路由控制与和路由选择 .ppt

DP500027 路由控制和路由选择 ISSUE 1.0 参考资料 VRP 操作手册 学习完此课程，您将会： 理解过滤的各种工具及其作用 学会路由策略的各种应用 学会应用策略路由 过滤的工具 访问控制列表（access-list） 用于匹配路由信息或者数据包的地址，过滤不符合条件的路由信息或数据包 前缀列表（prefix-list） 匹配对象为路由信息的目的地址或直接作用于路由器对象（gateway） 自治系统路径信息访问列表（ as-path-filter） 仅用于BGP协议，匹配BGP路由信息的自治系统路径域 团体属性列表（ community-filter） 仅用于BGP协议，匹配BGP路由信息的自治系统团体域 路由策略（route-policy） 设定匹配条件，属性匹配后进行设置，由if-match和apply子句组成 过滤的工具 访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据源地址、目的地址、端口号等来描述。 按照访问控制列表的用途，可以分为三类： 基本的访问控制列表（basic acl） 高级的访问控制列表（advanced acl） 基于接口的访问控制列表（interface-based acl） 访问控制列表的使用用途是依靠数字的范围来指定的 2000～2999：基本的访问控制列表 3000～3999：高级的访问控制列表 1000～1999：基于接口的访问控制列表 过滤的工具 有两种匹配顺序： 配置顺序 配置顺序，是指按照用户配置ACL的规则的先后进行匹配 自动排序 自动排序使用“深度优先”的原则 “深度优先”规则是把指定范围最小的语句排在最前面 过滤的工具 前缀列表用来过滤IP前缀，能同时匹配前缀号和前缀长度 前缀列表的性能比访问控制列表高 前缀列表不能用于数据包的过滤 例：ip ip-prefix test index 10 permit 16 greater-equal 24 less-equal 28 前缀号必须为10.0 24=前缀长度=28 满足条件的如/24, /25, 92/26 过滤的工具 ASPATH列表用来过滤BGP的AS-PATH属性 ASPATH属性使用正则表达式来定义 举例 匹配所有AS-PATH属性 ip as-path-filter 10 permit .* 匹配从AS100发起的路由ip as-path-filter 10 permit _100$ 匹配从AS200接收的路由ip as-path-filter 10 permit ^200_ 过滤的工具 过滤的工具 团体列表用来根据团体属性表示和过滤BGP路由 团体列表有基本的和高级的两种 基本团体列表用来匹配实际的团体属性值和常量 ip community-filter 1 permit 100:1 100:2 ip community-filter 1 permit 100:1 ip community-filter 1 permit no-export 高级团体列表可以使用正则表达式 ip community-filter 100 permit ^10 过滤的工具 一个routing policy下可以有多个节点，不同的节点号用seq-number标识，不同seq-number各个部分之间的关系是“或”的关系 每个节点下可以有多个if-match和apply子句，if-match子句之间是“与”的关系 允许模式：当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的if-match子句，该路由策略的下一个节点将被测试 拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤，并且不会进行下一个节点的测试 If-match子句可以引用其它的过滤器 过滤的工具 路由引入 在一个路由协议中通告其它途径学习到的路由 “其它途径”包括 直连网络 静态路由 其它路由协议 路由引入 路由引入 路由引入 路由引入 部署不同路由协议的机构合并 不同的网络使用不同的协议，并且这些网络需要共享路由信息 简单的网络可以使用RIP 网络类型复杂的可以选用OSPF 大型骨干网络一般选用ISIS 网络协议的限制 比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适合运行ISIS协议的 需要配置静态路由，然后把静态路由引入到ISIS 路由引入 次优路由 路由引入 路由环路 路由引入 开销值的变化 路由过滤的作用 避免路由引入导致的次优路由 避免路由回馈导致的路由环路 进行精确的路由引入和路由通告控制 路由过滤的作用 路由过滤的作用 路由过滤的作用 /24 /32 /24 /24 /24 路由过滤 在出方向