策略路由与路由策略原理

策略路由与路由策略原理 ISSUE1 0 Page1 如何对报文转发的路径进行有效控制 如何对发布 接收 引入的路由信息进行有效控制 提高网络安全性 学完本课程之后您将会找到满意的答案 前言 Page2 学习指南 本课程全套资料包括培训胶片 配套原理教材 多媒体课件 试题 演练案例和教师教学指导书 合理有效利用上述资料您将会取得良好的学习效果 Page3 参考资料 VRP3 30 操作手册 命令手册 Page4 目标 学习完此课程 您将会 掌握策略路由基本原理掌握路由策略基本原理 Page5 第1章策略路由原理第2章路由策略原理 Page6 策略路由的引入 普通的报文转发是依据报文的目的地址查询转发表来实现的 displayiprouting tableRoutingTable publicnetDestination MaskProtocolPreCostNexthopInterface0 0 0 0 0RIP1001200 200 203 2GE11 1 00 0 0 0 32RIP1001200 200 203 2GE11 1 01 0 0 0 8STATIC60011 110 0 1Ethernet12 2 04 4 4 0 24DIRECT004 4 4 4Ethernet12 2 0 2004 4 4 4 32DIRECT00127 0 0 1InLoopBack05 0 0 0 8RIP1001200 200 203 2GE11 1 0 Page7 策略路由的引入 续 普通的报文转发是依据报文的目的地址查询转发表来实现的 但是遇到如下情况如何解决 1 根据源IP来控制报文转发 即控制来自PC1的报文通过接S1 0 0转发 来自PC2的报文通过接口E1 2 0转发口 2 根据报文的长度来控制报文转发 3 根据报文的其他属性来控制报文转发 Page8 策略路由概念 策略路由是一种依据用户制定的策略进行路由选择的机制 与单纯依照IP报文的目的地址查找路由表进行转发不同 可应用于安全 负载分担等目的 VRP策略路由支持基于acl包过滤 地址长度等信息 灵活地指定路由 而acl报文过滤则可以根据报文的源ip 目的ip 协议 端口号 优先级 tos 时间段 vpn等各种丰富的信息将报文分类 然后控制将这些报文按照不同的路由转发出去 Page9 策略路由的分类 按报文分类 分为单播策略路由 针对单播报文进行控制 和组播策略路由 只对组播报文进行控制 Page10 策略路由的分类 续 策略路由既可以应用于被转发的报文 又可以应用于路由器本地产生的报文 前者称为接口策略路由 后者称为本地策略路由 接口策略路由只对转发的报文起作用 对本地产生的报文 比如本地的ping报文 不起作用 而本地策略路由只对本地产生的报文起作用 对转发的报文不起作用 接口策略路由配置在接口视图下 本地产生的报文的策略路由配置在系统视图下 注意 组播策略路由只支持转发的报文 不对路由器本机产生的报文进行策略路由 Page11 匹配原则概述 Route policy route policy namepermit10 if matchacl3000if matchpacket length100500applyoutput interfaceEthernet1 1 0 有多个匹配项deny20 if matchacl2000 只有匹配项permit30 if matchacl3100permit40 applyoutput interfaceEthernet1 1 0 只有操作项permit50 applyoutput interfaceEthernet1 1 0deny60 匹配项和操作项都没有permit70 permit80 if matchacl3000applyoutput interfaceEthernet1 1 0serial1 0 0applyip addressnext hop1 1 1 1 有多个操作项 Page12 匹配项 匹配项就是if match语句 根据这些匹配项将报文按照某个规则进行分类 分为满足规则和不满足规则两类 注意 1 只有满足所有的if match 才算匹配 即各匹配条件是与的关系 2 匹配退出 不匹配继续 的原则 即只要任意一个节点满足匹配 则不再继续往下匹配 如果不匹配则继续匹配下一个节点 Page13 操作项 操作项就是apply语句 也就是满足匹配项的报文将怎么处理 从哪个接口转发出去 一个单播报文只能转发一次 即只能从某个接口转发出去 Page14 转发接口的优先级 策略路由的出接口 策略路由的下一跳 路由表中下一跳 策略路由的缺省出接口 策略路由的缺省下一跳 低 高 转发优先级 以上只针对单播报文 不包括组播报文 当配置有优先级高的策略 则优先级低的配置将被忽略 单播策略路由可以同时配置两个下一跳或设置两个出接口 报文转发将采用负载分担的方式进行 Page15 报文匹配的其它策略 注意事项 1 如果只添加一个节点而没有任何匹配项和设置操作项 则所有报文都匹配 不再继续往下匹配 但是策略路由的统计数字不改变 2 如果添加一个节点 只有匹配项 没有设置操作项 则进行匹配 但不执行相应的操作 不再继续往下匹配 但是策略路由的统计数字不改变 3 如果添加一个节点 没有匹配项 有设置操作项 则所有报文都匹配 根据permit deny执行相应的操作 不再继续往下匹配 但是策略路由的统计数字改变 4 如果匹配项中使用的acl根本不存在 则缺省是不匹配任何报文 5 当直接出接口指定为本地的以太网接口 子接口 Virtual Template接口时 虽然从指定接口转发 但不能正常通信 因为这几个接口是广播域 不能确定下一跳 因此必须指定为下一跳 6 当配置deny的节点时 对于单播策略路由来说 节点的apply命令行等于没配置一样 数据包将走正常单播路由表转发 因此没有deny的调试信息以及相应的统计信息 对于组播策略路由来说 数据包将直接丢弃 不查询组播路由表 有deny的调试信息以及相应的统计信息 Page16 单播报文转发流程 Page17 组播策略路由 和单播策略路由的区别 1 报文不一样 单播报文就是以A B C类ip地址为目的地址的报文 组播报文就是以224 0 0 0 239 255 255 255为目的地址的报文 2 配置不一样 组播策略路由的配置中apply必须包含acl 3 配置作用域不一样 单播策略路由的配置仅对单播报文起作用 组播策略路由的配置仅对组播报文起作用 即apply中包含有acl的对组播报文起作用 对单播报文不起作用 apply中不包含有acl的对单播报文起作用 对组播报文不起作用 4 当单播同时配置有出接口和下一跳时 则只从出接口转发 不从下一跳转发 当组播同时配置有出接口和下一跳时 则既从各个出接口转发 可能有多个 也从各个下一跳转发 也可能有多个 但是最多只能从64个接口转发 Page18 组播转发边界 当一个接口配置了组播转发边界以后 从该接口接收的报文和从该接口发出的报文 包括本机发出的报文 都将按照配置的acl策略进行过滤 其中 对于从该接口接收的报文 先按照组播转发边界进行过滤 再执行可能的组播策略路由处理 组播转发边界可配置在所有支持组播报文转发的接口上 在入接口和出接口都进行检查 组播转发边界配置在接口视图下 multicastpacket boundaryacl number3000打开debugmulticastforwarding可以察看报文的丢弃信息 Page19 组播转发报文的最小TTL值 在接口上配置组播转发报文的最小TTL值后 当要将一个报文从该接口转发出去时 包括本机发出的报文 对接口上配置的最小TTL值进行检查 若报文TTL值 报文TTL已在本路由器内减1 大于接口上配置的最小TTL值 则转发该报文 若报文TTL值小于或等于接口上配置的最小TTL值 则丢弃该报文 组播转发TTL值可配置在所有支持组播报文转发的接口上 ttl检测只有在出接口进行 组播转发报文的最小TTL值在接口视图下 multicastminimum ttl200打开debugmulticastforwarding可以察看报文的丢弃信息 Page20 组播报文策略路由的流程 Page21 问题 请简要描述单播报文转发流程 请简要描述组播报文策略路由流程 Page22 第1章策略路由原理第2章路由策略原理 Page23 路由策略的作用 过滤路由信息的手段发布路由信息时只发送部分信息接收路由信息时只接收部分信息进行路由引入时引入满足特定条件的信息支持等值路由设置路由协议引入的路由属性 Page24 策略相关的五种过滤器 路由策略 routingpolicy 设定匹配条件 属性匹配后进行设置 由if match和apply字句组成访问列表 access list 用于匹配路由信息的目的网段地址或下一跳地址 过滤不符合条件的路由信息前缀列表 prefix list 匹配对象为路由信息的目的地址或直接作用于路由器对象 gateway 自治系统路径信息访问列表 aspath list 仅用于BGP协议 匹配BGP路由信息的自治系统路径域团体属性列表 community list 仅用于BGP协议 匹配BGP路由信息的自治系统团体域 Page25 路由策略与过滤器的关系 在路由引入 import route 时使用routingpolicyroutingpolicy由一系列的if match子句和apply子句组成匹配AS path时使用AS pathlist匹配Community时使用Communitylist匹配IPaddress时使用IPPrefix和Accesslist在路由发布 export 和路由接收 import 时使用地址前缀列表 IPPrefix 和访问控制列表接收时 IPPrefix Accesslist和Gateway 特定路由器 发布时 IPPrefix和Accesslist Page26 路由策略的执行规则 Page27 AS正则表达式 Page28 策略路由与路由策略的区别 策略路由与路由策略是两个不同的概念 应用领域不同 策略路由主要是控制报文的转发 即可以不按照路由表进行报文的转发 因为一般报文的转发要通过查找转