路由策略及路由协议组网应用.ppt

,路由策略 路由协议组网应用,数据通信技术支持部,第1章 路由策略原理 第2章 策略路由原理,概述,课程内容 路由策略基本知识 ospf路由策略 一般使用方法及配置 isis路由策略 一般使用方法及配置 bgp路由策略 一般使用方法及配置 各协议大型组网应用及案例 课程目标 掌握基本的路由策略 掌握常用路由协议ospf、isis、bgp常用的路由策略 了解目前大型组网及组网中路由协议的典型规划及联合使用,路由策略基本知识,基本访问控制列表 acl number 2000 rule 11 permit source 10.0.0.0 0.0.0.255 基本acl只通过源地址建立rule规则 高级访问控制列表 acl number 3000 rule 10 permit ip source 10.0.0.0 0.0.0.255 destination 30.0.0.0 0.0.0.255 高级acl可以通过源址、源端口号、目的地址、目的端口号等建立rule规则课程目标 地址前缀列表： ip ip-prefix tian index 33 permit 20.0.0.0 24,过滤的工具,访问控制列表（access-list） 用于匹配路由信息或者数据包的地址，过滤不符合条件的路由信息或数据包 前缀列表（prefix-list） 匹配对象为路由信息的目的地址或直接作用于路由器对象（gateway） 自治系统路径信息访问列表（ as-path-filter） 仅用于bgp协议，匹配bgp路由信息的自治系统路径域 团体属性列表（ community-filter） 仅用于bgp协议，匹配bgp路由信息的自治系统团体域 路由策略（route-policy） 设定匹配条件，属性匹配后进行设置，由if-match和apply子句组成,五种过滤工具,过滤的工具,访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据源地址、目的地址、端口号等来描述。 按照访问控制列表的用途，可以分为三类： 基本的访问控制列表（basic acl） 高级的访问控制列表（advanced acl） 基于接口的访问控制列表（interface-based acl） 访问控制列表的使用用途是依靠数字的范围来指定的 20002999：基本的访问控制列表 30003999：高级的访问控制列表 10001999：基于接口的访问控制列表,访问控制列表,过滤的工具,有两种匹配顺序： 配置顺序 配置顺序，是指按照用户配置acl的规则的先后进行匹配 自动排序 自动排序使用“深度优先”的原则 “深度优先”规则是把指定范围最小的语句排在最前面,访问控制列表(续),过滤的工具,路由的路由表中有172.0.0.0/16、172.1.0.0/16、172.2.0.0/16、172.3.0.0/16、172.4.0.0/16、172.5.0.0/16、172.6.0.0/16这些网段的路由，怎样可以将b位为偶数的路由匹配出来？,acl举例,通过acl过滤路由： acl nu 2000 ma auto rule 5 deny sou 172.0.0.0 0.254.0.0 rule 10 permit,路由表中只剩下172.2.0.0/16、172.4.0.0/16、172.6.0.0/16,过滤的工具,前缀列表用来过滤ip前缀，能同时匹配前缀号和前缀长度 前缀列表的性能比访问控制列表高 前缀列表不能用于数据包的过滤 ip ip-prefix ip-prefix-name index index-number permit | deny ip-address mask-length greater-equal greater-equal-value less-equal less-equal-value ip-address：指定ip地址、mask-length：掩码长度。 greater-equal greater-equal-value | less-equal less-equal-value：如果ip地址和掩码长度都已匹配，则使用该参数来指定地址前缀范围。greater-equal的意思是“大于等于”；less-equal的意思是“小于等于”。长度范围可以表达为mask-length = greater-equal-value = less-equal-value = 32。如果只指定了greater-equal，前缀范围为greater-equal-value，32；如果只指定了less-equal，前缀范围为mask-length，less-equal-value。,前缀列表,过滤的工具,只允许10.0.0.0/8网段内，掩码长度在17到18之间的路由通过,前缀列表举例,通过前缀列表： ip ip-prefix p1 permit 10.0.0.0 8 greater-equal 17 less-equal 18,过滤的工具,路由的路由表中有172.0.0.0/8、172.0.0.0/16、172.1.0.0/16、172.2.0.0/16、172.3.0.0/16、172.4.0.0/16、172.5.0.0/16、172.6.0.0/16等路由，怎样只将路由表中172.0.0.0/8的路由过滤掉？,前缀列表举例,通过前缀列表： ip ip-prefix 172 index 10 deny 172.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix 172 index 20 permit 0.0.0.0 0 less-qual 32,过滤的工具,路由的路由表中有1.1.1.0/24、172.0.0.0/8、172.0.0.0/16、172.1.0.0/16、172.2.0.0/16、172.3.0.0/16、172.4.0.0/16、172.5.0.0/16、172.6.0.0/16;100.0.0.0/8、100.0.0.0/16、100.1.0.0/16、100.255.0.0/16、96.0.0.0/6、100.0.0.0/7 等路由，怎样将掩码大于等于9位的路由都过滤掉，并且保留大客户的1.1.1.0/24 路由？,前缀列表举例,通过前缀列表： ip ip-prefix 172 index 10 per 0.0.0.0 0 greater-equal 0 less-equal 8 ip ip-prefix 172 index 20 per 1.1.1.0 24 greater-equal 24 less-equal 24,过滤的工具,如果运营商要求骨干网不从城域网学习缺省路由、私网路由和掩码大于18位的路由，那么在骨干网落地设备上该如何设置？,思考,ip ip-prefix rfc1918 index 10 deny 0.0.0.0 0 ip ip-prefix rfc1918 index 20 deny 10.0.0.0 8 greater 8 less-equal 32 ip ip-prefix rfc1918 index 30 deny 172.16.0.0 12 greater 12 less-equal 32 ip ip-prefix rfc1918 index 40 deny 192.168.0.0 16 greater 16 less-equal 32 ip ip-prefix rfc1918 index 50 deny 0.0.0.0 0 greater-equal 19 less-equal 32 ip ip-prefix rfc1918 index 60 permit 0.0.0.0 0 less-equal 32 bgp peer ebgp ip-prefix rfc1918 import,过滤的工具,aspath列表用来过滤bgp的as-path属性 aspath属性使用正则表达式来定义 举例 匹配所有as-path属性 ip as-path-filter 10 permit .* 匹配从as100发起的路由ip as-path-filter 10 permit _100$ 匹配从as200接收的路由ip as-path-filter 10 permit 200_,aspath 列表和正则表达式,过滤的工具,aspath 列表和正则表达式,过滤的工具,团体列表用来根据团体属性表示和过滤bgp路由 团体列表有基本的和高级的两种 基本团体列表用来匹配实际的团体属性值和常量 ip community-filter 1 permit 100:1 100:2 ip community-filter 1 permit 100:1 ip community-filter 1 permit no-export 高级团体列表可以使用正则表达式 ip community-filter 100 permit 10,团体列表,路由策略基本知识,as-path访问控制列表 ip as-path-acl 100 permit 300$ route-policy if-match apply route-policy tian permit node 10 同一个名字下可建立多个 if-match acl 1 通过node值进行顺序选择 apply cost 100,if-match apply详解,过滤的工具,一个routing policy下可以有多个节点，不同的节点号用seq-number标识，不同seq-number各个部分之间的关系是“或”的关系 每个节点下可以有多个if-match和apply子句，if-match子句之间是“与”的关系 允许模式：当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的if-match子句，该路由策略的下一个节点将被测试 拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤，并且不会进行下一个节点的测试 if-match子句可以引用其它的过滤器,route-policy,ospf路由策略,默认路由发布策略 如果是强制发布默认路由，在本地不会生成默认路由，且也不会学习其它ospf发布的默认路由。 通过更改ospf的协议优先级，定制设备的选路策略 通过在ospf下执行perfence配置实现 通过更改链路的cost定制路由选路策略 在接口下通过ospf cost xxxx定制。,路由示例,cost示例,ospf路由策略,引入其它协议时定制策略 引入其它协议路由，默认是没有策略，但在引入时可以通过import-route 命令内的 route-policy 选项增加对路由的控制。但此类控制可定制要引入的路由，并可以改变路由一些属性。 import-route static route-policy tian 5）路由接收和发布时制定策略 在ospf视图下通过 filter-policy acl-number / ip-prefix ip-prefix-name import/export 命令实现,filter-policy示例,isis路由策略,isis默认路由策略 i 内部路由器（level1）会根据出口路由器发布的att信息自动计算升成指向出口路由器的默认路由 ii 可以通过default-route-advertise命令发布默认路由，但此路由仅存在于同级别的设备上。 更改isis的协议优先级在设备上进行路由优选 在isis视图下通过preference xxxx协议优先级 通过更改链路由的cost定制路由选路策略 在接口下通过isis cost xxxx定制。,cost示例,isis路由策略,引入其它协议时定制策略 引入其它协议路由，默认是没有策略，但在引入时可以通过import-route 命令内的 route-policy 选项增加对路由的控制。但此类控制可定制要引入的路由，并可以改变路由一些属性。 isis import-route ospf route-policy tian 路由接收和发布时制定策略 在isis视图下通过 filter-policy acl-number import/export 命令实现 (注：isis协议中只有acl列表，没有ip-prefix列表） filter-policy 1 import / export,import 和filter-policy示例,bgp路由策略,1、通过local-preference制定域内bgp策略 2、通过as-path的长短制定策略 3、通过设备med值进行路由优选 以上三种选路的策略是最常用的三种选路策略。通过对某一些路由设置不同的以上属性值，使协议自动完成选路。其中很重要的工作是路由的分离和属性值的设置，即if-match 规则的制定（可以通过bgp选路策略顺序内的选项、团体属性、各种列表等定制）和属性值(local-prefence、med、团体属性、as-path等）的设定。as-path设置举例。 4、引入其它协议时定制策略 引入其它协议路由，默认是没有策略，但在引入时可以通过import-route 命令内的 route-policy 选项增加对路由的控制。但此类控制可定制要引入的路由，并可以改变路由一些属性。,路由引入示例,bgp路由策略,5、默认路由策略 可以通过peer x.x.x.x default-route-advertise 命令发布默认路由。 请一定记住我们的默认路由发布规范 ！,!注意： (1)我们的实现在发布默认路由时在本地会生成一条默认bgp路由。 (2)本地必须存在最优的bgp路由才能向外发布bgp路由,isis-bgp典型组网应用,isis-bgp典型组网应用-需求,1、a、b和外域运行ebgp，接收外部路由，发布域内路由 2、核心网内运行isis协议 3、各地市可以为用户提供bgp接入服务 4、各地市可以提供静态接入和动态接入 5、cx设备下的用户的出域流量主发到a设备 cx设备下的用户的入域流量主从b设备入口走 6、 dx设备下的用户的出域流量主发到b设备 dx设备下的用户的入域流量主从a设备入口走 7、到域外e网段的流量从a出域，到域外f网段的流量从b出域 8、cx、dx的两条上行链路，实现出域、入域流量的主备份 9、dx、cx间的域内流量尽量在各链路上负载分担,ospf-bgp典型组网应用,ospf-bgp典型组网应用-需求,1、a、b和外域运行ebgp，接入外部路由，发布域内路由 2、核心网内运行ospf协议 3、各cx、dx设备不提供bgp接入服务，不使用bgp 4、各地市可以提供静态接入和动态接入 5、cx设备下的用户的出域流量主发到a设备 cx设备下的用户的入域流量主从b设备入口走 6、 dx设备下的用户的出域流量主发到b设备 dx设备下的用户的入域流量主从a设备入口走 7、到域外e网段的流量从a出域，到域外f网段的流量从b出域 8、cx、dx的两条上行链路实现主备份,isis-bgp典型组网应用bgp规划,（1）3、各地市可以为用户提供bgp接入服务 此要求所有cx、dx设备都要运行bgp 因此域内流量模型需要由bgp路由进行控制 （2）由于cx、dx设备较多，需要建立路由反射器，出于备份的需要，需要两个rr，以目前的组网，以核心两台设备做rr最为合适 （3）由于cx、dx设备较多，需要使用group （4）8、cx、dx的两条链路实现主备份 a、b之间要进行链路备份，这就要求a、b之间要运行ibgp cx、dx要分别和核心两台rr建立邻居关系,组网实例,isis-bgp典型组网应用bgp规划,（5）5、cx设备下的用户的出域流量主发到a设备 cx设备下的用户的入域流量主从b设备入口走 此要求cx设备优选从a发布来的bgp路由 在b向外域发布cx下的路由时，b向外发布路由med值 要优于a向外发布相应路由的med优先级 （6） 6、dx设备下的用户的出域流量主发到b设备 dx设备下的用户的入域流量主从a设备入口走 此要求dx设备优选从b发布来的bgp路由 在a向外域发布dx下的路由时，向外发布此路由的med值要优于b向外发布相应路由的med优先级,组网实例,isis-bgp典型组网应用bgp规划,（7）7、到域外e网段的流量从a出域,到域外f网段的流量从b出域 此要求a、b在接收e网段路由时要优先选择从a发过来的ebgp路由；a、b在接由f网段路由时要优先选择从b的ebgp来的路由。 （8）出域的链路备份，如果上域提供bgp默认路由，那本域无需对默认路由进行控制；如果不提供，只能是设置默认静态路由，再将此默认路由通过network引入bgp。 （9）需要发布的具体路由可以在任意的bgp设备上发布，但建议在a、b上引入指向null 0的静态聚合路由向外域发布,组网实例,isis-bgp典型组网应用igp规划,（1）由于isis仅为bgp提供路由可达，无需考虑域内路由问题 （2）由于是骨干网，考虑到将来扩容，所有设备定义为level2设备 （3）从组网看，将来cx、dx设备有可能会发展成为独立的网络，所以有必要为每一个cx、dx设备分配area号 （4）9、在dx、cx设备上的域内流量尽量在各链路负载分担 由于网络拓扑结构的合理，仅需要将所有链路的cost设置为一样即可。可以使用基本cost或高级cost。 （5）为管理的方便，各设备的system id使用router id进行变换 （6）在接入层，静态接入用户通过cx、dx设备上配置静态聚合路由引入isis,组网实例,isis-bgp典型组网应用igp规划,对动态接入用户，如果用户设备支持isis，且用户可信的，可以和用户直接运行isis；如果用户设备不支持isis，可以和用户设备运行ospf，在cx、dx上进行ospf、isis路由交互。,组网实例,ospf-bgp典型组网应用bgp规划,组网2和组网1最大的区别在于内部路由的控制上，1是使用bgp完成的，2是使用ospf完成的。 （1）只有a、b需要运行bgp，且a、b之间要运行ibgp以实现出口的备份 （2）5、 cx设备下的用户的入域流量主从b设备入口走 此要求在外域发布路由时，b发出此路由med优先级要高于a向外发出此路由的优先级 （3）6、 dx设备下的用户的入域流量主从a设备入口走 此要求在外外域发布路由时，a发出此路由med优先级要高于b向外发出此路由的优先级,ospf-bgp典型组网应用bgp规划,（4） 7、到域外e网段的流量从a出域，到域外f网段的流量从b出域 此要求a、b接收路由时要优选从a邻居来的e网段路由，而要优选从b邻居来的f网段的路由（设置loc值） （5）如果上域向本域发布默认路，域内a、b无需对默认路由进行设置；如果外域不向本域发布默认路，需要在本域配置静态路由默认,ospf-bgp典型组网应用igp规划,igp的规划相对于1方案要稍微复杂一点： （1）由于cx、dx设备在通过a、b发布ospf默认路去外域，所以需要a、b的ospf首先发布默认路由，在下级设备上也可以实现相互备份（不会对bgp的默认路产生影响） （2）5、cx设备下的用户的出域流量主发到a设备 此要求cx设备要优先从a发过来的ospf路由 （3）6、 dx设备下的用户的出域流量主发到b设备 此要求dx设备要优先从b发过来的ospf路由 （4）7、在设计链路 cost值可以统一设计主用链路的cost值，备用cost值。,igp bgp在mpls vpn中的应用,if-match,ne40-4-route-policyif-match ? acl access control list as-path suited bgp as path list community match bgp community list cost match routing cost interface specify the interface matching the first hop of routes ip ip information ip-prefix match ip prefix list tag match routing tag field,apply,ne40-4-route-policyapply ? as-path prepend the as-path string to the as path community bgps community attribute cost set cost of the matched route cost-type set cost type of the matched route ip ip information isis is-is routing protocol defined by iso local-preference bgp local preference origin specify bgp route origin tag set tag field of the matched route,返回,路由示例,返回,#disp ip routing-table routing table: public net destination/mask protocol pre cost nexthop interface 0.0.0.0/0 bgp 256 0 10.0.0.1 ethernet2/0/0 1.1.1.0/24 static 60 0 0.0.0.0 null0 1.1.1.1/32 bgp 256 0 10.0.0.1 ethernet2/0/0 1.1.1.2/32 direct 0 0 127.0.0.1 inloopback0 1.1.1.3/32 is-is 15 10 10.0.0.26 gigabitethernet4/0/0 1.1.1.5/32 ospf 10 10 10.0.0.18 ethernet2/0/15 2.1.1.5/32 ospf-ase 150 10 10.0.0.6 ethernet2/0/14,cost示例,返回ospf,返回isis,filter-policy,ospf filter-policy 1 import filter-policy 1 export filter-policy ip-prefix tian import filter-policy ip-prefix tian export 一个方向上的策略只能应用一个，如import方向不能应用一个acl，一个ip-prefix。 route-policy tian permit node 10 if-match acl 1 apply cost 100 acl number 1 rule 11 permit source 10.0.0.0 0.0.0.255 ip ip-prefix tian index 33 permit 30.0.0.0 24,返回,filter-policy和import示,返回,isis filter-policy 1 import filter-policy 1 export import-route ospf route-policy tian route-policy tian permit node 10 if-match acl 101 apply cost 100 acl number 1 rule 11 permit source 10.0.0.0 0.0.0.255,bgp路由选优过程,综合起来，本地bgp路由选优的过程为： 如果此路由的下一跳不可达，忽略此路由； 选择本地优先级较大的路由（ local-preference ）； 选择本地路由器始发的路由（ network / aggregate ）； 选择as路径较短的路由（ as-path ）； 依次选择起点类型为igp,egp,incomplete类型的路由（ origin ）； 选择med较小的路由； 优选从ebgp学来的路由； 优选as内部igp的metric最低的路由； 如果配置了负载分担，并且有多条到达同一as的外部路由，则根据配置的路由条数选择多条路由进行负载分担；（只针对于vrp5的平台有此功能） 选择routerid较小的路由；,通过增加入路由的as-path的长度调节域内的选路。 bgp 100 undo synchronization peer 10.0.0.1 as-path-acl 100 export peer 11.0.0.1 as-number 100 peer 11.0.0.1 route-policy tian import route-policy tian permit node 10 if-match acl 1 apply as-path 100 100 acl number 1 rule 11 permit source 10.0.0.0 0.0.0.255 route-policy tian permit node 11 if-match as-path 100 apply local-preference 400 ip as-path-acl 100 permit 300$,as-path配置举例,返回,正则表达式,bgp路由引入示例,返回,bgp 100 import-route ospf route-policy tian route-policy tian deny node 10 if-match acl 1 acl number 1 rule 11 permit source 10.0.0.0 0.0.0.255,ospf-bgp典型组网应用-配置实例,返回,实例中，a为ne80、b为s8016、c1为ne4-4、d1为ne16-b、外域设备为ne402,第1章 路由策略原理 第2章 策略路由原理,策略路由的引入,普通的报文转发是依据报文的目的地址查询转发表来实现的。,display ip routing-table routing table: public net destination/mask protocol pre cost nexthop interface 0.0.0.0/0 rip 100 1 200.200.203.2 ge11/1/0 0.0.0.0/32 rip 100 1 200.200.203.2 ge11/1/0 1.0.0.0/8 static 60 0 11.110.0.1 ethernet12/2/0 4.4.4.0/24 direct 0 0 4.4.4.4 ethernet12/2/0.200 4.4.4.4/32 direct 0 0 127.0.0.1 inloopback0 5.0.0.0/8 rip 100 1 200.200.203.2 ge11/1/0,策略路由的引入(续),普通的报文转发是依据报文的目的地址查询转发表来实现的。 但是遇到如下情况如何解决？ 1、根据源ip来控制报文转发。即控制来自pc1的报文通过接s1/0/0转发，来自pc2的报文通过接口e1/2/0转发口？ 2、根据报文的长度来控制报文转发。 3、根据报文的其他属性来控制报文转发。,策略路由概念,策略路由是一种依据用户制定的策略进行路由选择的机制，与单纯依照ip报文的目的地址查找路由表进行转发不同，可应用于安全、负载分担等目的。 vrp策略路由支持基于acl包过滤、地址长度等信息，灵活地指定路由。而acl报文过滤则可以根据报文的源ip、目的ip、协议、端