H3C 路由策略与策略路由的详细讲解课件

第2章路由策略与策略路由,ISSUE1.0,3Com,1,学习交流PPT,学习目标,理解路由策略和策略路由的基本概念掌握应用路由策略的五种过滤工具的使用方法掌握如何利用Route-policy实现IP单播及IP组播策略路由,学习完本课程，您应该能够：,2,学习交流PPT,课程内容,路由策略与策略路由引言路由策略策略路由路由策略与策略路由实验,3,学习交流PPT,路由策略与策略路由引言,A子公司,B子公司,欧洲地区总部,ALink：GREIPSec,公司总部（中国）,BLink,RouterA,RouterB,RouterC,RouterD,RouterE,RouterF,4,学习交流PPT,路由策略与策略路由引言,路由策略仅仅在路由发现的时候产生作用，它可以影响路由信息的发布、接收或路由选择的参数，从而改变路由发现的结果，最终改变的是路由表的内容。策略路由是在报文转发的时候才发生作用，它可以通过设置的规则影响数据报文的转发。路由策略与策略路由的工作层面以及面向的对象均不同。我们应该掌握二者的联系与区别。,5,学习交流PPT,课程内容,路由策略与策略路由引言路由策略策略路由路由策略与策略路由实验,6,学习交流PPT,路由策略,路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy,7,学习交流PPT,路由的发布、接收和引入,如何有选择性的发布、接收和引入路由？,对邻居发布路由,从邻居接收路由,OSPF,BGP,不同路由协议间引入路由,8,学习交流PPT,IP路由策略,路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤，比如只接收或发布一部分满足给定条件的路由信息；路由器在引入其它路由协议的路由信息时，可能需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置或修改，以使其满足本协议的要求。为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则，可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、发布路由信息的路由器地址等。,9,学习交流PPT,五种常见的路由过滤方法,访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy,10,学习交流PPT,路由策略,路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy,11,学习交流PPT,访问控制列表（ACL）,访问控制列表分为三类：Advanced：表示高级访问控制列表；Basic：表示基本访问控制列表；Interface：表示基于接口的访问控制列表；在对路由信息过滤时，一般使用基本访问列表和高级访问控制列表。使用基本访问控制列表，在定义访问列表时指定一个源IP地址或子网的范围，用于匹配路由信息的源地址。使用高级访问列表，则可以使用协议类型、源/目的地址或端口号等多种参数匹配路由信息。,12,学习交流PPT,利用ACL实现路由发布和接收策略（一）,在BGP视图下，对BGP邻居（组）发布或接收路由时根据ACL规则进行路由过滤,peergroup-name|peer-addressfilter-policyacl-numberimport|export,Quidwayaclnumber2000Quidway-acl-basic-2000rulepermitsource10.1.0.00.0.255.255Quidway-acl-basic-2000ruledenysourceanyQuidwaybgp65400Quidway-bgppeer1.1.1.1filter-policy2000import,从邻居1.1.1.1只接收10.1.0.0/16网段的路由,13,学习交流PPT,利用ACL实现路由发布和接收策略（二）,在BGP/OSPF/RIP/IS-IS视图下，利用filter-policy根据ACL规则对发布或接收的路由进行过滤,filter-policyacl-numberexportrouting-protocolfilter-policyacl-numberimport,RIP只接收10.1.0.0/16网段的路由,RIP只发布10.2.0.0/16网段的路由,Quidwayaclnumber2000Quidway-acl-basic-2000rulepermitsource10.1.0.00.0.255.255Quidway-acl-basic-2000ruledenysourceanyQuidwayaclnumber2001Quidway-acl-basic-2001rulepermitsource10.2.0.00.0.255.255Quidway-acl-basic-2001ruledenysourceanyQuidwayripQuidway-ripfilter-policy2000importQuidway-ripfilter-policy2001export,14,学习交流PPT,路由策略,路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy,15,学习交流PPT,前缀列表（ip-prefix）,前缀列表（ip-prefix）通过IP地址以及掩码长度范围来定义一定的IP前缀范围。,ipip-prefixip-prefix-nameindexindex-numberpermit|denynetworklengreater-equalgreater-equal|less-equalless-equal,注意：地址前缀列表的各表项之间的过滤关系是“或”的关系，即通过一条表项的过滤就意味着通过该地址前缀列表的过滤。若没有通过任一表项的过滤，则通不过该地址前缀列表的过滤。,16,学习交流PPT,前缀列表（ip-prefix）配置举例（一）,#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为17或18的路由通过。,Quidwayipip-prefixp1permit10.0.192.08greater-equal17less-equal18,上面的掩码长度8可以看做一个大的范围，即10.0.0.0/8；后面的掩码长度大于17小于18则表示一个较小的范围，因此实际匹配的网段为：10.0.128.0/17或10.0.192.0/18,17,学习交流PPT,前缀列表（ip-prefix）配置举例（二）,实际匹配的掩码长度范围817，实际匹配的网段为：10.0.0.0/8或10.0.0.0/9或10.0.0.0/16或10.0.128.0/17,#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为小于17路由通过。,Quidwayipip-prefixp1permit10.0.192.08less-equal17,18,学习交流PPT,前缀列表（ip-prefix）配置举例（三）,实际匹配的掩码长度范围1832，实际匹配的网段为：10.0.192.0/18或10.0.192.0/19或10.0.192.0/31或10.0.192.0/32,#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的，掩码长度为大于18的路由通过。,Quidwayipip-prefixp1permit10.0.192.08greater-equal18,19,学习交流PPT,前缀列表（ip-prefix）配置举例（四）,实际匹配的掩码长度范围8，实际匹配的网段为：10.0.0.0/8,#定义一条名称为p1的地址前缀列表，只允许10.0.192.0/8网段的路由通过。,Quidwayipip-prefixp1permit10.0.192.08,20,学习交流PPT,利用前缀列表实现路由发布和接收策略（一）,在BGP视图下，对BGP邻居（组）发布或接收路由时根据前缀列表（ip-prefix）规则进行路由过滤,peergroup-name|peer-addressip-prefixprefixnameimport|export,从邻居1.1.1.1只接收10.0.128.0/17或10.0.192.0/18网段的路由（掩码和前缀必须完全匹配）,Quidwayipip-prefixp1permit10.0.192.08greater-equal17less-equal18Quidwaybgp65400Quidway-bgppeer1.1.1.1ip-prefixp1import,注意：对于单一的BGP邻居只能对接收的路由（import）进行过滤，对特定的BGP邻居组则可以对发布（export）和接收的路由都进行过滤。,21,学习交流PPT,利用前缀列表实现路由发布和接收策略（二）,在BGP/OSPF/RIP/IS-IS视图下，利用filter-policy根据前缀列表（ip-prefix）规则对发布或接收的路由进行过滤只接收来自由前缀列表（ip-prefix）规则所匹配的特定网关（路由器）的路由只发布或接收由前缀列表（ip-prefix）规则所匹配的路由只接收来自由前缀列表（ip-prefix）规则所匹配的特定网关（路由器），而且配置一定前缀列表（ip-prefix）规则的路由,filter-policygatewayip-prefix-nameimport,filter-policyip-prefixip-prefix-nameimportfilter-policyip-prefixip-prefix-nameexportprotocol,filter-policyip-prefixip-prefix-namegatewayip-prefix-nameimport,22,学习交流PPT,利用前缀列表实现路由发布和接收策略（三）,只接收来自BGP邻居10.1.1.1的路由,Quidwayipip-prefixp1permit10.1.1.132Quidwaybgp65400Quidway-bgpfilter-policygatewayp1import,只发布和接收10.0.128.0/17或10.0.192.0/18网段的路由,Quidwayipip-prefixp1permit10.0.192.08greater-equal17less-equal18Quidwaybgp65400Quidway-bgpfilter-policyip-prefixp1importQuidway-bgpfilter-policyip-prefixp1export,23,学习交流PPT,利用前缀列表实现路由发布和接收策略（四）,只接收来自BGP邻居10.1.1.1，关于10.0.128.0/17或10.0.192.0/18网段的路由,Quidwayipip-prefixp1permit10.1.1.132Quidwayipip-prefixp2permit10.0.192.08greater-equal17less-equal18Quidwaybgp65400Quidway-bgpfilter-policyip-prefixp2gatewayp1import,24,学习交流PPT,路由策略,路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy,25,学习交流PPT,自治系统路径信息访问列表（as-pathlist）,AS-path，也就是自治系统路径信息，是BGP路由的重要属性之一。而自治系统路径信息访问列表（as-pathlist）则主要利用正则表达式的方式来定义一组用于匹配AS-path列表的规则。,ipas-path-aclaspath-acl-numberpermit|denyas-regular-expression,正则表达式是按照一定的模板来匹配字符串的公式。,26,学习交流PPT,常见的正则表达式符号,27,学习交流PPT,正则表达式的用法举例（一）,AS70,ipas-path-acl2deny70$（拒绝从AS70始发的路由）ipas-path-acl2permit.*（允许其他AS的路由）,28,学习交流PPT,正则表达式的用法举例（二）,AS70,AS30,OK！,ipas-path-acl2permit_30.+70$（接受从AS70始发的路由但是要经过AS30）ipas-path-acl2permit_3070$（有可能AS30与AS70直接相连）ipas-path-acl2deny70$（拒绝从AS70始发的路由）ipas-path-acl2permit.*（允许其他AS的路由）,29,学习交流PPT,问题,ipas-path-acl2permit_30.+70$ipas-path-acl2permit_3070$有必要写成两句吗？,30,学习交流PPT,解答,实际上写成一句就可以了ipas-path-acl2permit_30（.*）70$,31,学习交流PPT,正则表达式的用法举例（三）,AS70,AS30,OK！,AS140,ipas-path-acl2permit_30.+(70-9|80-9|90-9|10-30-9|140)$（接受从AS70-140始发的路由但是要经过AS30）ipas-path-acl2permit_30(70-9|80-9|90-9|10-30-9|140)$（有可能AS30与AS70-140直接相连）ipas-path-acl2deny(70-9|80-9|90-9|10-30-9|140)$（拒绝从AS70-140始发的路由）ipas-path-acl2permit.*（允许其他AS的路由）,32,学习交流PPT,问题,ipas-path-acl2permit_30.+(70-9|80-9|90-9|10-30-9|140)$这条也太长了吧，能简化？,33,学习交流PPT,解答,可以改为ipas-path-acl2permit_30.+(7.|8.|9.|10-3.|140)$(作用与以前的一样),34,学习交流PPT,利用as-pathlist实现路由发布和接收策略（一）,在BGP视图下，对BGP邻居（组）发布或接收路由时根据自治系统路径信息访问列表（as-pathlist）规则进行路由过滤,peergroup-name|peer-addressas-path-aclaspath-acl-numberimport|export,注意：对于单一的BGP邻居只能对接收的路由（import）进行过滤，对特定的BGP邻居组则可以对发布（export）和接收的路由都进行过滤。,35,学习交流PPT,利用as-pathlist实现路由发布和接收策略（二）,AS65400,对IBGP邻居只发布其他AS的路由；不发布本地始发路由,Quidwayipas-path-acl100deny$Quidwayipas-path-acl100permit.*Quidwaybgp65400Quidway-bgpgroupinpeerinternalQuidway-bgppeer3.3.3.3groupinpeerQuidway-bgppeerinpeeras-path-acl100export,36,学习交流PPT,路由策略,路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy,37,学习交流PPT,团体属性列表（community-list）,团体属性是BGP的重要属性之一，通过定义团体属性列表，我们可以很灵活的对一定数量的路由进行操作。ipcommunity-list命令则是用来配置一个BGP团体列表的匹配规则，以方便我们对携带团体属性的BGP路由进行过滤,ipcommunity-liststand-comm-list-numberpermit|denyaa:nn|internet|no-export-subconfed|no-advertise|no-exportipcommunity-listext-comm-list-numberpermit|denyas-regular-expression,38,学习交流PPT,团体属性列表（community-list）参数介绍,团体属性列表可分为标准以及扩展两种。标准团体属性列表参数：aa:nn：团体号，aa一般为自治系统号，nn为赋值internet：通告所有路由。（缺省属性）no-export-subconfed：不向本地自治系统外发送匹配路由no-advertise：为不向任何同伴发送匹配路由no-export：不向自治系统外部通告路由，但发布给其它子自治系统扩展团体属性列表参数：as-regular-expression：正则表达式格式的团体属性（以正则表达式进行团体属性值的匹配）,39,学习交流PPT,团体属性列表配置举例,#定义一个团体属性列表，匹配团体号65400:10,Quidwayipcommunity-list1permit65400:10,#定义一个团体属性列表，匹配团体号65400:10，不向本地自治系统外通告具有该团体属性的路由,Quidwayipcommunity-list1permit65400:10no-export-subconfed,40,学习交流PPT,利用团体属性列表实现路由发布和接收策略,在BGP邻居进行接收和发布路由过滤时，团体属性列表不能像前面介绍的访问控制列表，前缀列表和as-pathlist一样单独使用，而必须和Route-policy一起使用（作为Route-policy中的匹配条件）对特定的BGP路由赋予团体属性值，也是Route-policy的动作之一。,41,学习交流PPT,路由策略,路由策略概述访问控制列表（ACL）前缀列表（ip-prefix）自治系统路径信息访问列表（as-pathlist）团体属性列表（community-list）Route-policy,42,学习交流PPT,Route-policy,Route-policy是最强大的路由策略工具，前面介绍的访问控制列表，前缀列表，as-pathlist和团体属性列表都可以作为Route-policy的匹配规则，以实现灵活的路由匹配和过滤Route-policy不仅可以实现路由的过滤（permitordeny），还可以对符合规则的路由增加或修改相关的路由属性。Route-policy可以用于在接收和发布路由时的路由策略，同时也是唯一的可用于路由引入时的路由策略工具。,43,学习交流PPT,配置Route-policy,定义Route-policy节点并进入Route-policy视图：,route-policyroute-policy-namepermit|denynodenode-number,一个routingpolicy下可以有多个节点，不同的节点号用node-number进行标识，不同node-number各个部分之间的关系是“或”的关系每个节点下可以有多个if-match和apply子句，if-match子句之间是“与”的关系允许模式：当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的if-match子句，该路由策略的下一个节点将被测试拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤，并且不会进行下一个节点的测试,44,学习交流PPT,Route-policy的执行规则,Route-policyA,node10,node20,node30,Matchatt1Matchatt2,Matchatt3Matchatt4,Matchatt5Matchatt6,根据node10的apply子句进行属性设置,根据node20的apply子句进行属性设置,根据node30的apply子句进行属性设置,通过node10的if-match子句,通过node20的if-match子句,通过node30的if-match子句,通过Route-policyA,通过Route-policyA,通过Route-policyA,通不过Route-policyA,Y,N,N,N,N,Y,Y,45,学习交流PPT,Route-policy用于路由策略的if-match子句,46,学习交流PPT,Route-policy用于路由策略的apply子句,47,学习交流PPT,利用Route-policy实现路由发布和接收策略（一）,在BGP视图下，对BGP邻居（组）发布或接收路由时根据Route-policy规则进行路由过滤,peergroup-name|peer-addressroute-policyroute-policy-nameimport|export,注意：对于单一的BGP邻居只能对接收的路由（import）进行过滤，对特定的BGP邻居组则可以对发布（export）和接收的路由都进行过滤。,48,学习交流PPT,利用Route-policy实现路由发布和接收策略（二）,AS65400,对EBGP邻居仅发布团体属性为65400:10的路由，并修改其MED值为77；不发布其他路由,Quidwayipcommunity-list1permit65400:10Quidwayroute-policyoutpermitnode10Quidway-route-policyif-matchcommunity1Quidway-route-policyapplycost77Quidwaybgp65400Quidway-bgpgroupexpeerexternalQuidway-bgppeer202.4.1.1groupexpeeras-number65411Quidway-bgppeerexpeerroute-policyoutexport,49,学习交流PPT,问题,如果上面例子中的要求改为“对EBGP邻居发布路由时将团体属性为65400:10的路由的MED值修改为77；对于其他路由不作修改”怎么办？,50,学习交流PPT,解答,很简单，在定义Route-policy的时候加上一个空的节点node20就可以了：,Quidwayroute-policyoutpermitnode20,51,学习交流PPT,利用Route-policy实现路由引入时的策略（一）,在进行路由引入时实现路由策略，在不同路由协议中参数也有所不同：,RIP：import-routeprotocolallow-ibgpcostvalueroute-policyroute-policy-name,OSPF：import-routeprotocolallow-ibgpcostvaluetypevaluetagvalueroute-policyroute-policy-name,BGP：import-routeprotocolmedmed-valueroute-policyroute-policy-namenetworkip-addressaddress-maskroute-policyroute-policy-name,52,学习交流PPT,利用Route-policy实现路由引入时的策略（二）,AS65400,在BGP中network本地直连路由网段10.1.1.0/24时对路由打上团体属性值65400:10，引入OSPF路由时对其中的10.1.2.0/24网段打上团体属性65400:20no-export-subconfed，不向自治系统之外进行通告,Quidwayaclnumber2000Quidway-acl-basic-2000rulepermitsource10.1.2.00.0.0.255Quidway-acl-basic-2000ruledenysourceanyQuidwayroute-policysetcom-1permitnode10Quidway-route-policyapplycommunity65400:10Quidwayroute-policysetcom-2permitnode10Quidway-route-policyif-matchacl2000Quidway-route-policyapplycommunity65400:20no-export-subconfedQuidway-route-policyroute-policysetcom-2permitnode20Quidwaybgp65400Quidway-bgpnetwork10.1.1.0255.255.255.0route-policysetcom-1Quidway-bgpimport-routeospfroute-policysetcom-2,53,学习交流PPT,小结：路由策略的选择,54,学习交流PPT,课程内容,路由策略与策略路由引言路由策略策略路由路由策略与策略路由实验,55,学习交流PPT,IP策略路由,什么是策略路由？与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由是一种依据用户制定的策略进行路由选择的机制。路由策略和策略路由路由策略的操作对象是“路由”信息，主要通过对路由的过滤和对路由属性或参数的设置来间接影响数据转发。策略路由的操作对象是“数据包”，主要通过设定的策略直接指导数据的转发。,56,学习交流PPT,两种IP策略路由,IP策略路由通常分为两种：IP单播策略路由IP组播策略路由不管是单播还是组播策略路由配置需要做两方面的工作，一是定义那些需要使用策略路由的报文，二是为这些报文指定路由，和路由策略一样，这可以通过对一个Route-policy的定义来实现。if-match子句定义了那些需要使用策略路由的报文当报文满足route-policy中的if-match子句时，则执行策略中的apply子句，以完成报文的转发,57,学习交流PPT,IP单播策略路由,IP单播策略路由可以分为接口策略路由和本地策略路由两种：接口策略路由：在接口视图下配置（应用于报文到达的接口上），作用于到达该接口的报文本地策略路由：在系统视图下配置，对本机产生的报文进行策略路由。,策略路由可应用于安全、负载分担等目的。对于一般转发和安全等方面的使用需求，大多数情况下使用的是接口策略路由！,58,学习交流PPT,IP单播策略路由的配置,创建策略Route-policy定义Route-policy的if-match子句定义Route-policy的apply子句使能/禁止本地策略路由使能/禁止接口策略路由,59,学习交流PPT,用于IP单播策略路由的if-match子句,IP单播策略路由提供两种if-match子句，if-matchpacket-length子句和if-matchacl子句。一条策略中可以包含多条if-match子句，多条if-match子句可以组合使用。,60,学习交流PPT,用于IP单播策略路由的apply子句,61,学习交流PPT,接口策略路由和本地策略路由,配置接口策略路由配置本地策略路由,62,学习交流PPT,IP单播策略路由的配置举例,S1/0,S1/1,E0/0,TCP,10.1.1.0/24,从接口E0/0进入路由器的去往10.1.1.0/24的TCP报文强制走S1/0，对于其他的报文不作策略路由的控制,Quidwayaclnumber3001Quidway-acl-adv-3001rulepermittcpdestination10.1.1.00.0.0.255Quidwayroute-policya1permitnode10Quidway-route-policyif-matchacl3001Quidway-route-policyapplyoutput-interfaceSerial1/0Quidway-route-policyroute-policya1permitnode20QuidwayinterfaceEthernet0/0Quidway-Ethernet0/0ippolicyroute-policya1,63,学习交流PPT,问题,在上面例子中如果要求实现去往10.1.1.0/24的TCP报文在S1/0和S1/1端口上的负载分担，应该如何配置？,64,学习交流PPT,解答,很简单，在定义Route-policy的apply子句的时候加上一个新的接口就可以了,Quidway-route-policyapplyoutput-interfaceSerial1/0Serial1/1,在使用策略路由时，用户可指定多个下一跳或者设置多个出接口，此时，报文的转发将在多个合法参数中负载分担，即轮流在每一个下一跳或者出接口上发送一个报文。以上叙述只对于同种配置的多个参数有效，如果同时配置了出接口和下一跳，仅在出接口的设置中进行负载分担。,65,学习交流PPT,IP组播策略路由概述,IP组播策略路由是对组播通常的按照路由表进行报文转发功能的一种补充和增强，它依照用户指定的策略来转发组播报文。IP组播策略路由通过配置route-policy来实现，它是单播策略路由的一种扩展，由用户输入的一组if-match和apply语句来描述。if-match子句定义匹配准则，也就是通过当前route-policy规定所需满足的过滤条件，它规定当组播报文满足匹配条件时，不再按照通常的流程来转发，而是按照用户设置的方案（由apply语句描述）进行转发。,66,学习交流PPT,IP组播策略路由配置,定义route-policy定义IP组播路由策略的if-match子句定义route-policy的apply子句在接口上