路由策略与策略路由要点课件.ppt

《路由策略与策略路由要点课件.ppt》由会员分享，可在线阅读，更多相关《路由策略与策略路由要点课件.ppt（47页珍藏版）》请在三一办公上搜索。

1、路由策略与策略路由,V1.0数据用服部,学习目标,了解路由策略的作用掌握定义路由策略的方法熟悉路由策略的应用了解策略路由的作用熟悉策略路由的应用,学习内容,第一章 路由策略第二章 策略路由,学习内容,第一章 路由策略 第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用,问题一：B路由器需要对A路由器发布的路由进行选择，只接收20.1.1.1/32网段的路由，屏蔽30.1.1.1/32网段的路由,问题二：A路由器只对B发布本AS100域内产生的路由，其他路由条目出于安全考虑，需要对B屏蔽,问题三：路由器B需要路由器优先选择10.1.1.0/32网段的链路通往AS10

2、0,AS100,AS200,10.1.1.1/30,10.1.1.2/30,20.1.1.1/30,20.1.1.2/30,Lo0:30.1.1.1/32Lo1:20.1.1.1/32,A,B,A,B,什么是路由策略,需要一个有效的方法解决上面的问题！,路由策略,路由策略的作用,过滤发布和接收的路由信息灵活地控制路由属性,问题一解决方案：B路由器通过使用路由策略过滤接收的路由信息，只接收20.1.1.1/32网段的路由，屏蔽30.1.1.1/32网段的路由,问题二解决方案：A路由器通过路由策略过滤对B发布的路由信息，只发布只本AS100域内产生的路由，其他路由不对B发布,问题三解决方案：路由器

3、B通过使用路由策略修改由10.1.1.0/30网段链路接收到的路由条目的优先级，使其优先级高于从20.1.1.0/30网段链路学习到的路由条目,用路由策略解决这些问题,AS100,AS200,10.1.1.1/30,10.1.1.2/30,20.1.1.1/30,20.1.1.2/30,Lo0:30.1.1.1/32Lo1:20.1.1.1/32,A,B,A,B,学习内容,第一章 路由策略 第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用,路由策略的定义方法(1),路由映像(route-map) 根据匹配条件进行设置，主要由match和set语句组成访问控制列表

4、(access control list) 用于配置匹配条件前缀列表(prefix-list ) 作用类似ACL，用于配置匹配条件，可单独使用，也可与路由映像、area filter-list结合使用自治系统路径访问列表(as-path access-list ) 仅针对BGP协议，用于匹配BGP路由信息的自治系统路径域，与路由映像结合使用,路由策略的定义方法(2),团体属性列表(community-list) 仅针对BGP协议，用于匹配BGP路由信息的自治系统团体域，与路由映像结合使用OSPF路由过滤器(filter) 仅针对OSPF协议，用于过滤Type-5、Type-7 LSAOSPF区

5、域过滤列表(area filter-list) 仅针对OSPF协议区域间路由过滤，过滤Type-3 LSA,route-map,route-map permit|deny match 匹配条件 set 动作route-map由一系列的match子句和set子句组成序列号小的先执行匹配AS-path时使用as-path access-list匹配community时使用community-list匹配IP address时使用access-list,route-mapmatch语句,match的匹配条件match ip address | prefix-list match metric mat

6、ch tag match as-path match community-list match route-type | external ,route-mapset语句,set可以执行的动作set as-path prepend set community no-advertise | no-export | no-export-subconfed set dampening set local-preference set metric +|- set metric-type internal | external | type-1 | type-2 set origin igp | eg

7、p | incomplete set tag ,route-map示例,定义一个名为test的route-maproute-map test permit 2 /sequence-number为2 match set route-map test permit 3 /sequence-number为3 match set 该示例中，route-map由2个部分组成，sequence-number为2的部分将优先执行。如果匹配了sequence-number为2的match部分，则对匹配的部分进行相应的set操作，如果不匹配sequence-number为2的部分，则继续匹配下一跳sequenc

8、e-number为3的部分。如果都不匹配，默认为deny，此路由条目将不被发布或者接收。,route-map执行原则(1),组合一：access-list 1 permit 1.1.1.1 0.0.0.0route-map redistribute permit 10match ip address 1set metric 300router ospf 100redistribute static route-map redistribute,结果： 重分发成功,指向1.1.1.1的静态路由被重分发到OSPF,并且METRIC值被设置为300,route-map执行原则(2),组合二：acce

9、ss-list 1 permit 1.1.1.1 0.0.0.0route-map redistribute deny 10match ip address 1set metric 120router ospf 100redistribute static route-map redistribute,结果： 所有的静态路由都不能够重分发,route-map执行原则(3),组合三：access-list 1 deny 1.1.1.1 0.0.0.0access-list 1 permit anyroute-map redistribute deny 10match ip address 1 s

10、et metric 300route-map redistribute permit 20router ospf 100redistribute static route-map redistribute,结果： 指向1.1.1.1的静态路由被重分发到OSPF,但是metric值使用默认值。其他静态路由不能够被重分发。,ACL,最常用的用于设置匹配条件的方法标准ACL，只能以源地址作为过滤条件 access-list deny | permit 扩展ACL，可以源和目的地址、源和目的端口、协议类型作为精确的过滤条件 access-list permit | deny source destin

11、ation ,prefix-list,设置匹配条件的方法，与access-list类似 ip prefix-list prefix-list name permit | deny network length ge greater-equal | le less-equal 注：length ge-value le-value32 地址前缀范围有两部分，分别由length与ge、le来确定。若两部分前缀范围都被指定，则待过滤的IP必须同时匹配这两部分的前缀范围。 例如：zxr10(config)# ip prefix-list test permit 10.1.1.0 8 ge 15 le 1

12、6 该条地址前缀列表表示：过滤发布IP地址的前8位必须与10.1.1.0匹配， 其子网掩码在1516位的路由条目,思考一下：这样一条路由条目10.1.3.0/9是否能匹配该前缀列表？10.1.4.0/15呢，是否能匹配该前缀列表？,as-path access-list,定义AS路径的表达式AS路径记录了BGP路由信息经过的AS系统ip as-path access-list permit|deny 使用as-path access-list作为定义路由策略的方法仅适用于BGP协议,as-path access-listAS正则表达式,AS路径的正则表达式用来定义匹配BGP路由信息的AS路径条

13、件,as-path access-listAS正则表达式示例,as-path access-list配置示例,作为路由策略的匹配方法，as-path access-list往往不单独使用，我们通常使用as-path access-list作为route-map中match语句的匹配条件 配置示例：route-map test permit 3 match as-path 10 set动作ip as-path access-list 10 permit $ /as-path access-list10 为允许从自己开始到自己结束的AS路径,community-list,定义团体属性列表的表达式i

14、p community-list permit|deny 与route-map的配合使用的示例 route-map test permit 3 match community-list 1 set 动作 ip community-list 1 deny 5 ip community-list 1 permit any /community-list 1表示团体5的路由之外，允许其它所有路由团体属性列表community-list仅用于BGP协议。BGP协议的路由信息包中，包含一个community属性字段,filter,filter定义：OSPF路由配置模式下：filter exact 在路由

15、表中，配置了filter的路由才允许进入，如果没有配置则全部deny。用此命令可过滤LSA为5类、7类的路由。 filter使用示例router ospf 100 filter 5.5.5.5 255.255.255.255 10 过滤只允许5.5.5.5 的路由导入路由表，并将优先级改为10，其他路由全部deny。,注意： filter命令只能过滤5类和7类的LSA，对于其他类型LSA没有效果，同时这里的过滤指的是控制该LSA是否导入路由表，不能控制外部LSA的学习，也就是说filter过滤不映像OSPF数据库中LSA的学习。,OSPF区域过滤列表(area filter-list)定义ar

16、ea filter-list prefix out | in in表示某区域允许或者禁止某些3类LSA导入out 表示某区域允许或者禁止网段导出到其他的区域只对3类LSA有效，允许或禁止操作由prefix定义，prefix默认deny all只在ABR上使用OSPF区域过滤列表与prefix-list使用示例ZXR10(config)# ip prefix-list test seq 1 deny 20.20.20.0 24 ZXR10(config)#ip prefix-list test seq 2 permit 0.0.0.0 0 ZXR10(config)#router ospf 1Z

17、XR10(config-router)#network 10.10.10.0 0.0.0.255 area 0.0.0.0ZXR10(config-router)# network 20.10.10.0 0.0.0.255 area 0.0.0.100ZXR10(config-router)#area 0.0.0.0 filter-list prefix test out 这样配置的结果是：不对0区域发布20.20.20.0/24网段的3类LSA。,OSPF区域过滤列表(area filter-list),思考：如果不配置ip prefix-list test seq 2 permit 0.0

18、.0.0 0 ，那么结果如何？,学习内容,第一章 路由策略 第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用,常见的路由策略应用,有选择的接收路由信息RIP和BGP对邻居发布的路由直接进行选择链路状态协议无法直接对LSA选择，只能选择是否导入路由表有选择的发布路由信息neighbor 100.100.100.1 route-map test out route-map test permit 3 match ip address 10 access-list 10 permit 200.1.1.0 0.0.0.255设置引入路由的属性redistribute m

19、etric route-map ,路由策略应用示例一(1),A,B,AS100,AS200,Lo1:20.1.1.1/32Lo2:30.1.1.1/32,10.1.1.1/30,10.1.1.2/30,B路由器对A路由器发布的路由进行选择，只接收20.1.1.1/32网段的路由，屏蔽30.1.1.1/32网段的路由,A,B,路由策略应用示例一(2),Router B的关键配置(使用acl)：配置BGP协议router bgp 200 neighbor 10.1.1.1 remote-as 100 neighbor 10.1.1.1 route-map test in /只接收route-map

20、 test定义的路由 配置route-maproute-map test permit 3 match ip address 10 access-list 10 permit 20.1.1.1 0.0.0.0,路由策略应用示例一(3),Router B的关键配置(使用prefix-list)：配置BGP协议router bgp 200 neighbor 10.1.1.1 remote-as 100 neighbor 10.1.1.1 route-map test in 配置route-maproute-map test permit 3 match ip address prefix-list

21、 filter ip prefix-list filter permit 20.1.1.1 32,路由策略应用示例二(1),AS100,AS200,10.1.1.1/30,10.1.1.2/30,20.1.1.1/30,20.1.1.2/30,Lo0:30.1.1.1/32,B路由器可以从两个方向学习到路由30.1.1.1/32，通过路由策略优先使用从10.1.1.2学习到的路由。,A,B,A,B,路由策略应用示例二(2),Router B的关键配置：配置BGP协议router bgp 200 neighbor 10.1.1.1 remote-as 100 neighbor 10.1.1.1

22、route-map higher-pref in neighbor 20.1.1.1 remote-as 100 neighbor 20.1.1.1 route-map lower-pref in配置route-maproute-map higher-pref permit 10 set local preference 200route-map lower-pref permit 10 set local preference 100,路由策略应用示例三(1),A,B,Lo1:20.1.1.1/32Lo2:30.1.1.1/32,40.1.1.1/30,40.1.1.2/30,A路由器引入直

23、连路由20.1.1.1/32和30.1.1.1/32，B路由器通过策略只引入30.1.1.1/32网段。,AREA 0,A,B,路由策略应用示例三(2),Router B的配置：配置OSPF协议router ospf 200 network 40.1.1.0 0.0.0.3 area 0 filter 30.1.1.1 255.255.255.255 110,注意： 在route-B的LSA中可以看见20.1.1.1/32和30.1.1.1/32相关的链路状态信息。启用了filter命令后，将禁止20.1.1.1/32导入路由表。,学习内容,第二章 策略路由 第一节 策略路由的作用 第二节 策

24、略路由的配置步骤 第三节 常见的策略路由的应用,需求,ISP1,ISP2,202.102.11.0/24,222.1.0.0/24,212.0.1.1/30,200.30.10.1/30,B,fei_1/1,A,B,202.102.11.0/24网段用户为ISP1的用户，地址由ISP1分配，222.1.0.0/24网段用户为ISP2的用户，地址由ISP2分配要求实现：ISP1的用户通过ISP1的出口上INTERNET，ISP2的用户通过ISP2的出口上INTERNET,需求解决方法,ISP1,ISP2,202.102.11.0/24,222.1.0.0/24,212.0.1.1/30,200.

25、30.10.1/30,B,fei_1/1,A,B,解决方法：根据用户的源地址，人为的为用户指定出口。通过策略路由实现，为特定的数据包转发指定特定的路线,策略路由的作用,普通的路由方式按照IP包的目的地址查找路由表进行转发策略路由方式根据策略进行路径选择，可以不用根据路由表进行转发路由策略方式对路由信息进行控制的一种方法,学习内容,第二章 策略路由 第一节 策略路由的作用 第二节 策略路由的配置步骤 第三节 常见的策略路由的应用,策略路由的配置步骤,定义路由映象route-map permit|deny match 匹配条件 set 动作这里的match与ACL结合使用,set动作用于设置下一跳

26、地址或接口(只有next-hop和interface两个动作)，通过设置多个下一跳地址可以实现路由备份。在接口上应用interface ip policy route-map ,学习内容,第二章 策略路由 第一节 策略路由的作用 第二节 策略路由的配置步骤 第三节 常见的策略路由的应用,策略路由示例(1),A路由器连接两个ISP，其中202.102.11.0/24是ISP1分配的地址222.1.0.0/24是ISP2分配的地址；ISP1与A路由器互联的地址是212.0.1.1,ISP2与A路由器互联的地址是200.30.10.1。,ISP1,ISP2,202.102.11.0/24,222.1

27、.0.0/24,212.0.1.1/30,200.30.10.1/30,B,fei_1/1,A,B,策略路由示例(2),Router-A的关键配置(指向下一跳IP)：interface fei_1/1 ip address 61.132.77.106 255.255.255.252 ip policy route-map test /在fei_1/1接口上应用定义的策略access-list 101 permit ip 202.102.11.0 0.0.0.255 anyaccess-list 102 permit ip 222.1.0.0 0.0.0.255 any route-map te

28、st permit 5 /满足acl定义的101，下一跳指向ISP1的IP match ip address 101 set ip next-hop 212.0.1.1route-map gw permit 10 /满足acl定义的102，下一跳指向ISP2的IP match ip address 102 set ip next-hop 200.30.10.1,策略路由示例(3),Router-A的关键配置(指向下一跳接口)：interface fei_1/1 ip address 61.132.77.106 255.255.255.252 ip policy route-map test access-list 101 permit ip 202.102.11.0 0.0.0.255 anyaccess-list 102 permit ip 222.1.0.0 0.0.0.255 any route-map test permit 5 match ip address 101 set interface fei_1/2route-map gw permit 10 match ip address 102 set interface fei_1/3,小结,路由策略的作用以及定义路由策略的方法运用路由策略控制路由的接收、发布、引入策略路由的作用和实际应用,谢 谢,