策略路由与路由策略原理培训胶片-20090503.ppt

策略路由与路由策略原理 ISSUE1 0 Page1 如何对报文转发的路径进行有效控制 如何对发布 接收 引入的路由信息进行有效控制 提高网络安全性 学完本课程之后您将会找到满意的答案 前言 Page2 学习指南 本课程全套资料包括培训胶片 配套原理教材 多媒体课件 试题 演练案例和教师教学指导书 合理有效利用上述资料您将会取得良好的学习效果 Page3 目标 学习完此课程 您将会 掌握策略路由基本原理掌握路由策略基本原理 Page4 第1章策略路由原理第2章路由策略原理 Page5 策略路由的引入 普通的报文转发是依据报文的目的地址查询转发表来实现的 displayiprouting tableRoutingTable publicnetDestination MaskProtocolPreCostNexthopInterface0 0 0 0 0RIP1001200 200 203 2GE11 1 00 0 0 0 32RIP1001200 200 203 2GE11 1 01 0 0 0 8STATIC60011 110 0 1Ethernet12 2 04 4 4 0 24DIRECT004 4 4 4Ethernet12 2 0 2004 4 4 4 32DIRECT00127 0 0 1InLoopBack05 0 0 0 8RIP1001200 200 203 2GE11 1 0 Page6 策略路由的引入 续 普通的报文转发是依据报文的目的地址查询转发表来实现的 但是遇到如下情况如何解决 1 根据源IP来控制报文转发 即控制来自PC1的报文通过接S1 0 0转发 来自PC2的报文通过接口E1 2 0转发口 2 根据报文的长度来控制报文转发 3 根据报文的其他属性来控制报文转发 Page7 策略路由概念 策略路由是一种依据用户制定的策略进行路由选择的机制 与单纯依照IP报文的目的地址查找路由表进行转发不同 可应用于安全 负载分担等目的 VRP策略路由支持基于acl包过滤 地址长度等信息 灵活地指定路由 而acl报文过滤则可以根据报文的源ip 目的ip 协议 端口号 优先级 tos 时间段 vpn等各种丰富的信息将报文分类 然后控制将这些报文按照不同的路由转发出去 Page8 策略路由的分类 策略路由分类接口策略路由接口策略路由只对转发的报文起作用 对本地产生的报文 比如本地的ping报文 不起作用 而本地策略路由只对本地产生的报文起作用 对转发的报文不起作用 接口策略路由配置在接口视图下 本地策略路由本地产生的报文的策略路由配置在系统视图下 注意 组播策略路由只支持转发的报文 不对路由器本机产生的报文进行策略路由 Page9 匹配原则概述 Route policy route policy namepermit10 if matchacl3000if matchpacket length100500applyoutput interfaceEthernet1 1 0 有多个匹配项deny20 if matchacl2000 只有匹配项permit30 if matchacl3100permit40 applyoutput interfaceEthernet1 1 0 只有操作项permit50 applyoutput interfaceEthernet1 1 0deny60 匹配项和操作项都没有permit70 permit80 if matchacl3000applyoutput interfaceEthernet1 1 0serial1 0 0applyip addressnext hop1 1 1 1 有多个操作项 Page10 匹配项 匹配项就是if match语句 根据这些匹配项将报文按照某个规则进行分类 分为满足规则和不满足规则两类 注意 1 只有满足所有的if match 才算匹配 即各匹配条件是与的关系 2 匹配退出 不匹配继续 的原则 即只要任意一个节点满足匹配 则不再继续往下匹配 如果不匹配则继续匹配下一个节点 Page11 操作项 操作项就是apply语句 也就是满足匹配项的报文将怎么处理 从哪个接口转发出去 一个单播报文只能转发一次 即只能从某个接口转发出去 Page12 转发接口的优先级 策略路由的出接口 策略路由的下一跳 路由表中下一跳 策略路由的缺省出接口 策略路由的缺省下一跳 低 高 转发优先级 以上只针对单播报文 不包括组播报文 当配置有优先级高的策略 则优先级低的配置将被忽略 单播策略路由可以同时配置两个下一跳或设置两个出接口 报文转发将采用负载分担的方式进行 Page13 报文匹配的其它策略 注意事项 1 如果只添加一个节点而没有任何匹配项和设置操作项 则所有报文都匹配 不再继续往下匹配 但是策略路由的统计数字不改变 2 如果添加一个节点 只有匹配项 没有设置操作项 则进行匹配 但不执行相应的操作 不再继续往下匹配 但是策略路由的统计数字不改变 3 如果添加一个节点 没有匹配项 有设置操作项 则所有报文都匹配 根据permit deny执行相应的操作 不再继续往下匹配 但是策略路由的统计数字改变 4 如果匹配项中使用的acl根本不存在 则缺省是不匹配任何报文 5 当直接出接口指定为本地的以太网接口 子接口 Virtual Template接口时 虽然从指定接口转发 但不能正常通信 因为这几个接口是广播域 不能确定下一跳 因此必须指定为下一跳 6 当配置deny的节点时 对于单播策略路由来说 节点的apply命令行等于没配置一样 数据包将走正常单播路由表转发 因此没有deny的调试信息以及相应的统计信息 对于组播策略路由来说 数据包将直接丢弃 不查询组播路由表 有deny的调试信息以及相应的统计信息 Page14 问题 请简要描述单播报文转发流程 请简要描述组播报文策略路由流程 Page15 第1章策略路由原理第2章路由策略原理 Page16 路由策略的作用 过滤路由信息的手段发布路由信息时只发送部分信息接收路由信息时只接收部分信息进行路由引入时引入满足特定条件的信息支持等值路由设置路由协议引入的路由属性 Page17 策略相关的五种过滤器 路由策略 routingpolicy 设定匹配条件 属性匹配后进行设置 由if match和apply字句组成访问列表 access list 用于匹配路由信息的目的网段地址或下一跳地址 过滤不符合条件的路由信息前缀列表 prefix list 匹配对象为路由信息的目的地址或直接作用于路由器对象 gateway 自治系统路径信息访问列表 aspath list 仅用于BGP协议 匹配BGP路由信息的自治系统路径域团体属性列表 community list 仅用于BGP协议 匹配BGP路由信息的自治系统团体域 Page18 路由策略与过滤器的关系 在路由引入 import route 时使用routingpolicyroutingpolicy由一系列的if match子句和apply子句组成匹配AS path时使用AS pathlist匹配Community时使用Communitylist匹配IPaddress时使用IPPrefix和Accesslist在路由发布 export 和路由接收 import 时使用地址前缀列表 IPPrefix 和访问控制列表接收时 IPPrefix Accesslist和Gateway 特定路由器 发布时 IPPrefix和Accesslist Page19 路由策略的执行规则 Page20 AS正则表达式 Page21 策略路由与路由策略的区别 策略路由与路由策略是两个不同的概念 应用领域不同 策略路由主要是控制报文的转发 即可以不按照路由表进行报文的转发 因为一般报文的转发要通过查找转发表 而配上策略路由后就不用管转发表了 可以随心所欲将报文从转发出去了 路由策略主要控制路由信息的引入 控