán)路問題222.3.3 BGP中的路由過濾232.4 Route-policy（

2、同思科的route-map）232.4.1 route-policy應(yīng)用一（修改特定路由的優(yōu)先級(jí)）252.4.2 route-policy應(yīng)用二（路由精確引入時(shí)）252.5 修改路由協(xié)議的默認(rèn)優(yōu)先級(jí)值262.5.1 路由協(xié)議遷移262.5.2 解決選路次優(yōu)化問題272.5.3 解決雙點(diǎn)雙向重分布引起的路由環(huán)路問題282.6 控制缺省路由的下發(fā)292.6.1 ISP現(xiàn)網(wǎng)問題312.6.2 出現(xiàn)的問題342.6.3 解決辦法362.7 AS-Path-Filter382.8 Community-filter38三、策略路由（PBR）393.1 穿越型PBR393.2 本地PBR39四、解決雙點(diǎn)雙向

3、重分布問題404.1 修改路由的優(yōu)先級(jí)404.2 給路由打TAG+修改優(yōu)先級(jí)4204-路由操縱路由操縱的主要目的：1. 解決次優(yōu)路徑2. 解決路由回饋和路由環(huán)路3. 保證有冗余路徑涉及的工具：import-route /正是因?yàn)榇罅康穆酚梢霂砹艘陨系膯栴}ACLprefix-listtraffic-filter /接口下filter-policy /進(jìn)程下route-policytagpreferencemetricin/metricout /同思科的offset-listPBR一、 路由引入1.1 引入直連1.2 引入靜態(tài)ospf 1 router-id 2.2.2.2 import-ro

4、ute direct route-policy Aroute-policy A permit node 10 if-match interface LoopBack0 /無效，一條直連路由都引入不進(jìn)去只能使用以下方法精確引入直連：route-policy A permit node 10 if-match acl 2000acl 2000 rule 5 permit source 2.2.2.2 01.3 引入其他路由協(xié)議R2：ospf 1 router-id 2.2.2.2 import-route rip 1 route-policy Aroute-policy A permit node

5、 10 if-match acl 2000acl number 2000 rule 5 permit source 1.1.1.1 01.4 路由引入的相關(guān)問題RTA通過引入直連路由把2.2.2.2網(wǎng)段引入到OSPF中，OSPF將采用ASE路由（優(yōu)先級(jí)為150）的方式通告給RTB, RTC, RTE。在RTE上，配置了引入OSPF-ASE，把2.2.2.2引入到ISIS中。在RTC上，配置了引入ISIS，把ISIS路由引入到OSPF中，于是， 2.2.2.2網(wǎng)段又從ISIS通告回OSPF，這叫做路由回饋。這樣的話，RTB同時(shí)從RTA和RTC學(xué)習(xí)到關(guān)于2.2.2.2網(wǎng)段的路由，因?yàn)閮?yōu)先級(jí)都一樣（

6、都是OSPF ASE路由），所以比較metric值，如果RTB很不幸地選擇了RTC通告的路由，環(huán)路就產(chǎn)生了。比如：RTD發(fā)一個(gè)數(shù)據(jù)包到2.2.2.2 ，數(shù)據(jù)包將發(fā)往RTE，然后到RTB，因?yàn)镽TB選擇了RTC的路由，所以RTB把數(shù)據(jù)包發(fā)往RTC，RTC再發(fā)到RTD，于是數(shù)據(jù)包回到了起點(diǎn)。不同的路由協(xié)議計(jì)算路由開銷的依據(jù)是不同的，開銷值的大小是不同的，而且開銷的范圍也是不同的。ISIS和OSPF的開銷值可以基于帶寬，而且值的范圍很大，RIP的開銷基于跳數(shù)，范圍很小，所以，當(dāng)我們配置ISIS和RIP的引入或者OSPF和RIP的引入的時(shí)候一定要小心（在VRP平臺(tái)上，當(dāng)我們引入OSPF或者ISIS路由

7、到RIP的時(shí)候，如果不指定COST，開銷值將默認(rèn)設(shè)為1，盡管如此，我們還是應(yīng)該手工配置開銷值以反映網(wǎng)絡(luò)的真實(shí)拓?fù)洌sis的cost取值為10個(gè)bit（1-1024）rip：1-15，16就認(rèn)為不可達(dá)了為了防止其他路由協(xié)議引入進(jìn)rip后不可達(dá)，最好手動(dòng)將進(jìn)入的cost值改小1.5 路由相互引入的特殊案例R2上做了兩次引入，ospf往isis，isis往rip，問rip域中會(huì)有哪些路由：只有4.4.4.0和34網(wǎng)段，并沒有ospf域中的3.3.3.0和23網(wǎng)段，因?yàn)橐霑r(shí)只能是引入本地路由表中的內(nèi)容二、路由選擇工具ACL：可以用來過濾路由或數(shù)據(jù)包，可以應(yīng)用于所有路由協(xié)議的路由條目的選擇和控制前

8、綴列表：只能用來過濾路由，可以應(yīng)用于所有路由協(xié)議的路由條目的選擇和控制as-path-filter：只能用于BGP，對(duì)as-path屬性的路由進(jìn)行過濾community-filter：只能用于BGP，對(duì)團(tuán)體屬性的路由進(jìn)行過濾route-policy：是一個(gè)強(qiáng)大的過濾工具，但是它還是策略工具。作為過濾工具，它可以用if-match語句來匹配路由和數(shù)據(jù)包，而且if-match語句還可以調(diào)用其它過濾工具。作為策略工具，它可以使用apply語句來修改路由屬性或者數(shù)據(jù)包的轉(zhuǎn)發(fā)行為。2.1 ACL2.1 ACL的分類和基礎(chǔ)訪問控制列表既可以用來匹配數(shù)據(jù)包也可以用來匹配路由信息?；驹L問控制列表可以用來匹配

9、源IP地址高級(jí)訪問控制列表可以用來匹配源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)等基于接口的訪問控制列表可以用來匹配接口（用的較少）acl number 2000 match-order config/auto /默認(rèn)為config（最常用）acl number 2001 /可以直接回車隱含拒絕有兩種匹配順序：配置順序和自動(dòng)排序。配置順序：是指按照用戶配置ACL規(guī)則的先后進(jìn)行匹配。當(dāng)然如果要是書寫了語句的編號(hào)，還要看編號(hào)的順序。自動(dòng)排序：使用“深度優(yōu)先”的原則系統(tǒng)自動(dòng)排序。（用的較少）“深度優(yōu)先”規(guī)則是把指定數(shù)據(jù)包范圍最小的語句系統(tǒng)自動(dòng)排在最前面。這一點(diǎn)可以通過比較地址的通配符來實(shí)

10、現(xiàn)，通配符越小，則指定的主機(jī)的范圍就越小。比如129.102.1.1 0.0.0.0指定了一臺(tái)主機(jī)：129.102.1.1，而129.102.1.1 0.0.0.255則指定了一個(gè)網(wǎng)段：129.102.1.1129.102.1.255，顯然前者在訪問控制規(guī)則中排在前面。具體標(biāo)準(zhǔn)為：對(duì)于基本訪問控制列表，直接比較源地址通配符，通配符相同的則按配置順序；對(duì)于高級(jí)訪問控制列表，首先比較源地址通配符，相同的再比較目的地址通配符，仍相同的則比較端口號(hào)的范圍，范圍小的排在前面，如果端口號(hào)范圍也相同則按配置順序。 對(duì)于基于接口的訪問控制列表，配置了“any”的規(guī)則排在后面，其它按配置順序； 使用auto：最

11、精確的語句即便后寫，系統(tǒng)也會(huì)自動(dòng)往前排，auto模式無法自定義rule ID2.2 ACL示例或：1.1.0.0 16高位的16個(gè)bit要精確匹配（16個(gè)二進(jìn)制0）后面是通配符（0精確匹配，1忽略）匹配奇數(shù)路由使用ACL可以很好匹配路由的前綴部分，但是對(duì)于前綴相同，掩碼不同的路由怎么區(qū)分呢？這時(shí)候，只能使用前綴列表。ACL不能針對(duì)相同前綴路由的不同子網(wǎng)掩碼長度進(jìn)行篩選思科的擴(kuò)展ACL其實(shí)可以匹配路由的掩碼部分：挑選1.1.1.0/25ac 100 per ip 1.1.1.0 0.0.0.0 255.255.255.128 0.0.0.0 匹配前綴部分 匹配掩碼部分或掩碼的范圍但這種方法比較復(fù)

12、雜，不方便使用2.2 前綴列表前綴列表用來匹配前綴（網(wǎng)絡(luò)號(hào)）和前綴長度（子網(wǎng)掩碼）。ACL做不到，因?yàn)锳CL無法針對(duì)路由的子網(wǎng)掩碼長度進(jìn)行過濾固定前綴的前16位必須以10.0開始，后面的ge、le是可選的如果不加后面的ge、le則16代表兩層含義：（1） 匹配前綴的bit位數(shù)（2） 精確匹配掩碼的長度位數(shù)即同時(shí)控制前綴匹配的位數(shù)和掩碼的位數(shù)上例如果不加后面的ge、le，則為精確匹配16位掩碼的路由，其他位數(shù)匹配不中以上也可以簡寫為：ip ip-prefix 1 index 10 permit 1.1.1.0 24規(guī)定：24gele（注意這里和cisco有點(diǎn)不同：24<gele）可以不指定

13、index（序列號(hào)），默認(rèn)序列號(hào)從10開始，以10遞增ospffilter-policy 2001 import /ACL編號(hào)，filter-policy相當(dāng)于cisco的發(fā)布列表 filter-policy ip-prefix 1 import以上只能調(diào)用一個(gè)acl 2001 rule 5 permit source 1.1.1.0 0 /必須跟通配符ip ip-prefix 1 index 10 permit 1.1.1.0 25ip ip-prefix 1 index 10 permit 0.0.0.0 0 /匹配默認(rèn)路由ip ip-prefix 1 index 10 permit 0.

14、0.0.0 0 le 32 /匹配所有路由，相當(dāng)于anyip ip-prefix 1 index 10 permit 0.0.0.0 0 ge 32 le 32 /匹配所有主機(jī)路由匹配出所有的A類的主網(wǎng)路由：ip ip-prefix 1 index 10 permit 0.0.0.0 1 ge 8 le 8 /掩碼位數(shù)只為8的匹配出所有的A類的主網(wǎng)和子網(wǎng)路由：ip ip-prefix 1 index 10 permit 0.0.0.0 1 le 32匹配出所有的B類的主網(wǎng)路由：ip ip-prefix 1 index 10 permit 128.0.0.0 2 ge 16 le 16匹配出所有

15、的C類的主網(wǎng)路由：ip ip-prefix 1 index 10 permit 192.0.0.0 3 ge 24 le 242.3 filter-policy路由過濾（同思科的distribute-list）路由引入可能會(huì)導(dǎo)致次優(yōu)路由和路由環(huán)路，那么我們可以采用路由過濾來避免這些問題。另外，路由過濾還可以使我們進(jìn)行精確的路由引入和路由通告。拒絕路由時(shí)在ACL或前綴列表中要用deny（1）DV型協(xié)議中的過濾應(yīng)用過濾路由1.1.1.0/24的發(fā)送：rip filter-policy 2000 import/export /后面可以跟接口acl 2000 rule 5 deny source 1.

16、1.1.0 0 /或1.1.1.0 0.0.0.255都可以 rule 10 permit思科：ac 10 deny 1.1.1.0 0.0.0.0 /或1.1.1.0 0.0.0.255都可以ac 10 permit any（2）LS型協(xié)議中的過濾應(yīng)用只能用import（3）引入時(shí)的過濾應(yīng)用只能用export2.3.1 解決選路次優(yōu)化問題2.3.2 解決雙點(diǎn)雙向重分布引起的路由環(huán)路問題2.3.3 BGP中的路由過濾A將所有的私網(wǎng)路由都過濾后才發(fā)送給B2.4 Route-policy（同思科的route-map）是對(duì)上面所有工具的綜合使用Route-policy是強(qiáng)大的過濾工具和策略工具。它由

17、一系列的if-match子句和Apply子句構(gòu)成。If-match子句可以用來匹配acl, ip-prefix, as-path-filter, community-filter, interface, ip, extcommunity-filter, cost, mpls-label, route type, tag等。Apply子句可以用來修改路由的屬性。最后是隱含拒絕的三個(gè)步驟：1. 匹配路由2. 應(yīng)用策略3. 調(diào)用策略華為的route-policy和思科的route-map原理完全一樣，ACL中的deny意思是不挑選，則這條路由會(huì)繼續(xù)匹配下面的route-policy語句，route-

18、policy最后都是隱含拒絕的，所以上面的輸出路由應(yīng)該還有6.6.6.6/322.4.1 route-policy應(yīng)用一（修改特定路由的優(yōu)先級(jí)）R1上修改學(xué)到的rip路由的優(yōu)先級(jí)rip 1 version 2 network 12.0.0.0 preference route-policy Aroute-policy A permit node 10 if-match acl 2000 apply preference 200acl 2000 rule 5 permit source 2.2.2.2 0雖然route-policy中沒有第二條node 20的語句，但22.22.22.22的路由

19、仍然可以正常接收，優(yōu)先級(jí)為默認(rèn)的100dis route-policy A / route-policy的名字可以tab出來2.4.2 route-policy應(yīng)用二（路由精確引入時(shí)）rip 1 version 2 network 12.0.0.0 import-route direct route-policy Croute-policy C permit node 10 if-match acl 2000acl 2000 rule 5 permit source 2.2.2.2 0如果沒有第二條node 20的語句，則其他直連路由無法引入進(jìn)來2.5 修改路由協(xié)議的默認(rèn)優(yōu)先級(jí)值2.5.1 路

20、由協(xié)議遷移當(dāng)把ospf協(xié)議遷移為isis時(shí)，先全網(wǎng)部署完isis協(xié)議，檢查鄰居等沒有問題的情況下，再修改ospf的優(yōu)先級(jí)為大于isis的數(shù)值，讓isis的路由加表運(yùn)行，運(yùn)行如果沒有問題，最后再刪除掉ospf2.5.2 解決選路次優(yōu)化問題2.5.3 解決雙點(diǎn)雙向重分布引起的路由環(huán)路問題2.6 控制缺省路由的下發(fā)NSSA區(qū)域模擬器中會(huì)自動(dòng)下發(fā)默認(rèn)路由，真機(jī)上不會(huì)，必須手動(dòng)下發(fā)模擬路由（同思科）2.6.1 ISP現(xiàn)網(wǎng)問題2.6.2 出現(xiàn)的問題2.6.3 解決辦法注意：本節(jié)需要看PPT下面的備注2.7 AS-Path-Filter2.8 Community-filterINTEGER<1-99&

21、gt; Community-filter number (basic)INTEGER<100-199> Community-filter number (advanced)團(tuán)體屬性分為Well-known團(tuán)體屬性和私有的團(tuán)體屬性：Well-known團(tuán)體屬性包括：internet, no-advertise, no-export, no-export-subconfed。私有團(tuán)體屬性由管理員定義，主要用來給前綴打上管理標(biāo)記，以便制定相應(yīng)的策略，格式一般為AS:NUMBER。高級(jí)團(tuán)體列表可以使用正則表達(dá)式來匹配團(tuán)體屬性。三、 策略路由（PBR）3.1 穿越型PBRacl 2000 r

22、ule 5 permit source 12.1.1.0 0.0.0.255 /源IPpolicy-based-route PBR permit node 10 /同route-map if-match acl 2000 /匹配數(shù)據(jù)包 apply ip-address next-hop 23.1.1.3int e0/0/0 /數(shù)據(jù)包入接口 ip policy-based-route PBR /模擬器上不支持調(diào)用跟出接口后面只有serial參數(shù)3.2 本地PBRR1ip local policy-based-route PBR /模擬器上可以實(shí)現(xiàn)驗(yàn)證：debugging ip icmptermi

23、nal debugging四、 解決雙點(diǎn)雙向重分布問題4.1 修改路由的優(yōu)先級(jí)R2、R3：rip 1 preference route-policy PREroute-policy PRE per node 10 if acl 2000 apply preference 151acl 2000 rule 5 per source 4.4.4.4 0修復(fù)R1上的次優(yōu)路徑：路由引入時(shí)修改為不同的metricR3：acl 2024 rule 5 per source 24.1.1.0 0.0.0.255rip import ospf 1 route-policy O-TO-Rroute-policy O-TO-R permit node 10 if-match acl 2024 apply cost 2 /metric在原來的基礎(chǔ)上增加2，變?yōu)?route-policy O-TO-R permit node 20 /不加則其他路由無法引入進(jìn)ripR2：acl 2034 rule 5 per source 34.1.1.0 0.0.0.255rip import ospf 1 route-policy O-TO-Rroute-policy O-TO-R permit node 10 if-match acl 2034 app