路由策略与策略路由要点课件

1、路由策略与策略路由V1.0数据用服部学习目标了解路由策略的作用掌握定义路由策略的方法熟悉路由策略的应用了解策略路由的作用熟悉策略路由的应用学习内容第一章 路由策略第二章 策略路由学习内容第一章 路由策略 第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用问题一：B路由器需要对A路由器发布的路由进行选择，只接收20.1.1.1/32网段的路由，屏蔽30.1.1.1/32网段的路由问题二：A路由器只对B发布本AS100域内产生的路由，其他路由条目出于安全考虑，需要对B屏蔽问题三：路由器B需要路由器优先选择10.1.1.0/32网段的链路通往AS100AS100AS20

2、010.1.1.1/3010.1.1.2/3020.1.1.1/3020.1.1.2/30Lo0:30.1.1.1/32Lo1:20.1.1.1/32ABAB什么是路由策略需要一个有效的方法解决上面的问题！路由策略路由策略的作用过滤发布和接收的路由信息灵活地控制路由属性问题一解决方案：B路由器通过使用路由策略过滤接收的路由信息，只接收20.1.1.1/32网段的路由，屏蔽30.1.1.1/32网段的路由问题二解决方案：A路由器通过路由策略过滤对B发布的路由信息，只发布只本AS100域内产生的路由，其他路由不对B发布问题三解决方案：路由器B通过使用路由策略修改由10.1.1.0/30网段链路接收

3、到的路由条目的优先级，使其优先级高于从20.1.1.0/30网段链路学习到的路由条目用路由策略解决这些问题AS100AS20010.1.1.1/3010.1.1.2/3020.1.1.1/3020.1.1.2/30Lo0:30.1.1.1/32Lo1:20.1.1.1/32ABAB学习内容第一章 路由策略 第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用路由策略的定义方法(1)路由映像(route-map) 根据匹配条件进行设置，主要由match和set语句组成访问控制列表(access control list) 用于配置匹配条件前缀列表(prefix-lis

4、t ) 作用类似ACL，用于配置匹配条件，可单独使用，也可与路由映像、area filter-list结合使用自治系统路径访问列表(as-path access-list ) 仅针对BGP协议，用于匹配BGP路由信息的自治系统路径域，与路由映像结合使用路由策略的定义方法(2)团体属性列表(community-list) 仅针对BGP协议，用于匹配BGP路由信息的自治系统团体域，与路由映像结合使用OSPF路由过滤器(filter) 仅针对OSPF协议，用于过滤Type-5、Type-7 LSAOSPF区域过滤列表(area filter-list) 仅针对OSPF协议区域间路由过滤，过滤Type

5、-3 LSAroute-maproute-map permit|deny match 匹配条件 set 动作route-map由一系列的match子句和set子句组成序列号小的先执行匹配AS-path时使用as-path access-list匹配community时使用community-list匹配IP address时使用access-listroute-mapmatch语句match的匹配条件match ip address | prefix-list match metric match tag match as-path match community-list match rou

6、te-type | external route-mapset语句set可以执行的动作set as-path prepend set community no-advertise | no-export | no-export-subconfed set dampening set local-preference set metric +|- set metric-type internal | external | type-1 | type-2 set origin igp | egp | incomplete set tag route-map示例定义一个名为test的route-ma

7、proute-map test permit 2 /sequence-number为2 match set route-map test permit 3 /sequence-number为3 match set 该示例中，route-map由2个部分组成，sequence-number为2的部分将优先执行。如果匹配了sequence-number为2的match部分，则对匹配的部分进行相应的set操作，如果不匹配sequence-number为2的部分，则继续匹配下一跳sequence-number为3的部分。如果都不匹配，默认为deny，此路由条目将不被发布或者接收。route-map执行

8、原则(1)组合一：access-list 1 permit 1.1.1.1 0.0.0.0route-map redistribute permit 10match ip address 1set metric 300router ospf 100redistribute static route-map redistribute 结果： 重分发成功,指向1.1.1.1的静态路由被重分发到OSPF,并且METRIC值被设置为300route-map执行原则(2)组合二：access-list 1 permit 1.1.1.1 0.0.0.0route-map redistribute deny

9、 10match ip address 1set metric 120router ospf 100redistribute static route-map redistribute 结果： 所有的静态路由都不能够重分发route-map执行原则(3)组合三：access-list 1 deny 1.1.1.1 0.0.0.0access-list 1 permit anyroute-map redistribute deny 10match ip address 1 set metric 300route-map redistribute permit 20router ospf 100r

10、edistribute static route-map redistribute 结果： 指向1.1.1.1的静态路由被重分发到OSPF,但是metric值使用默认值。其他静态路由不能够被重分发。ACL最常用的用于设置匹配条件的方法标准ACL，只能以源地址作为过滤条件 access-list deny | permit 扩展ACL，可以源和目的地址、源和目的端口、协议类型作为精确的过滤条件 access-list permit | deny source destination prefix-list设置匹配条件的方法，与access-list类似 ip prefix-list prefix

11、-list name permit | deny network length ge greater-equal | le less-equal 注：length ge-value le-value32 地址前缀范围有两部分，分别由length与ge、le来确定。若两部分前缀范围都被指定，则待过滤的IP必须同时匹配这两部分的前缀范围。 例如：zxr10(config)# ip prefix-list test permit 10.1.1.0 8 ge 15 le 16 该条地址前缀列表表示：过滤发布IP地址的前8位必须与10.1.1.0匹配， 其子网掩码在1516位的路由条目思考一下：这样一条

12、路由条目10.1.3.0/9是否能匹配该前缀列表？10.1.4.0/15呢，是否能匹配该前缀列表？as-path access-list定义AS路径的表达式AS路径记录了BGP路由信息经过的AS系统ip as-path access-list permit|deny 使用as-path access-list作为定义路由策略的方法仅适用于BGP协议as-path access-listAS正则表达式字符含义$输入字符串的结束.任意单字符_字符串的开始和结束输入字符串的开始AS路径的正则表达式用来定义匹配BGP路由信息的AS路径条件as-path access-listAS正则表达式示例表达式含

13、义$ 不经过任何AS路径，即本地始发的路由 100$ 仅指源于AS100且未经过任何其他AS的路由 _100$ 匹配所有源自AS100始发的路径 _100_ 经过AS100的路径 100_ 最后经过的AS为100的路径 as-path access-list配置示例 作为路由策略的匹配方法，as-path access-list往往不单独使用，我们通常使用as-path access-list作为route-map中match语句的匹配条件 配置示例：route-map test permit 3 match as-path 10 set动作ip as-path access-list 10

14、permit $ /as-path access-list10 为允许从自己开始到自己结束的AS路径community-list定义团体属性列表的表达式ip community-list permit|deny 与route-map的配合使用的示例 route-map test permit 3 match community-list 1 set 动作 ip community-list 1 deny 5 ip community-list 1 permit any /community-list 1表示团体5的路由之外，允许其它所有路由团体属性列表community-list仅用于BGP协

15、议。BGP协议的路由信息包中，包含一个community属性字段 filterfilter定义：OSPF路由配置模式下：filter exact 在路由表中，配置了filter的路由才允许进入，如果没有配置则全部deny。用此命令可过滤LSA为5类、7类的路由。 filter使用示例router ospf 100 filter 5.5.5.5 255.255.255.255 10 过滤只允许5.5.5.5 的路由导入路由表，并将优先级改为10，其他路由全部deny。注意： filter命令只能过滤5类和7类的LSA，对于其他类型LSA没有效果，同时这里的过滤指的是控制该LSA是否导入路由表，不

16、能控制外部LSA的学习，也就是说filter过滤不映像OSPF数据库中LSA的学习。OSPF区域过滤列表(area filter-list)定义area filter-list prefix out | in in表示某区域允许或者禁止某些3类LSA导入out 表示某区域允许或者禁止网段导出到其他的区域只对3类LSA有效，允许或禁止操作由prefix定义，prefix默认deny all只在ABR上使用OSPF区域过滤列表与prefix-list使用示例ZXR10(config)# ip prefix-list test seq 1 deny 20.20.20.0 24 ZXR10(confi

17、g)#ip prefix-list test seq 2 permit 0.0.0.0 0 ZXR10(config)#router ospf 1ZXR10(config-router)#network 10.10.10.0 0.0.0.255 area 0.0.0.0ZXR10(config-router)# network 20.10.10.0 0.0.0.255 area 0.0.0.100ZXR10(config-router)#area 0.0.0.0 filter-list prefix test out 这样配置的结果是：不对0区域发布20.20.20.0/24网段的3类LSA。

18、OSPF区域过滤列表(area filter-list)思考：如果不配置ip prefix-list test seq 2 permit 0.0.0.0 0 ，那么结果如何？学习内容第一章 路由策略 第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用常见的路由策略应用有选择的接收路由信息RIP和BGP对邻居发布的路由直接进行选择链路状态协议无法直接对LSA选择，只能选择是否导入路由表有选择的发布路由信息neighbor 100.100.100.1 route-map test out route-map test permit 3 match ip address

19、 10 access-list 10 permit 200.1.1.0 0.0.0.255设置引入路由的属性redistribute metric route-map 路由策略应用示例一(1)ABAS100AS200Lo1:20.1.1.1/32Lo2:30.1.1.1/3210.1.1.1/3010.1.1.2/30B路由器对A路由器发布的路由进行选择，只接收20.1.1.1/32网段的路由，屏蔽30.1.1.1/32网段的路由AB路由策略应用示例一(2)Router B的关键配置(使用acl)：配置BGP协议router bgp 200 neighbor 10.1.1.1 remote-a

20、s 100 neighbor 10.1.1.1 route-map test in /只接收route-map test定义的路由 配置route-maproute-map test permit 3 match ip address 10 access-list 10 permit 20.1.1.1 0.0.0.0 路由策略应用示例一(3)Router B的关键配置(使用prefix-list)：配置BGP协议router bgp 200 neighbor 10.1.1.1 remote-as 100 neighbor 10.1.1.1 route-map test in 配置route-m

21、aproute-map test permit 3 match ip address prefix-list filter ip prefix-list filter permit 20.1.1.1 32 路由策略应用示例二(1)AS100AS20010.1.1.1/3010.1.1.2/3020.1.1.1/3020.1.1.2/30Lo0:30.1.1.1/32B路由器可以从两个方向学习到路由30.1.1.1/32，通过路由策略优先使用从10.1.1.2学习到的路由。ABAB路由策略应用示例二(2)Router B的关键配置：配置BGP协议router bgp 200 neighbor 1

22、0.1.1.1 remote-as 100 neighbor 10.1.1.1 route-map higher-pref in neighbor 20.1.1.1 remote-as 100 neighbor 20.1.1.1 route-map lower-pref in配置route-maproute-map higher-pref permit 10 set local preference 200route-map lower-pref permit 10 set local preference 100路由策略应用示例三(1)ABLo1:20.1.1.1/32Lo2:30.1.1.

23、1/3240.1.1.1/3040.1.1.2/30A路由器引入直连路由20.1.1.1/32和30.1.1.1/32，B路由器通过策略只引入30.1.1.1/32网段。AREA 0AB路由策略应用示例三(2)Router B的配置：配置OSPF协议router ospf 200 network 40.1.1.0 0.0.0.3 area 0 filter 30.1.1.1 255.255.255.255 110注意： 在route-B的LSA中可以看见20.1.1.1/32和30.1.1.1/32相关的链路状态信息。启用了filter命令后，将禁止20.1.1.1/32导入路由表。学习内容第

24、二章 策略路由 第一节 策略路由的作用 第二节 策略路由的配置步骤 第三节 常见的策略路由的应用需求 ISP1 ISP2 202.102.11.0/24222.1.0.0/24 212.0.1.1/30200.30.10.1/30Bfei_1/1AB202.102.11.0/24网段用户为ISP1的用户，地址由ISP1分配，222.1.0.0/24网段用户为ISP2的用户，地址由ISP2分配要求实现：ISP1的用户通过ISP1的出口上INTERNET，ISP2的用户通过ISP2的出口上INTERNET需求解决方法 ISP1 ISP2 202.102.11.0/24222.1.0.0/24 21

25、2.0.1.1/30200.30.10.1/30Bfei_1/1AB解决方法：根据用户的源地址，人为的为用户指定出口。通过策略路由实现，为特定的数据包转发指定特定的路线策略路由的作用普通的路由方式按照IP包的目的地址查找路由表进行转发策略路由方式根据策略进行路径选择，可以不用根据路由表进行转发路由策略方式对路由信息进行控制的一种方法学习内容第二章 策略路由 第一节 策略路由的作用 第二节 策略路由的配置步骤 第三节 常见的策略路由的应用策略路由的配置步骤定义路由映象route-map permit|deny match 匹配条件 set 动作这里的match与ACL结合使用,set动作用于设置

26、下一跳地址或接口(只有next-hop和interface两个动作)，通过设置多个下一跳地址可以实现路由备份。在接口上应用interface ip policy route-map 学习内容第二章 策略路由 第一节 策略路由的作用 第二节 策略路由的配置步骤 第三节 常见的策略路由的应用策略路由示例(1)A路由器连接两个ISP，其中202.102.11.0/24是ISP1分配的地址222.1.0.0/24是ISP2分配的地址；ISP1与A路由器互联的地址是212.0.1.1,ISP2与A路由器互联的地址是200.30.10.1。 ISP1 ISP2 202.102.11.0/24222.1.0.0/24 21