搜档网
当前位置:搜档网 › 路由策略与引入SUE

路由策略与引入SUE

路由策略与引入SUE
路由策略与引入SUE

路由策略与引入S U E TYYGROUP system office room 【TYYUA16H-TYY-TYYYUA8Q8-

课程 DA000012 路由策略与引入

ISSUE

目录

课程说明...........................................................................

课程介绍..........................................................................

课程目标.......................................................................... 第1章 IP路由策略概述.............................................................

路由策略的作用...................................................................

和策略相关的五种过滤器...........................................................

路由策略与过滤器的关系........................................................... 第2章路由策略的配置..............................................................

路由策略配置任务列表.............................................................

定义路由策略(routing policy)...............................................

定义路由策略的if-match子句..................................................

定义路由策略的apply子句.....................................................

路由策略的执行规则...........................................................

AS正则表达式................................................................

引入其他协议路由.............................................................

定义地址前缀列表.............................................................

配置路由过滤.....................................................................

路由策略的监控和维护............................................................. 第3章路由策略的应用示例..........................................................

案例一:过滤引入的路由信息.......................................................

案例二:路由发布时的过滤.........................................................

案例三:路由接收时的过滤.........................................................

案例四:路由接收时的过滤.........................................................

课程说明

课程介绍

本课程介绍路由策略。在一个自治系统中经常会运行多个IGP,在一个路由器中也可能运行多个路由协议,自治系统间华路由器不同的路由协议之间在进行路由信息的交换和共享时,由于政治、经济的原因,需要对发送、接受、引入的某些信息进行过滤或者对信息中的属性进行修改,这时候就要使用到路由策略。

课程目标

完成本课程的学习后,您应该能够:

掌握路由策略和路由引入的概念

掌握路由策略的五种过滤器

掌握路由策略的配置命令

第1章 IP路由策略概述

1.1 路由策略的作用

路由策略是提供给路由协议实现路由信息过滤的手段。路由协议在与对端路由器进行路由信息交换时,可能需要只接收或发布一部分满足给定条件的路由信息;路由协议在引入其它路由协议路由信息时,可能需要只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置以使其满足本协议的要求。路由策略用以提供路由协议实现这些功能的手段。

路由策略由一系列的规则组成,这些规则大体上分为三类,分别作用于路由发布、路由接收和路由引入过程。因为定义一条策略等同于定义一组过滤器,并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤器,所以路由策略也常被称为路由过滤。

公共过滤器是路由策略实现的基础。用户根据需要预先定义一些匹配条件,并在制定路由协议的策略规则时加以引用,将这些匹配条件作用于不同的对象,如路由信息的目的地址、发布路由信息的路由器地址等以实现路由信息过滤。

1.2 和策略相关的五种过滤器

路由策略提供了routing policy、access-list、aspath-list、community-list

和prefix-list五种过滤器供各路由协议引用来进行协议策略规则的制定。如下所示:

1. 路由策略(routing policy)

用于匹配给定路由信息的某些属性,并在这些条件匹配后对该路由信息的某些属性进行设置。一个routing policy由一组if-match 和apply 子句组成,if-match 子句定义匹配准则,也就是通过当前routing policy所需满足的过滤条件,匹配对象是所给路由信息的一些属性;apply子句指定动作,也就是在满足由if-match 子句指定的过滤条件后所执行的一些配置命令,对路由信息的一些属性进行设置。

2. 访问列表(access-list)

访问列表access-list分为标准型的访问列表Standard access-list和扩展型的访问列表extended access-list,应用于路由信息的过滤时,一般使用标准型的访问列表,用户在定义访问列表时指定一个IP地址的网段范围,用于匹配路由信息的目的网段地址或下一跳地址,过滤不符合条件的路由信息。如使用扩展access-list,则只用其源地址匹配域匹配路由信息的目的网段地址域而忽略扩展access list中指定的用于匹配数据包目的地址的IP地址范围。

access-list的定义与检查已经在防火墙的配置中实现,有关的配置请用户参考防火墙配置中的“acl”命令。

3. 前缀列表(prefix-list)

前缀列表prefix-list的作用类似于access-list,当用于路由信息过滤时,access-list的命令行会让用户难以理解,因为它用的是包过滤的格式,而

prefix-list比它更为灵活和易于为用户理解。在应用于路由信息的过滤时,其匹配对象为路由信息的目的地址信息域;它的另一种应用直接作用于路由器对象(gateway),使本地路由协议只能接收某些特定路由器发布的路由信息,这些路由器的地址必须通过prefix-list的过滤,在这种情况下,prefix-list的匹配对象为路由信息包IP报头的源地址。

一个prefix-list由列表名标识,可以分为几个部分,由sequence-number指定这几个部分的匹配顺序,在每个部分中,用户可以独立指定一个网络前缀形式的匹配范围。在匹配的过程中,不同sequence-number的各个部分之间的关系是“或”的关系,即路由信息依次匹配各个部分,通过prefix-list的某一部分,就意味着通过该prefix-list的过滤。

4. 自治系统路径信息访问列表(aspath-list)

自治系统路径信息访问列表aspath-list仅用于BGP协议。BGP协议的路由信息包中,包含一自治系统路径域,在BGP协议交换路由信息的过程中,路由信息经过的自治系统路径会记录在这个域中。aspath-list由aspath-list-number标识,用户在定义aspath-list时指定一个用于匹配路由信息aspath域的aspath的正则表达

式。可以使用aspath-list匹配BGP路由信息的自治系统路径域,过滤掉不符合条件的路由信息。对于相同的列表号,用户可以定义多条aspath-list,也即一个列表号代表一组aspath访问列表。在匹配过程中,访问列表的成员aspath-list-number之间是一种“或”的关系,即路由信息通过这组列表中的一条就意味着通过由该列表号标识的这组aspath列表的过滤。

5. 团体属性列表(community-list)

团体属性列表community-list仅用于BGP协议。BGP协议的路由信息包中,包含一个community属性域,用来标识一个团体,实际上是一种根据路由信息包发往的目的地址将其分组的方法,分组之后就可以对整组路由信息进行发布、接收或重分配等操作。团体属性列表是一种基于community信息的访问列表,用于BGP协议,其匹配对象是BGP路由信息的团体属性域。

1.3 路由策略与过滤器的关系

路由策略在起作用时,分别作用于路由引入、路由发布和路由接收过程。

在路由引入时,使用的命令为:

import-route protocol [ med med][ route-policy policy-name ]

在命令中使用路由策略来匹配和设置满足过滤条件的路由属性,在匹配AS-path时使用AS-path list-number,具体的内容要通过ip as-path acl aspath-list-number命令来设置,团体属性Community的匹配也是一样,要通过ip community-list命令来设置。在匹配IP Address时,可以使用Access-list和Prefix-

list,在后面会有详细的介绍。

在路由发布和路由接收时,都可以应用Access-list和Prefix-list来进行路由信息的过滤,另外在路由接收时可以指定只接收特定路由器发送的路由信息。在后面也会有详细的介绍。

第2章路由策略的配置

2.1 路由策略配置任务列表

路由策略的配置可以分为过滤列表的定义和过滤列表的应用两部分,过滤器的应用实际上是一个策略规则的定义过程,通过对过滤器的引用以实现路由过滤的功能。各路由协议通用的策略配置任务列表如下所示:

定义路由策略(routing policy)

定义路由策略的if-match子句

定义路由策略的apply子句

引入其他协议的路由信息

定义地址前缀列表prefix-list

配置路由过滤

2.1.1 定义路由策略(routing policy)

路由策略(routing policy)用于匹配路由信息的某些属性,并在这些属性匹配后执行某些动作。对于一个routing policy,有if-match和apply子句与其配合使用。if-match子句定义匹配准则,也就是需要通过当前routing policy的路由信息所需满足的过滤条件,匹配对象是这条路由信息的一些属性;apply子句指定动作,也就是满足由if-match子句指定的过滤条件后所执行的一些配置命令,对这

条路由信息的一些属性进行修改。一个routing policy可以分为几个部分,每个

部分都有自己的if-match子句与apply子句,由sequence-number指定这几个部

分的匹配顺序。

permit 指定所定义的路由策略节点的匹配模式为允许模式。当路由项满足该节点

的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句,如

路由项不满足该节点的if-match子句,该路由策略的下一个节点将被测试。

deny 指定所定义的路由策略节点的匹配模式为拒绝模式,当路由项满足该节点的

所有if-match子句时被拒绝通过该节点的过滤,并且不会进行下一个节点的测

试。

seq-number 标识路由策略中的一个节点,当该路由策略用于路由信息过滤时,seq-number小的节点先被测试。

需要注意的是:不同seq-number各个部分之间的关系是“或”的关系,即路由信

息依次匹配各个部分,通过routing policy的某一部分,就意味着通过该routing policy过滤。

2.1.2 定义路由策略的if-match子句

if-match子句定义匹配准则,也就是需要通过当前routing policy的路由信息所需满足的过滤条件,匹配对象是这条路由信息的一些属性。

值、OSPF的标记域与OSPF路由信息的类型。

需要注意的是:

对于一个路由策略节点,在匹配的过程中,同一部分if-match子句之间的关系是“与”的关系,即路由信息必须通过该部分所有if-match 子句的匹配才算通过routing policy该部分的过滤,可以执行apply 子句的动作。

如不指定if-match子句,则所有路由信息都会通过该节点的过滤。

2.1.3 定义路由策略的apply子句

apply子句指定动作,也就是在满足由if-match 子句指定的过滤条件后所执行的一些配置命令,对这条路由信息的一些属性进行修改。

origin属性与路由信息标记域。

2.1.4 路由策略的执行规则

一个routing policy可以分为几个部分,每个部分都有自己的if-match子句与apply子句,由sequence-number指定这几个部分的匹配顺序。在匹配的过程中,同一部分if-match子句之间的关系是“与”的关系,即路由信息必须通过该部分所有if-match子句的匹配才算通过routing policy该部分的过滤,可以执行apply子句的动作;不同sequence-number的各个部分之间的关系是“或”的关系,即路由信息依次匹配各个部分,通过routing policy的某一部分,就意味着通过该routing policy的过滤。

2.1.5 AS正则表达式

在定义AS-path列表时要用到AS正则表达式,表达式的语法如图所示。例如:

"100 200 300" 匹配 _300$ "AS300始发的路径"

"300 400 100" 匹配 ^300_ "AS300为相邻的AS自治区域"所有AS路径匹配 .* "所有AS路径"

"300 100 200 400" 匹配 _100_ "经过AS100的路径"

2.1.6 引入其他协议路由

路由协议可以通过引入其他协议路由信息的方式来共享对方的路由信息,在引入其他协议路由信息时,可以通过对一个路由策略的引用过滤掉不期望的路由信息,实现有选择的引入。进行引入操作的目的路由协议的路由权值与被引入的源路由协议的路由权值一般不能相互转换,这时就需要为引入的路由指定一个路由权值。

缺省情况下,不引入其它协议的路由信息。目前有关路由的引入有三种方式,分别是在RIP协议视图下,OSPF协议视图下和BGP视图下。下面分别进行介绍:

import-route(RIP协议配置)

import-route protocol [ cost cost][ route-policy route-policy-name] protocol指定可引入的源路由协议,目前可为direct、static、rip、ospf、ospf-ase与bgp。引入的协议是指除本路由协议以外的其它路由协议。

目前,路由策略支持引入如下协议发现的路由:

direct 本机接口直接相连的网段(或主机)路由

Static 静态路由

Rip RIP协议发现的路由

Ospf OSPF协议发现的路由

Ospf-ase OSPF协议发现的外部路由

Bgp BGP协议发现的路由

cost cost:指定RIP引入路由的cost值。

route-policy policy-name:引入路由时使用的策略

import-route(OSPF协议配置)

import-route protocol[ cost cost][ type 1 | 2 ][ tag tag-value ] [ route-policy policy-name ]

protocol:指定可引入的源路由协议,目前可为direct、static、rip与bgp。tag tag-value:是OSPF在引入其它协议路由时,设定引入路由标记域;

type:指定OSFP在引入其它协议路由时的路由类型。type 1为自治系统第一类外部路由,type 2为自治系统第二类外部路由。

import-route (BGP协议配置)

import-route protocol [ med med][ route-policy policy-name ] protocol:指定可引入的源路由协议,目前可为direct、static、rip、ospf 与ospf ase。

med med:引入外部路由的MED值。

在同时指定了路由策略和metric关键字的情况下,通过路由策略过滤的路由信息将使用该路由策略节点中apply子句指定的路由权值。

2.1.7 定义地址前缀列表

prefix-list-name:指定地址前缀列表名,唯一标识一个地址前缀列表。

index-number:标识地址前缀列表中的一条表项,index-number小的表项先被测试。当不指定index-number时,自动取该地址前缀列表所有表项的最大值加10。permit:指定所定义的地址前缀列表表项的匹配模式为允许模式。当指定为允许模式并且待过滤的IP地址在该表项指定的前缀范围内时,通过该表项的过滤,如待过滤的IP地址不在该表项指定的前缀范围内,则进行下一表项测试。

deny:指定所定义的地址前缀列表表项的匹配模式为拒绝模式。当指定为拒绝模式并且待过滤的IP地址在该表项指定的前缀范围内时,通不过该表项的过滤,并且不会进行下一个表项的测试。

network/len:指定IP地址前缀范围(IP地址/时匹配所有IP地址。

ge-value、le-value:指定匹配的地址前缀范围[ ge-value,le-value ]。其取值范围规则为len <= ge-value <=le-value <= 32,当只指定greater-equal时,表示前缀范围[ ge-value,32 ],当只指定less-equal时,表示前缀范围[ len,le-value ]。

需要注意的是:

地址前缀列表用于IP地址的过滤。一个地址前缀列表可以有若干条表项,每一表项指定一个地址前缀范围。表项之间的过滤关系是“或”的关系,即通过一条表项的过滤就意味着通过该地址前缀列表的过滤。若没有通过任一表项的过滤,则通不过该地址前缀列表的过滤。

地址前缀范围有两部分,分别由len与[ greater-equal ge-value ] [ less-equal le-value ]来确定。若两部分前缀范围都被指定,则待过滤的IP必须匹配这两部分的前缀范围。

例如:

[Quidway]

该条地址前缀列表表项表示,对待过滤IP地址的1~8位和17~18位与指定的IP 网段的1~8位和17~18位进行匹配。

2.2 配置路由过滤

在某些情况下,可能要求只发布或引入某些满足条件的路由信息以阻止邻居路由器得知某些路由,可利用路由策略中对地址前缀列表或访问列表的引用来实现对路由信息的过滤。

(1)配置对接收的路由进行过滤

定义一条策略规则,通过对一个访问控制列表或地址前缀列表的引用实现在接收路由过程中对不满足条件的路由信息进行过滤。可以通过gateway关键字指定一个地址前缀列表,过滤信息路由器的地址以实现只接收来自特定邻居路由器的更新报文。

某些情况下,路由协议可能要求忽略所接收到的某些路由信息,可以定义filter-policy,通过对地址前缀列表或访问列表的引用来实现路由信息过滤的目的。

可通过gateway来指定一个地址前缀列表,过滤发布信息路由器的地址以实现只接收来自特定邻居路由器的更新报文的目的。

请在协议视图下进行下列配置。

表2-1 配置对接收的路由信息进行过滤

举例:

定义RIP协议的路由信息接收过滤规则,凡通过地址前缀列表3过滤的路由信息才会被RIP协议接收。

[Quidway-rip] filter-policy ip-prefix 3 import

(2)配置对发布的路由进行过滤

定义一条策略规则,通过对一个访问控制列表或地址前缀列表的引用实现在路由发布的过程中过滤不满足条件的路由信息,通过指定protocol实现仅过滤发布的protocol的路由信息。

表2-2 配置对发布的路由信息进行过滤

ospf-ase和bgp。

举例:

定义RIP协议的路由信息发布过滤规则,只有通过地址前缀列表3过滤的路由信息才会被RIP协议发布。

[Quidway-rip] filter-policy ip-prefix 3 export。

2.3 路由策略的监控和维护

请在系统视图下进行配置。

例如:

(1)显示路由策略

例:[Quidway] display route-policy map1

route-policy : map1

permit 10 : apply aspath prepend 1 10

apply metric 10

apply tag 10000

matched : 0 denied : 0

(2)显示地址访问控制列表信息

例:[Quidway] display acl 100

Using normal packet-filtering access rules now. 100 deny udp any any eq rip (no matches -- rule 3)(3)显示名为p1的地址前缀列表的信息

[Quidway] display ip ip-prefix p1

ip-Prefix p1

ge 17 le 18

华为路由器路由策略和策略路由

路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL

路由策略与引入

课程 DA000012 路由策略与引入 ISSUE

目录 课程说明 ......................................................................................................................................... 课程介绍......................................................................................................................................... 课程目标.........................................................................................................................................第1章 IP路由策略概述.................................................................................................................. 路由策略的作用............................................................................................................................. 和策略相关的五种过滤器 .............................................................................................................. 路由策略与过滤器的关系 ..............................................................................................................第2章路由策略的配置 .................................................................................................................. 路由策略配置任务列表.................................................................................................................. 定义路由策略(routing policy) ............................................................................................ 定义路由策略的if-match子句 .............................................................................................. 定义路由策略的apply子句.................................................................................................... 路由策略的执行规则.............................................................................................................. AS正则表达式....................................................................................................................... 引入其他协议路由.................................................................................................................. 定义地址前缀列表.................................................................................................................. 配置路由过滤 ................................................................................................................................ 路由策略的监控和维护..................................................................................................................第3章路由策略的应用示例........................................................................................................... 案例一:过滤引入的路由信息....................................................................................................... 案例二:路由发布时的过滤........................................................................................................... 案例三:路由接收时的过滤........................................................................................................... 案例四:路由接收时的过滤...........................................................................................................

SR8800-X核心路由器策略路由配置指导

H3C SR8800-X 核心路由器 策略路由配置指导

目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 4.7 组网需求 (4) 4.8 配置思路 (5) 4.9 使用版本 (5) 4.10 配置步骤 (5) 4.11 验证配置 (6) 4.12 配置文件 (6) 5 相关资料 (7)

1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 ?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用,指导其转发,对本地产生的报文不起作用; ?配置重定向到下一跳时,不能将IPv4 规则重定向到IPv6 地址,反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如图1 所示,缺省情况下,Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由,对于访问Server 的报文实现如下要求: (1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文,将该报文的下一 跳重定向到10.5.1.2; (2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文,将该报文的下一跳重定向到 10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图

华为路由器路由策略和策略路由配置与管理

路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。

匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。

Juniper 防火墙策略路由配置

Juniper 防火墙策略路由配置 一、网络拓扑图 要求: 1、默认路由走电信; 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址,走电信,访问互联网走网通; 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加:

Extended acl id:acl 编号Sequence No.:条目编号源地址:192.168.1.10/32 目的地址:1.0.0.0/8 Protocol:选择为any 端口号选择为:1-65535 点击ok:

2、点击add seg No.再建立一条同样的acl,但protocol 为icmp,否则在trace route 的时候仍然后走默认路由:

3、建立目的地址为0.0.0.0 的acl: 切记添加一条协议为icmp 的acl; 命令行: set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol

路由引入与路由策略

路由引入与路由策略 [H3C]sysname RTA [RTA]int g0/0 [RTA-GigabitEthernet0/0]ip add 10.0.1.1 24 [RTA-GigabitEthernet0/0]int g0/1 [RTA-GigabitEthernet0/1]ip add 192.168.1.6 30 [RTA-GigabitEthernet0/1]int g0/2 [RTA-GigabitEthernet0/2]ip add 192.168.1.1 30 [RTA-GigabitEthernet0/2]qu [RTA]rip 2 [RTA-rip-2]version 2 [RTA-rip-2]net 19.168.1.0 [RTA-rip-2]net 192.168.1.4 [RTA-rip-2]net 10.0.1.0

[RTA-rip-2]undo summary [RTA-rip-2]qu [RTA]ip route-static 10.1.0.0 24 10.0.1.6 [RTA]ip route-static 10.1.1.0 24 10.0.1.6 [RTA]rip 2 [RTA-rip-2]import-route st [RTA-rip-2]import-route static cost 2 [RTA-rip-2]quit sys System View: return to User View with Ctrl+Z. [H3C]sysname RTB [RTB]int g0/2 [RTB-GigabitEthernet0/2]ip add 192.168.1.2 30 [RTB-GigabitEthernet0/2]int g0/1 [RTB-GigabitEthernet0/1]ip add 192.168.2.1 30 [RTB-GigabitEthernet0/1]qu [RTB]rip 2 [RTB-rip-2]version 2 [RTB-rip-2]net 192.168.1.0 [RTB-rip-2]net 192.168.2.0

策略路由配置命令

一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下,配置distribute 列表,引用acl 1,过滤从ospf 1重发布到rip的网络路由。也就是说,通过该路由器进行ospf的重发布到rip网络中,过滤acl 1的数据。在该例中的意思就是ospf中如果有数据属于192.168.1.0/24,那么在rip 网络中无法学习到这些路由。由于重发布的命令是redistribute,所以这里可以理解为发布到rip网络中。=============================================================================== ============================================ 二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称,10为序列号,下述条件如果成立的话动作为permit。注意:route-map和acl相同的是,在尾部都有隐藏的默认拒绝所有的条件。 3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足 4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候,对route-map的ospf-rip条目进行匹配过滤。在该例中就是禁止192.168.1.0/24的网络通过路由重发布到rip网络中,也就阻止了rip网络中的路由器学习到该路由。 =============================================================================== ============================================ 三、策略路由 1.定义acl (conf)#access-list 1 permit host 192.168.1.1 2.定义route-map (conf)# route-map pdb permit 10 其中pdb为route-map的名称,10为序列号

华为策略路由配置实例

华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。 ?system-view [HUAWEI]?sysnameSwitch [Switch]?vlanbatch100200 #?配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk,并加入VLAN100和VLAN200。 [Switch]?interfacegigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1]?portlink-typetrunk [Switch-GigabitEthernet1/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/1]?quit

[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2

cisco思科策略路由的概念原理配置实例

策略路由 1策略路由概述.............................................. 1.1普通路由的概念 ..................................... 1.2 策略路由的概念..................................... 1.2.1 策略路由..................................... 1.2.2 路由策略..................................... 2 策略路由的实现原理....................................... 2.1 策略路由的好处..................................... 2.2 策略路由的流程..................................... 2.3策略路由的处理流程 ................................. 2.3.1 流模式和逐包模式............................. 2.3.2 流模式流程图................................. 2.3.2 路由器流模式及逐包模式切换命令............... 2.4 Route-map原理与执行 ............................... 2.4.1 Route-map概念 ............................... 2.4.2 理解Route-map ............................... 2.4.3 Route-map 的执行语句........................ 3 策略路由的规划设计....................................... 3.1 策略路由的适用环境................................. 3.2 策略路由的配置..................................... 3.2.1 路由器基本配置...............................

策略路由配置详解

38策略路由配置 38.1理解策略路由 38.1.1策略路由概述 策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵 活地进行路由选择。 现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何 策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文 则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。 用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型: 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由,而对于从该接口转发出去的报文不受策略路由的控制; 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文,对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由,必须先创建路由图,然后在接口上应用该路由图。一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。

ospf 路由策略配置

A B B路由器和A路由器之间运行OSPF协议,B路由器通过OSPF发布三条静态路由到A路由器,静态路由的目的网段为5.5.5.5,6.6.6.6,7.7.7.7,类型为第一类外部路由,A路由器学到的5.5.5.5.的cost值比6.6.6.6和7.7.7.7的cost值小。配置如下: B路由器 router id 2.2.2.2 # interface Ethernet4/2/0 ip address 11.11.11.12 255.255.255.0 # acl number 1 rule 0 permit source 5.5.5.5 0 # acl number 2 rule 0 deny source 5.5.5.5 0 rule 1 permit # ospf import-route static cost 100 type 1 route-policy cost # area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 11.11.11.0 0.0.0.255 # route-policy cost permit node 10 if-match acl 1 apply cost 10 route-policy cost permit node 20 if-match acl 2 # ip route-static 5.5.5.5 255.255.255.255 NULL 0 preference 60 ip route-static 6.6.6.6 255.255.255.255 NULL 0 preference 60 ip route-static 7.7.7.7 255.255.255.255 NULL 0 preference 60 #

华为AR1200 路由器策略路由配置

华为AR1200 路由器策略路由配置 [Huawei]display current-configuration [V200R007C00SPC900] # drop illegal-mac alarm # l2tp enable # ipv6 # ip load-balance hash src-ip # dns resolve dns server 219.141.136.10 dns server 219.141.140.10 dns proxy enable # vlan batch 2 # dhcp enable #

pki realm default enrollment self-signed # ssl policy default_policy type server pki-realm default # aclnumber 2999 rule 5 permit source 172.16.10.0 0.0.1.255 # acl number 3000 1;创建用于策略路由的ACL rule 5 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 用于策略路由及默认路由两个网段之间互通的ACL rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255 # traffic classifier 2 operator or 2;创建traffic classifier 匹配acl两个网段互通 if-match acl 3001 traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由 if-match acl 3000 # traffic behavior 2 3创建流行为网段互通不做任何行为

路由策略与策略路由详解

在网络设备维护上,现在很多维护的资料上都讲到“路由策略”与“策略路由”这两个名词,但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻,无法准确把握这两者之间的联系与区别。本文简单分析一下这两者之间的概念,并介绍一些事例,希望大家能从事例中得到更深的理解。 一、路由策略 路由策略,是路由发布和接收的策略。其实,选择路由协议本身也是一种路由策略,因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的。通常我们所说的路由策略指的是,在正常的路由协议之上,我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,注意,改变的是结果(即路由表),规则并没有改变,而是应用这些规则。 下面给出一些事例来说明。 改变参数的例子:例如,A路由器和B路由器之间是双链路(分别为AB1和AB2)且带宽相同,运行是OSPF路由协议,但是两条链路的稳定性不一样,公司想设置AB1为主用电路,当主用电路(AB1)出现故障的时候才采用备用电路(AB2),如果采取默认设置,则两条电路为负载均衡,这时就可以采取分别设置AB1和AB2电路的COST(开销)值,将AB1电路的COST值改小或将AB2电路的COST值设大,OSPF会产生两条开销不一样的路由,COST(开销)越小路由代价越低,所以优先级越高,路由器会优先采用AB1的电路。还可以不改COST值,而将两条电路的带宽(BandWidth)设置为不一致,将AB1的带宽设置的比AB2的大,根据OSPF路由产生和发现规则,AB1的开销(COST)会比AB2低,路由器同样会优先采用AB1的电路。 改变控制方式的例子,基本就是使用路由过滤策略,通过路由策略对符合一点规则的路由进行一些操作,例如最普通操作的是拒绝(deny)和允许(Permit),其次是在允许的基础上调整这些路由的一些参数,例如COST值等等,通常使用的策略有ACL(Acess Control List访问控制列表)、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP协议配合使用中,属于路由接收和通告原则。 例如,上图中AS1不向AS2发布19.1.1.1/32这个网段,可以设置ACL列表,在RTB上设置(以华为的路由器为例): [RTB]acl number 1 match-order auto [RTB-acl-basic-1]rule deny source 19.1.1.1 0 [RTB-acl-basic-1]rule permit source any [RTB]bgp 1 [RTB-bgp]peer 2.2.2.2 as-number 2 [RTB-bgp] import-route ospf [RTB-bgp] peer 2.2.2.2 filter-policy 1 export 如果B向C发布了这条路由,但是C不想接收这条路由,则C可以设置: [RTC]acl number 1 match-order auto

华为路由器路由策略和策略路由

! 路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 " 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 % 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。

图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 . deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 @ 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。

ACL ,地址前缀,路由策略,策略路由之间的区别

1.ACL,它使用包过滤技术,在路由器上读取第3层及第4层包头中的信息,如源地址,目的地址,源端口和目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 2.ACL应用与接口上,每个接口的inbound,outbound 两个方向上分别进行过滤。 3.ACL可以应用于诸多方面 包过滤防火墙功能:保证合法用户的报文通过及拒绝

非法用户的访问。NAT:通过设置ACL来规定哪些数据包需要地址转换。 QoS:通过ACL实现数据分类,对不同类别的数据提供有差别的服务。 路由策略和过滤:对路由信息进行过滤。 按需拨号:只有发送某类数据时,路由器才会发起PSTN/ISDN拨号。

地址前缀列表 1.前缀列表是一组路由信息过滤规则,它可以应用在各种动态路由协议中,对路由协议发布出去和接受到的路由信息进行过滤。 2.前缀列表的优点: ? 占用较小的CPU资源大容量prefix-list的装入速度和查找速度较快 ? 可以在不删除整个列表的情况下添加删除和插入规则 ? 配置简单直观

? 使用灵活可以实现强大的过滤功能 3.前缀列表中的每一条规则都有一个序列号,匹配的时候根据序列号从小往大的顺序进行匹配。 4.prefix-list的匹配满足一下条件: ? 一个空的prefix-list允许所有的前缀 ? 所有非空的prefix-list最后有一条隐含的规则禁止所有的前缀 ? 序列号小的规则先匹

配 路由策略 1.路由策略是为了改变网络流量所经过的途径而修改路由信息的技术。 2.Route-policy是实现路由策略的工具,其作用包括:?路由过滤 ?改变路由信息属性 3路由策略

相关主题