企业网络中路由控制策略的应用研究毕业论文.doc

企业网络中路由控制策略的应用研究 企业网络中路由控制策略的应用研究毕业论文目 录1.绪 论11.1研究的背景11.2国内外研究现状和发展趋势11.3本文研究的内容和目的22.企业网络中路由控制策略的深入研究32.1路由重新分配的原则32.1.1度量42.1.2管理距离42.1.3从无类别协议到有类别协议的路由重新分配82.2路由器配置重新分配的研究102.3缺省路由和按需路由选择的研究112.3.1缺省路由的理论分析112.3.2按需路由的理论分析133.企业网络中路由控制策略的设计及应用153.1路由重分配在企业网络中的应用153.1.1在企业网络中重新分配IGRP和RIP153.1.2在企业网络中重新分配EIGRP和OSPF163.2缺省路由和按需路由选择在企业网络中的应用204.路由过滤在企业网络中的应用224.1企业网络中路由过滤的深入研究224.2企业网络中路由过滤的用途224.3配置路由过滤器的方法234.4路由过滤在企业网络中的应用235.结论与展望31致 谢32参考文献33341. 绪 论1.1 研究的背景二十一世纪是信息化世纪，办公自动化、网络化、信息化、已经成为一种必不可少的必备条件。计算机技术的迅速发展和普及，已经大大的改变了人们的生活方式，计算机网络的应用和普及，正在掀起一场新的革命。从“信息化高速公路”到“数字地球”，信息化浪潮席卷全球。Internet的迅猛发展不仅带动了信息产业和国民经济地快速增长，也为企业的发展带来了勃勃生机。 以Internet 为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高，也逐渐成为提高企业竞争力的重要力量。 为了适应网络经济的飞速发展，扩大企业经营的规模和范围，方便企业内部和企业之间的交流，节省办公的开销，提高企业的管理水平，企业发展企业网几经是刻不容缓。随着企业网络应用范围日益扩大，企业网络中路由器处理的信息越来越多，导致企业网络路由器在进行路由转发的时候必须同时对大量的路由信息进行处理，但由于路由器的性能有限，因而不可避免的就会有路由器对大量信息处理不当的情况出现，所以为了避免这种情况的出现，就必须通过技术手段来控制路由信息的信息量和降低路由器的负担，这种技术就是路由控制策略， 通过路由控制策略将无关的路由信息过滤掉，进而降低相关路由信息丢失的情况出现。最终，使企业网络能够更好的减少和降低路由器处理信息时发生丢失、错误等的可能性，提高企业网络的稳定性和安全性。1.2 国内外研究现状和发展趋势 早在40多年之间就已经出现了对路由技术的讨论，但是直到80年代路由技术才逐渐进入商业化的应用。路由技术之所以在问世之初没有被广泛使用主要是因为80年代之前的网络结构都非常简单，路由技术没有用武之地。20世纪90年代中期，传统路由技术成为制约因特网发展的瓶颈，被ATM交换机取而代之，成为IP骨干网的核心，路由器变成了配角。进入90年代末期，Internet规模进一步扩大，流量每半年翻一番，ATM网又成为瓶颈，路由器东山再起。直到最近十几年，大规模的互联网络逐渐流行起来，各种网络技术和网络协议为路由技术的发展提供了良好的基础和平台。作为核心设备，路由器在IP网上处于至关重要的位置。随着因特网应用的普及，网络带宽的迅速增加，企业网络用户对服务质量要求的提高，路由器的未来也伴随着路由控制策略的进一步成熟而面临着一场新的变革。 近几年来，路由技术在国内也得到了高速发展，在网管技巧里杨锋写的路由策略与策略路由分析与实例一则中重点提到了策略路由和路由策略的概念、区别以及在实际应用中的实例，甘永庆和邹津在无线电工程中的TCP/IP协议在网际互连中路由控制和管理一文中就详细的介绍了TCP/IP网际互连中数据报路由控制的原理、协议以及在工程应用中网际路由控制策略的方法和关键技术，山西电教中新一代互联网的冲击波运营商网络和企业网络的变化也提到了路由控制策略在企业网络中的配置和应用。1.3 本文研究的内容和目的本项目的意义在于在企业网络中，结合企业网络的实际情况，分析企业网络的不足，通过案例分析和实验对路由重新发布、 路由过滤、路由映射等技术的深入研究与模拟实现，用路由控制策略来控制路由信息的信息量和降低路由器的负担，将无关的路由信息过滤掉，进而降低路由信息处理不当的情况。2. 企业网络中路由控制策略的深入研究2.1 路由重新分配的原则路由，是用来说明把数据包从一台设备通过网络发送到另一台处在不同网络的设备的过程，当路由器需要使用路由选择协议通告从另外一个路由选择协议、静态路由或者直连目标网络学习到的路由时，路由系统将进行路由重新分配。例如，路由器可能同时运行OSPF进程和RIP进程。如果设置OSPF进程通告来自RIP进程的路由，这叫做重新分配RIP。如果从安全性和稳定性的角度去看，在企业网络中通常运行一种路由选择协议会比多种路由选择协议更受到青睐。但是随着现代的网络的发展，我们又不得不接受多协议IP路由选择域这一现实1。在大部分企业网络中，将要被合并的网络在现实和发展上都不相同，它们满足不同的需求，是不同设计理念的产物。这种差异性使得向单一路由选择协议的迁移成为一项复杂的任务。公司的路由控制策略可能会强制使用多种路由选择协议。而在少数情况下，还会出现因需求不同、网络管理员不能协同工作等原因而采用多种路由选择协议。当多种路由选择协议同时出现时，就很有必要使用重新分配。如图2-1所示，把两个OSPF进程域连接在一起，但是这两个OSPF进程之间并不能直接通信，那么我们可以在每台路由器上配置静态路由，指向其他OSPF域内的被选网络。 图2-1 配置了静态路由的网络 在图2-1中路由器R1中包含指向网络192.168.11.0和192.168.12.0的路由，如果R1把这些静态路由重新分配到OSPF中，OSPF又向OSPF 10内的其他路由器通告这些路由。这样做的结果是向OSPF 10 隐瞒了OSPF 20中的其他网络。这样重新分配使得OSPF的动态特征和静态路由的精确控制性整合在一起。当然，如果不是必须使用动态路由选择协议的话，在拨号环境下向动态路由选择协议重新分配静态路由也是非常有用的。动态路由协议周期性的管理流量可以使拨号线路始终保持接通状态。而向动态路由选择协议重新分配静态路由，可以使拨号线路两边的所有路由器都知道链路对方的所有网络。在相同路由器上存在不止一种路由选择协议并不一定会有重新分配发生。重新分配必须被明确的配置。在没有使用重新分配的单一路由器上配置多种路由选择协议的方法叫做午夜航船路由选择。路由器将会在每个进程域内向它的对等路由器传递路由，但是进程域之间却一无所知。在实际的运用中，不同IP 路由选择协议的能力差距很大。对重新分配影响最大的协议特性是度量和管理距离的差异性，以及每种协议的有类别和无类别的能力。重新分配时如果忽略了对这些差异的考虑将导致出现某些或全部路由交换失败，甚至造成路由环路和黑洞。2.1.1 度量当路由器向OSPF重新分配静态路由时，它们会同时向其他OSPF路由器通告这些路由。虽然静态路由没有相关联的的度量，但是每条OSPF路由必须有一个代价值。还有向EIGRP重新分配RIP路由，RIP的度量是跳数，而EIGRP使用带宽和时延。在上述两种情况中，接收被重新分配路由的协议必须能够把自己的度量与这些路由关联起来2。不同的路由协议使用的度量不一样，静态路由和OSPF路由，前者没有相关联的度量，后者必须有一个代价值。例如当EIGRP被重新分配到OSPF，同时OSPF也被重新分配到EIGRP时。OSPF不能理解EIGRP的复合度量，EIGRP也不能理解OSPF的代价。因此在重新分配进程中，路由器必须向OSPF传递EIGRP路由之前为每一条EIGRP分配代价度量。同样的，路由器在向EIGRP传递OSPF路由之前也必须为每一条OSPF路由分配带宽、时延、可靠性、负载和MTU度量值。如果分配了不正确的度量，重新分配将会失败。所以，执行重新分配的路由器必须为被重新分配的路由指派度量。2.1.2 管理距离如果路由器正在运行多个路由选择协议，并从每个协议都学习到一条到达相同目标网络的路由，每一个路由选择协议均使用自己的独立方案来定义最优路径。那么应该选择哪一条路由呢？这个问题的答案是管理距离。正像为路由分配度量以便可以确定首选路由一样，我们可以向路由源分配管理距离值以便确定首选路由源。管理距离被看作是一个可信度测度，管理距离越小，协议的可信度就越高。例如，假设运行RIP和EIGRP的路由从邻居RIP路由器那里学习到一条指向网络192.168.5.0路由，从邻居EIGRP路由那里学习到一条指向相同网络的路由。由于ERGIP的复合度量，使得该协议更有可能确定最佳路由。因此，EIGRP比RIP更可信。缺省的Cisco管理距离。EIGRP的管理距离为90，而RIP的管理距离为120。因此，可以认为EIGRP比RIP更值得信赖。虽然管理距离帮助解决了不同度量带来的混乱，但是它又为重新分配带来了问题。例如，在图2-2中，R3和R4都在向IGRP重新分配RIP路由。R3通过RIP学习到网络192.168.1.0，并且将其通告给IGRP域。结果是，R4不仅通过RIP从R5处学习到网络192.168.1.0，并且还通过IGRP从R2那里也学习到该网络。 图2-2 IGRP和RIP重新分配示意图图2-3给出了R4的路由表。注意，指向网络192.168.1.0的路由是一条IGRP路由。R4之所以选择IGRP路由是因为IGRP比RIP具有更小的管理距离。R4将经过R2沿着IGRP路由发送所有数据包，代替直接向R5发送数据包。 图2-3 R4的路由表 水平分隔阻止了在图2-2的网络中路由环路的发生。R3和R4最初都向IGRP域通告网络192.168.1.0，并且最终4台IGRP路由器都收敛到一条到达该网络的路径。然而，这种收敛是不可预知的。重新启动R1和R2可以看出这一情形。在重新启动后，R4的路由表显示到达网络192.168.1.0的下一跳路由器是R5。在重新启动后收敛不仅难以预知，而且很慢。在图2-4显示了重新启动完毕大约又经过3min后R3的路由表。它使用R1作为到达网络192.168.1.0的下一跳路由器，但是ping该网络中的一个在线地址却发生失败。从R1的路由表可以看出问题所在：R1使用R3作为下一跳路由器，因此存在路由环路。 图2-4 重启完毕后R3的路由表 下面是导致环路的事件顺序：1. 当R1和R2l重新启动时，R3和R4的路由条目显示经过R5可以到达网络192.168.1.0。2. 随着R1和R3启动完毕，R3和R4发送包括网络192.168.1.0的IGRP更新信息，仅仅由于运气，R4比R3更早一点发送了更新信息。3. R2接收到R4的更新信息，把R4作为下一跳路由器，并且向R1发送更新信息。4. R1接收到R2的更新信息，把R2作为下一跳路由器。5. R1和R3在差不多相同的时刻互相发送了更新信息。R1把R3作为到达网络192.168.1.0的下一跳路由器，因为这条路由比R2的路由更接近目标。R3把R1作为到达网络192.168.1.0的下一跳路由器，因为R1的IGRP通告的管理距离比R5的RIP通告的小。环路在这里就产生了。 水平分隔和失效计时器最终将会解决这一问题。虽然，R1正在向R2通告192.168.1.0，但是R2仍会继续使用经过R4的更近的路径。由于R4是下一跳路由器，所以在R2的接口s1上，水平分隔对192.168.1.0有效。R2还向R1通告192.168.1.0，但是R1认为R3更接近目的网络。由于R1和R3都将对方看作是去往192.168.1.0的下一跳路由器，所以它们相互不通告此路由。保存在它们路由表中的这条路由一直老化到失效计时器超时为止。在R1的失效计时器超时后，指向192.168.1.0的路由将被控制。虽然R2正在通告指向该网络的路由，但是R1直到抑制计时器超时才能接收该通告。图2-5显示出R1最终接收了这条来自R2的路由，图2-6显示出R3通过R1可以成功的到达192.168.1.0.但是这两台路由器花费了9min时间才得以收敛，而且还使用了一条非最佳路由。 图2-5 R1接收来自R2的路由后的路由表 图2-6 R3成功的到达192.168.1.0验证截图 在重新分配时有几种工具和策略可以避免路由选择环路，比如使用操作管理距离、路由过滤和路由映射。2.1.3 从无类别协议到有类别协议的路由重新分配从无类别路由选择进程域向有类别域重新分配路由会产生哪些影响，这值得我们仔细的考虑。为了理解为什么这样做，首先有必要理解有类别路由选择协议怎样应对变长子网划分。 有类别路由选择协议不能通告携带子网掩码的路由。对于有类别路由器所接收到的每一条路由，无外乎是下面两种情况之一：a.路由器将有一个或多个接口连接到主网上；b.路由器将没有接口连接到主网上。在第一种情况下，为了正确的确定数据包目标地址的子网，路由器必须使用它自己的主网掩码。在第二种情况下，公告信息中仅包含主网地址，因为路由器是不知道使用哪一个子网掩码的3。图2-5给出了路由器有四个接口分别连接到192.168.100.0的各个子网上。该网络采用了变长子网划分两个接口的子网掩码为27位，另两个为30位。如果路由器运行有类别协议，例如Igrp，那么他将不能从27位掩码推出30位掩码的子网，并且也不能从30位掩码推出27位掩码的子网。协议必须对冲突的掩码进行处理。 图2-7 子网划分示意图 在图2-8中，使用调试手段观察图2-7中路由器发出的IGRP通告。注意，子网192.168.100.128/27的通告从接口E0发出，网络使用了27位掩码，但是没有从该接口发送192.168.100.4/30和192.168.100.8/30通告。类似的，192.168.100.8/30的通告掩码为30位，但是没有从接口发送192.168.100.96/27和192.168.100.128/27通告。相同的情形同样适用于所有四个接口。在192.138.100.0的子网中，仅那些掩码与接口掩码相同的子网才会从此接口通告。图2-8 路由器发出的IGRP通告 在企业网络中，当从无类别路由选择协议向有类别路由选择协议重新分配路由时，仅在掩码相同的接口之间通告路由这一特性将得到应用。2.2 路由器配置重新分配的研究配置重新分配分为两步：步骤1：在路由选择协议中配置接收重新分配的路由，其中使用命令redistribute指定路由源点。步骤2：为重新分配的路由指定度量值。图2-9 路由重新分配示意图 图2-10 R2的EIGRP配置图2-10中的配置把OSPF进程1发现的路由向Eigrp进程1重新分配。命令的metric部分为路由分配了EIGRP度量值。按照顺序，命令中各数字分别表示：带宽，单位是kbit/s；时延，单位是10us；可靠性，为255的若干分之一；负载，为255的若干分之一；MTU，单位为八位组字节。 图2-11 R2的Ospf配置 上面的配置将Eigrp进程1发现的路由重新分配到OSPF进程1.命令的metric部分为每一条被重新分配的路由分配了OSPF代价值30。重新分配使得R2成为OSPF域的asbr，并且被重新分配的路由是作为外部路由进行通告的。命令的metric-type部分指明了外部路由的类型为E1。关键字subnets仅当向OSPF重新分配路由时使用，它指明子网的细节将被重新分配；没有它，仅重新分配主网地址。2.3 缺省路由和按需路由选择的研究 汇总可以通过减少路由表的大小和路由通告内容来节省网络资源。路由表越小、越简单，那么管理和故障诊断也越容易。一个汇总地址可以表示几个甚至更多个更加精确的地址。例如，下面4个子网就可以用单一地址192.168.200.128/25来汇总。192.168.200.128/27192.168.200.160/27192.168.200.192/27192.168.200.224/27但是，在使用二进制方式查看地址时，汇总地址却不太准确，因为汇总地址所包含的网络和子网位要比原来地址少。因此，如果用粗略的方式表达，可以说向主机空间添加越多0位，被使用的网络位就越少，那么可以汇总的地址就越多。按照这样的想法，如果许多0位被添加到主机空间以至于没有剩余的网络位将会怎样？换言之，如果汇总地址包括32个0位和前缀长度为0（0.0.0.0/0）又会怎么样呢？这个地址将会汇总所有可能的ipv4地址5。0.0.0.0/0是ipv4的缺省地址，指向0.0.0.0/0的路由是缺省路由。类似的，缺省ipv6地址/0可以汇总所有的ipv6地址。其他每个ip地址都比缺省地址更准确，所以当路由表中存在缺省路由时，如果不能寻找一个更加匹配的路由，那么都会匹配到缺省路由上。2.3.1 缺省路由的理论分析 Default route 路由表（routing table）中的一条记录，指明信息包（packet）的目的地不在路由表中时的路由，是一种特殊的静态路由，简单地说，就是在没有找到匹配的路由时使用的路由。在路由表中，缺省路由以目的网络为0.0.0.0、子网掩码为0.0.0.0的形式出现。如果数据包的目的地址不能与任何路由相匹配，那么系统将使用缺省路由转发该数据包。 当路由器与internet相连时，缺省路由就要发挥巨大作用了。在处理大型路由表时，拓扑变化所产生的影响远远大于对内存的需求。在大型网络中，拓扑频繁的变化，导致通告以及处理这些变化的系统活动明显增加。使用了缺省路由，路由器仅需要知道它自己内部管理系统中的目标网络。缺省路由将把去往其他地址的数据包转发给internet服务提供商。这样就没有必要同服务提供商使用边界网管协议（BGP）去学习internet路由表中的所有前缀。“隐藏”更精确路由的变化，使得具有缺省路由的网络更加稳定。同样的，在小型网络中，缺省路由可以减少对内存和CPU的占用，虽然这种好处随着路由数目的减少也会相应减弱。缺省路由在星型（hub-and-spoke）拓扑结构中也能发挥很大的作用，如图2-12所示。中心路由器包含指向每一个远程子网的静态路由。一个新的子网在线，中心路由器上就会被输入一条新的静态路由。这样在每台末梢路由器上添加路由可能会耗费时间。但是在末梢路由上使用缺省路由，那么仅中心路由器需要有关每个子网的路由。当末梢路由器收到去往未知目标网络的数据包时，它将把数据包转发至中心路由器，中心路由器再将数据包发送到正确的目的地。 图2-12 使用了缺省路由的星型拓扑网络 末梢路由器到其他路由器仅有一条连接，在这种设备上路由决策就变得简单：目标网络可以是路由器的直连网络之一，或者经邻居路由器可达；如果邻居路由器是下一跳路由器的唯一选择，那么末梢路由器就不需要详细的路由表，一条缺省路由常常就足够了6。但是图2-12中的末梢路由器不知道某个目标网络是否可达。去往未知目标网络的数据包都要被转发到中心路由器，然后确定网络是否可达。这样缺省路由就造成路由细节的损失。这时我们或者是把位置目标网络的数据包转发给中心路由器，由它负责丢弃，或者在末梢路由器和中心路由器之间运行动态路由选择协议，并且末梢路由器就地丢弃去往位置目标网络的数据包。虽然在网络中，很少会发生向不存在的地址发送数据包的情况。但如果万一发生，那么更好的设计选择是让末梢路由器运行协议，并从中心路由器获取路由以便尽快的确定未知网络。虽然运行动态路由选择协议所需要的资源和运作代价通常是很小的，但是缺省路由依然可以是最佳选择。图2-13 企业骨干网拓扑图 如图2-13所示，这些路由器形成了一个企业的骨干网络，而且把大量本地网络连接到这些骨干路由器上。在R9骨干路由器上存在指向R1和R8的缺省路由。如果R9必须要向R2转发数据包，而它仅有两条缺省路由，那么它无法得知哪个是最佳的路由。在这种情况下，数据包延迟到达目标网络之前将遭遇不必要的传播时延。这说明了使用缺省路由隐藏路由细节可能会导致不理想的路由选择。2.3.2 按需路由的理论分析如图2-12所示，虽然在中心路由器上配置静态路由的非常简单，但是许多网络管理员仍然不喜欢使用静态路由。困难不在于每当新的末梢网络在线时需要添加新的路由，而是在末梢网络或末梢路由器离线时忘记删除路由。从IOS 11.2起，Cisco开始向中心路由器提供另一种专有技术，叫做按需路由（on-deman routing）。当末梢路由器仍然使用指向中心路由器的缺省路由时，中心路由使用器使用ODR可以自动的发现末梢网络。ODR仅传送地址前缀，即地址的网络号，而不是整个地址，因此路由器必须支持VLSM。由于在末梢路由器和中心路由器之间的链路上传输的路由信息非常少，所以节省了带宽。ODR不是真正意义上的路由选择协议。它可以发现有关末梢网络的信息，但是ODR不能向末梢路由器提供任何路由选择信息。链路信息通过数据链路协议进行传输，因此从末梢路由器到中心路由器后不会做进一步的传输。然而，在后面的案例研究中将会讨论，ODR发现的路由可以被重新分配到动态路由选择协议中。ODR路由总是从中心路由器到末梢路由器，所以度量值（跳数）将永远不会超过1。ODR路由的传输机制是Cisco发现协议，CDP是一种专用的数据链路协议，它可以收集有关邻居网络设备的信息。CDP运行在任何支持子网访问协议（SNAP）的介质上，这意味这ODR还依赖于Snap的支持7。 3. 企业网络中路由控制策略的设计及应用3.1 路由重分配在企业网络中的应用3.1.1 在企业网络中重新分配IGRP和RIP在图3-1的网络中，R1运行IGRP，R3运行RIP。 图3-1 重新分配 图3-2 R2的路由配置 在图3-2中，R2同时运行IGRP和RIP，并在两个协议之间重新分配路由。这里同时使用两种分配度量的方法是出于示范的目的，在大部分情况下，如果重新分配方案和本例一样简单的话，可以使用一种方法。注意，R2还被连接到一个末梢网络（192.168.10.0/24）。如果要求向IGRP域通告末梢网络，但是不能向RIP域通告。一种实现方法是仅在IGRP中添加适当的网络语句。然而，这样做会在末梢网络中造成不必要的IGRP广播。另一个实现方法是使用重新发配。具体配置见图3-3。图3-3 重新发布的配置 命令redistribute connected将会重新分配所有直连网络。如果要向IGRP域和RIP域通告网络192.168.10.0/24，那么具体配置见图3-4 图3-4重新发布的配置 3.1.2 在企业网络中重新分配EIGRP和OSPF在图3-5的网络中，有一个OSPF域和一个EIGRP域。路由器R1运行OSPF进程，R3运行EIGRP进程。图3-5 重新分配EIGRP和OSPF 的拓扑图 图3-6 R2向EIGRP和OSPF进程重新分配路由时的配置 图3-7 R1在进行重新分发前的路由表 这里存在一些问题。在这里被重新分配且标记为E2的路由仅是主网地址192.168.2.0/24、172.16.0.0和192.168.4.0/24。造成这种现象的原因是，在R2的配置语句中缺少关键字subnets。如果没有关键字，那么被重新分配的地址仅包括那些在非OSPF进程内的主网地址。图3-8 R3在进行重新分发前的路由表 图3-9 重分发后的R1配置 图3-10 重分发后的R3配置，这里增加了关键字subnets 图3-11缺省情况下，外部路由作为类型2路由被重新分配到OSPF。E2路由仅包括路由的外部代价。在图3-12的网络中，一台路由器正在重新分配代价为50，指向10.2.3.0/24的路由；另一台路由器也正在重新分配代价100并且指向相同目标网络的另一条路由。如果这条路由被作为E2通告，那么在OSPF域内的链路代价将不会被计入。结果在OSPF域内的路由器将会选择路由1到达10.2.3.0/24. 图3-12如果在图3-12中，指向10.2.3.0/24的路由被作为E1重新分配，那么在OSPF域内的链接代价将会被计入重新分配代价。结果是，OSPF域内的路由器将选择路由2，代价为110（100+10）；而不是路由1，代价为150（100+50）。在R1中，指向EIGRP子网的路由代价仍然为50。因为在R1和R2之间的快速以太网链路代价没有被计入。为了将路由作为E1重新分配到OSPF中，可以在重新分配命令中添加关键字metric-type1。在重新配置R2之后，在EIGRP域内所有指向目标网络的路由代价仍旧为50（重新分配代价加上R1和R2之间快速以太网链路的缺省代价1）。3.2 缺省路由和按需路由选择在企业网络中的应用缺省路由是一种特殊的路由，可以通过静态路由配置，某些动态路由协议也可以生成缺省路由，如OSPF和IS-IS。在小型互联网中，使用缺省路由可以减轻路由器对路由表的维护工作量，从而降低内存和CPU的使用率。5缺省路由可以配置在每台需要缺省路由的路由器上，或者配置在向其对等路由器依次通告路由的路由器上。在有类别路由查询中，路由器首先配主网地址，然后匹配子网。如果子网不匹配，那么数据包将被丢弃。有类别路由查询是Cisco路由器IOS 11.3及后继版本的缺省模式。对于早期版本，可以通过命令ip classless把有类别查询变换到无类别查询方式。任何使用缺省路由的路由器必须执行无类别路由查询。也可以使用ip default-network命令配置缺省路由。使用命令router odr可以启用ODR，不需要指明网络和其他参数。CDP缺省情况下是被启用的，仅在因某种原因被关闭的情况下才需要被启用。路由器上启用CDP进程的命令式cdp run。如果要在特定的接口上启用CDP，就需要使用命令cdp enable。在企业网络中，典型的拓扑结构就是星型拓扑结构，在星型拓扑结构中配置ODR，中心路由器必须配置命令router odr。如果运行ODR，那么所有路由器都必须运行IOS11.2或更高版本，而且连接介质必须支持SNAP（例如帧中继或者PVC），中心路由器会学习到配置了一条指向中心路由器的静态缺省路由的末梢网络。4. 路由过滤在企业网络中的应用4.1 企业网络中路由过滤的深入研究在企业网络中，特殊路由的重新分配可能会导致不必要的或不正确的路由。例如一台或多台路由器选择了一条经过网络的非最佳路由，问题主要出在路由器更加信任IGRP，因为Igrp的管理距离比RIP要小。更加普遍的是，任何时间指向相同目标网络的路由都会被多台路由器重新分配到路由选择域，其中可能会存在错误的路由选择。在某些情况下，可能会发生路由选择环路或黑洞。当汇总路由被通告到OSPF，而且该路由还被重新分配到EIGRP域，然而EIGRP域即为被汇总子网所在地，这种被通告路由沿错误方向穿过重新分配路由器的现象叫做路由回馈（route feedback）路由选择策略是控制网络中数据包如何转发以及改变数据包缺省转发属性的一组规则。外部的路由可以进入到路由表中，路由表中的路由也可以被通告出去，那么路由过滤器正是通过管制这些出入路由表的路由来工作的。路由过滤器作为基本构建单元被用于创建路由选择策略 (routing policy)。路由选择策略是控制网络中数据包如何转发以及改变数据包缺省转发属性的一组规则。外部的路由可以进入到路由表中来，路由表中的路由也可以被通告出去，那么路由过滤器正是通过管制这些出入路由表的路由来工作的。路由过滤器对链路状态路由选择协议的影响和对距离矢量路由选择协议的影响稍微有点不同。运行距离矢量协议的路由器是基于自身路由表通告路由的，其结果是路由过滤器将会对路由器通告给其邻居路由器的路由产生影响12。 另一方面，运行链路状态协议的路由器是基于自身链路状态数据库的信息来确定它们的路由，而不是基于被邻居路由器通告的路由条目。路由过滤器对链路状态的通告或者链路状态数据库没有影响。所以路由过滤器会对配置了过滤器的路由器的路由表产生影响，但不会对邻居路由器条目有任何影响。正因为这种特性，路由过滤器主要被用于进入链路状态域的重新分配点上，例如ospf的asbr（自主系统边界），在那里路由过滤器可以控制那些进入或离开该域的路由。在链路状态域内，路由过滤器的效用是有限的。链路状态协议下使用命令distribute-list时，关键字out不能与接口联合使用。4.2 企业网络中路由过滤的用途路由过滤可以使网络管理员对路由通告施加严格的控制。任何时刻路由器从一种协议向另一种协议重新分配路由，在路由更新中抑制某些路由不被发送和接收。管理员可以使用路由过滤控制哪些路由被重新分配；同样的，在路由器执行相互重新分配，在两个或多个路由选择协议之间相互共享路由时，使用路由过滤器可以确保沿着唯一的方向通告路由。路由过滤器的另一种途径，就是一个路由选择域被分割为多个子域，每个子域包含多台路由器。连接两个子域的路由器将对路由进行过滤，以便子域b中的路由器仅知道子域a中的部分路由。这种过滤可能是处于安全考虑，以便b域中的路由器仅知道已被授权的子网；或者仅仅是通过减少不必要的路由来维持b域内路由器的路由表和更新信息的大小。此外，路由过滤器的另一个重要用途是建立路由防火墙。公司企业或政府机关常常需要被互联在一起，然而它们却处于独立的管理控制下。如果你不能控制网络所有部分，那么你很容易受到错误配置的影响，甚至恶意路由攻击。如果在互联路由器上使用路由过滤，那么将确保路由器仅接收合法的路由。这种方法是一种安全的形式，但是在这种情况下，管制的是出站路由，而不是入站路由13。无论哪一种应用，路由过滤器都作为基本构建单元，被用于创建路由选择策略。路由选择策略是控制网络中数据包如何转发以及改变数据包缺省转发属性的一组规划。4.3 配置路由过滤器的方法 a.使用命令distribute-list可以过滤特定路由； b.使用命令distance操作路由的管理距离。4.4 路由过滤在企业网络中的应用在实际应用中，有时候在路由器上配置过滤器的目的是仅接受缺省路由，其实除了缺省路由通过对访问控制列表的写法不同，可以拒绝或者允许任何的路由条目进入企业内部网络。比如图4-1中，R2、R3和R4都通告了很多的路由条目，而对于其它的路由器而言这些路由信息可能是没有必要的，所以通过访问控制列表可以选择路由器自身那些路由条目通告进网络，而其它路由器也可以选择特定的路由条目或者拒绝特定的路由条目进入自己的路由表。需要注意的一点的是，在OSPF协议中重分发调用分发列表的时候，由于OSPF协议链路状态数据库严格同步的要求，所有调用分发列表的时候只能是入方向调用，不能在出方向上调用。在定制访问控制列表的时候方式方法很灵活，这里只是简单介绍简单的写法和其调用。 图4-1图4-2配置路由过滤前R2的配置 图4-3 配置路由过滤后R2的配置 图4-2和图4-3给出了配置路由过滤前后R2的变化，通过观察可以看出，在配置了路由过滤后，路由条目44.0.0.0被阻挡，但是其他路由并没有受到影响。图4-4 配置路由过滤前R3的配置图4-5 配置路由过滤后R3的配置 图4-4和图4-5给出了配置路由过滤前后R3的变化，在通过调用相关access-list条目运行路由过滤后，access-list中拒绝的101.0.0.0好人11.0.0.0网段被过滤掉，但是其他路由并没有受到影响。 图4-6 配置路由过滤前R4的配置 图4-7 配置路由过滤后R4的配置 图4-6和图4-7给出了配置路由过滤前后R4的变化，通过观察可以看出，在配置了路由过滤后，路由条目101.0.0.0和11.0.0.0被阻挡，但是其他路由并没有受到影响。 图4-8 R1的配置图4-8给出了R1的配置，正是因为有了R1的配置，才引起其他路由器的变化。可以看出在经过配置路由过滤之后，相关的网络条目在其他路由器的路由表中消失了，这种做法有很多好处，一是通过这种方法路由器仅仅接受到对于自己相对合法或者是自己想要的路由信息，在路由器学习网络信息的时候只学习必要的路由信息，对于那些不必要的路由信息严格的隔离在网络外部，这种策略上的控制使网络的安全性有了很大的提高，控制了相