《路由交换技术》部署和实施企业网络互联（任务4）

部署和实施企业网络互联引例描述按照公司的整体网络功能和性能规划，运维部工程师需要完成的任务如下。（1）按照公司A

IP地址规划方案和网络连接配置各台设备的IP地址。（2）在深圳总部部署和实施浮动静态默认路由和NAT实现整个公司A接入Internet。（3）在深圳总部以及广州分公司之间部署多区域OSPF。（4）在广州分公司内部部署IS-IS协议。（5）通过路由引入技术实现公司A整个网络的连通。（6）部署和实施路由优化，实现深圳总部和广州分公司的内网设备只学习到彼此业务网段路由。（7）在深圳总部部署IPv6试验网络，为公司全面部署IPv6网络做好准备。引例描述项目任务任务3-1部署和实施静态路由和NAT实现Internet接入任务3-2部署和实施OSPF协议实现总部和分公司网络互联任务3-3部署和实施IS-IS协议实现分公司网络互联任务3-4部署和实施网络路由引入和路由优化任务3-5部署和实施总部IPv6网络任务3-4部署和实施网络路由引入和路由优化任务陈述知识准备任务实施任务陈述本任务主要要求读者夯实和理解路由引入概念和常见问题、前缀列表、路由策略和相关配置命令等基础知识，通过在广州分公司路由器部署和实施路由引入和路由优化，来掌握前缀列表配置、路由策略配置、IS-IS协议和OSPF协议路由双向引入配置和验证相关配置等职业技能，为后续网络安全实施和自动化运维做好准备。知识准备4.1路由引入4.2前缀列表4.3路由策略4.4策略路由4.1路由引入由于采用的路由算法不同，不同的路由协议可以发现不同的路由。当网络规模比较大,且使用多种路由协议时，不同的路由协议间通常需要发布其他路由协议发现的路由，这种在路由协议之间交换路由信息的过程被称为路由引入（RouteImport）。路由引入可能会导致次优路由和路由环路，那么，我们可以采用路由过滤来避免这些问题。另外，路由过滤还可以使我们进行精确的路由引入和路由通告。4.1路由引入部署不同路由协议的机构合并不同的网络使用不同的协议，并且这些网络需要共享路由信息简单的网络可以使用RIP网络类型复杂的可以选用OSPF大型骨干网络一般选用ISIS网络协议的限制比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适合运行ISIS协议的需要配置静态路由，然后把静态路由引入到ISIS4.1路由引入路由引入为在同一个互联网络中高效地支持多种路由协议提供了可能。执行路由引入的路由器被称为边界路由器，因为它们位于两个或多个自治系统的边界上。任何路由协议彼此间都可以引入其他的路由协议的路由以及直连和静态路由。一种路由协议在引入其他路由协议时，只引入路由协议在路由表中存在的路由。路由引入时路由度量必须要考虑的，在进行引入时必须指定外部引入进来的路由的初始度量值。路由引入默认的初始度量值如下表。路由协议默认初始度量值默认路由优先级修改初始度量值命令OSPF1,路由类型为210，ASE为150defaultcostIS-IS0，路由类型为Level215defaultcostBGPIGP的度量值255defaultmed4.1路由引入OSPF路由引入命令import-route

{{bgp

[permit-ibgp]|direct|static|isis

[process-id-isis]|ospf

[process-id-ospf]}[cost

cost|type

type|tag

tag|route-policy

route-policy-name]}配置举例：OSFP进程中引入IS-IS进程1的路由,指定OSPF外部路由类型为类型1，路由标记为2020，开销值为10。[R1-ospf-1]import-routeisis1type1tag2020cost104.1路由引入IS-IS路由引入命令import-route

{{isis|ospf}[process-id]|static|direct|bgp[permit-ibgp]}[cost-type{external|internal}|costcost|tag

tag|route-policyroute-policy-name|[level-1|level-2|level-1-2]]配置举例：配置IS-IS引入OSPF进程1的路由，并设置引入路由的开销值为20，路由标记为2020，并指定引入路由到Level-2的路由表中。[R1-isis-1]import-routeospf1cost20tag2020level-24.1路由引入原理BGP路由引入命令【import-route

protocol

[process-id][med

med|route-policy

route-policy-name]】

BGP引入路由时支持Import和Network两种方式。Import方式是按协议类型，将OSPF、IS-IS等协议的路由引入到BGP路由表中。Network方式是逐条将IP路由表中已经存在的路由引入到BGP路由表中，比Import方式更精确。配置举例：配置BGP引入OSPF进程1的路由，并设置引入路由的开销值为100。[R1-bgp]import-routeospf1med1004.1路由引入路由引入过程中潜在的问题：路由反馈次优路由路由环路不同路由协议收敛时间的不一致

ospf1import-routerip1type1

ospf1import-routerip1type14.1路由引入四台路由器若运行不同协议会出现什么问题？财务部10人公司总部市场部20人10M5MRTDRTCRTBRTA10.1.3.0/24150310.1.3.0/241504

链路空闲，链路带宽利用率低

解决：可通过修改接口的ospf开销值实现负载RIPOSPF4.1路由引入多协议复杂场景带来的其他问题-次优路由Lo0:2.2.2.2Dest.RIP100

Dest.RIP100importripDest.ISIS15Dest.ISIS15RTARTCRTBRTDS1/0/012.12.12.1RIPISISisis1

import-routerip1[RTB]displayiprouting-tableDestination/Mask Proto Pre Cost NextHop Interface2.0.0.0/8

ISIS 15 84 12.12.12.1 Serial1/0/04.1路由引入解决方案一：利用路由过滤避免次优路由displayiprouting-tableDestination/Mask Proto Pre Cost NextHop Interface2.0.0.0/8 RIP 100 1 24.24.24.2 Serial1/0/1Lo0:2.2.2.2RIPISISRTARTDRTCRTB24.24.24.2isis1import-routerip1acl2001rule5denysource2.0.0.00.255.255.255rule10permitisis1filter-policy2001importS1/0/14.1路由引入解决方案二：调整协议优先级避免次优路由Lo0:2.2.2.2RTARTDRTCRTB24.24.24.2RIPISISisis1

preference150displayiprouting-tableDestination/Mask Proto Pre Cost NextHopInterface2.0.0.0/8 RIP 100 1 24.24.24.2Serial1/0/1isis1

import-routerip1S1/0/14.1路由引入多协议复杂场景带来的其他问题-路由环路A:1.1.1.1/24ISISOSPFR1R2R3R5R4importdirectcost20

Dest.ASE15020

Dest.ASE150

importospf

Dest.ISIS15

Dest.ISIS15

Dest.ASE150

importisis

Dest.ASE15010

4.1路由引入解决方案一：利用路由过滤避免路由环路A:1.1.1.0/24ISISOSPFR1R2R3R5R4acl2001

rule0denysource1.1.1.00.0.0.255

rule1permitroute-policyRP1permitnode10

if-matchacl2001ospf1

import-routeisis1route-policyRP1isis1import-routeospf1ospf1import-routedirectcost24.1路由引入解决方案二：调整协议优先级避免路由环路A:1.1.1.0/24ISISOSPFR1R2R3R5R412.12.12.1isis1

preference160ospf1import-routeisis1isis1import-routeospf1ospf1import-routedirectcost2displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2.2.2.2/32O_ASE150212.12.12.1Serial1/0/1S1/0/14.1路由引入解决方案三：使用路由过滤和路由标记避免路由环路、次优路由A:1.1.1.0/24ISISOSPFR1R2R3R5R412.12.12.1在OSPF中中引入ISIS时，使用Route-Policy过滤携带tag200的路由将OSPF引入ISIS时，使用Route-Policy为1.1.1.0/24打上tag200ospf1import-routedirectcost2S1/0/14.2前缀列表当我们需要执行路由策略或者策略路由的时候，一般先要把特定的路由信息或者数据包过滤出来。可以根据过滤的对象不同采用不同的过滤工具。所以我们要首先清楚要匹配的对象是什么，是路由还是数据，然后才能选择适当的工具。访问控制列表既可以用来匹配数据包也可以用来匹配路由信息。前缀列表用来过滤IP前缀，能同时匹配前缀号和前缀长度。前缀列表的性能比访问控制列表高。前缀列表不能用于数据包的过滤。4.2前缀列表IP-Prefix

List可以通过地址前缀列表，将与所定义的前缀过滤列表相匹配的路由，根据定义的匹配模式进行过滤，以满足使用者的需要。前缀列表的组成及匹配规则：前缀过滤列表由IP地址和掩码组成，IP地址可以是网段地址或者主机地址，掩码长度的配置范围为0～32。IP-PrefixList中的每一条IP-Prefix都有一个序号index，匹配时将根据序号从小到大进行匹配。如果不配置IP-Prefix的index，那么对应的index在上次配置的同名IP-Prefix的index的基础上，以步长为10进行增长。如果配置的IP-Prefix的名字与index都和已经配置了的一项IP-Prefix

List的相同，仅仅只是匹配的内容不同，则该IP-Prefix

List将覆盖原有的IP-Prefix

List。当所有前缀过滤列表均未匹配时，缺省情况下，存在最后一条默认匹配模式为deny。当引用的前缀过滤列表不存在时，则默认匹配模式为permit。4.2前缀列表配置命令ipip-prefix

ip-prefix-name

{permit|deny}

ipv4-address

mask-length

[match-network]

[greater-equalgreater-equal-value][less-equal

less-equal-value]前缀掩码长度范围：前缀过滤列表可以进行精确匹配或者在一定掩码长度范围内匹配，并通过配置关键字greater-equal和less-equal来指定待匹配的前缀掩码长度范围。如果没有配置关键字greater-equal或less-equal，前缀过滤列表会进行精确匹配，即只匹配掩码长度为与前缀过滤列表掩码长度相同的IP地址路由；如果只配置了关键字greater-equal，则待匹配的掩码长度范围为从greater-equal指定值到32位的长度；如果只匹配了关键字less-equal，则待匹配的掩码长度范围为从指定的掩码到关键字less-equal的指定值。4.2前缀列表IP-Prefix的匹配机制开始分析第一条索引表项待匹配路由在定义的范围内？是否剩余其它索引表项分析下一条索引表项动作是permit还是deny匹配结果为拒绝匹配结果为允许结束是否permitdeny顺序匹配是否唯一匹配默认拒绝4.2前缀列表前缀列表示例路由1.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/8ipip-prefixPref1index10permit1.1.1.024greater-equal24less-equal24路由1.1.1.0/244.2前缀列表前缀列表示例路由1.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/8ipip-prefixPref1index10permit1.1.0.016greater-equal24路由1.1.1.0/241.1.1.0/254.2前缀列表匹配所有主机路由ipip-prefixtest1index5permit0.0.0.0/0greater-equal32匹配所有路由ipip-prefixtest2index10permit0.0.0.0/0less-equal32匹配默认路由外的所有路由ipip-prefixtest3index15permit0.0.0.0/0greater-equal1匹配A类地址ipip-prefixtest4index20permit0.0.0.0/1greater-equal8less-equal8

3.4.2前缀列表

4.2前缀列表

匹配B类地址ipip-prefixtest5index25permit128.0.0.0/2greater-equal16less-equal16匹配C类地址ipip-prefixtest6index30permit192.0.0.0/3greater-equal24less-equal24匹配以192.168开头的，前缀长度在16-20之间（包括16和20）的所有路由ipip-prefixtest7index35permit192.168.0.0/16less-equal20匹配以192.168开头的，前缀长度在20-32之间（包括20和32）的所有路由ipip-prefixtest8index40permit192.168.0.0/16greater-equal204.3路由策略Route-Policy是一个策略工具，用于过滤路由信息，以及为过滤后的路由信息设置路由属性。一个Route-Policy由一个或多个节点（Node）构成，每个节点都可以是一系列条件语句（匹配条件）以及执行语句（执行动作）的集合，这些集合按照编号从小到大的顺序排列。Node1（匹配模式Permit）

条件语句

执行语句Node2（匹配模式Permit）

条件语句

执行语句NodeN（匹配模式Permit）

条件语句

执行语句……自上而下route-policytest每个节点内可包含多个条件语句。节点内的多个条件语句之间的关系为“与”，即匹配所有条件语句才会执行本节点内的动作。节点之间的关系为“或”，route-policy根据节点编号大小从小到大顺序执行，匹配中一个节点将不会继续向下匹配。4.3路由策略一个Route-Policy由一个或多个节点构成，每个节点包括多个if-match和apply子句。route-policytestpermitnode10if-matchx1if-matchx2

applyy1route-policytestpermitnode20if-matchx3x4applyy2route-policytestpermitnodeN

if-matchxnapplyyn……permit或deny：指定Route-Policy节点的匹配模式为允许或拒绝。node：指定Route-Policy的节点号。整数形式，取值范围是0～65535。if-match子句：定义该节点的匹配条件。apply子句：定义针对被匹配路由执行的操作。Route-Policy名称节点的匹配模式节点号条件语句执行语句4.3路由策略Route-Policy的匹配顺序：路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。route-policynode10If-matchIf-match……匹配模式applyapply……通过路由策略……nodeNIf-matchIf-match……匹配模式applyapply……通过路由策略拒绝通过拒绝通过拒绝通过全部匹配成功全部匹配成功permitpermitdenydeny未全部匹配成功未全部匹配成功顺序匹配唯一匹配4.3路由策略[Huawei]route-policy

route-policy-name

{

permit

|

deny

}

node

node创建Route-Policy[Huawei-route-policy]if-match?

acl 匹配基本ACLcost 匹配路由信息的costinterface 匹配路由信息的出接口

ip-prefix 匹配前缀列表

……（可选）配置if-match子句[Huawei-route-policy]apply？

cost 设置路由的costcost-type{type-1|type-2}

设置OSPF的开销类型

ip-addressnext-hop 设置IPv4路由信息的下一跳地址

preference 设置路由协议的优先级

tag 设置路由信息的标记域

……（可选）配置apply子句4.3路由策略下面是定义路由策略的实例，目的是对前缀列表1定义的路由信息设置路由标记。[R1]ipip-prefix1index10permit1.1.1.024[R1]route-policyexamplepermitnode10[R1-route-policy]if-matchip-prefix1[R1-route-policy]applytag1111

4.4策略路由在某些场景中我们希望一些特定用户、特定业务的流量走指定的转发路径，而其余用户或业务的流量则依旧根据路由表进行转发。网段1ISP1ISP2网段2出口示例：双ISP接入的企业，想要实现内网网段1访问Internet通过ISP1、内网网段2访问Internet通过ISP2，该需求无法通过传统的路由技术实现。企业X4.4策略路由PBR（Policy-BasedRouting，策略路由）：PBR使得网络设备不仅能够基于报文的目的IP地址进行数据转发，更能基于其他元素进行数据转发，例如源IP地址、源MAC地址、目的MAC地址、源端口号、目的端口号、VLAN-ID等等。用户还可以使用ACL匹配特定的报文，然后针对该ACL进行PBR部署。若设备部署了PBR，则被匹配的报文优先根据PBR的策略进行转发，即PBR策略的优先级高于传统路由表。192.168.1.0/2410.0.12.1/2410.0.13.1/2410.0.12.2/2410.0.13.2/24192.168.1.0/24via10.0.12.2RTARTBRTCPPBR执行点PNetworkRTA上路由表中前往192.168.1.0/24下一跳为10.0.12.2，使用策略路由改变其转发路径。RTA的路由表部署PBR将流量重定向到RTC4.4策略路由PBR与Route-Policy类似，由多个节点组成，每个节点由匹配条件（条件语句）和执行动作（执行语句）组成。每个节点内可包含多个条件语句。节点内的多个条件语句之间的关系为“与”，即匹配所有条件语句才会执行本节点内的动作。节点之间的关系为“或”，PBR根据节点编号从小到大顺序执行，匹配当前节点将不会继续向下匹配。policy-based-routePBR

节点1

条件语句执行语句Policy-BasedRoutingpolicy-based-routePBR

节点2

条件语句执行语句policy-based-routePBR

节点3

条件语句条件语句执行语句或或与4.4策略路由PBR与路由策略区别名称操作对象描述路由策略（Route-Policy）路由信息路由策略是一套用于对路由信息进行过滤、属性设置等操作的方法，通过对路由的操作或控制，来影响数据报文的转发路径PBR数据报文PBR直接对数据报文进行操作，通过多种手段匹配感兴趣的报文，然后执行丢弃或强制转发路径等操作4.4策略路由本地PBR对本地始发的流量生效，如：本地始发的ICMP报文。本地PBR在系统视图调用。接口PBR只对转发的报文起作用，对本地始发的报文无效。接口PBR调用在接口下，对接口的入方向报文生效。缺省情况下，设备按照路由表的下一跳进行报文转发，如果配置了接口PBR，则设备按照接口PBR指定的下一跳进行转发。PBR执行点接口PBR本地PBR1依据路由表转发PBR转发2PPP依据路由表转发PBR转发PBR执行点PPBR的分类4.4策略路由[Huawei]policy-based-route

policy-name

{

deny

|

permit

}

node

node-id创建PBR创建策略路由和策略点，若策略点已创建则进入本地策略路由视图。[Huawei-policy-based-route-PBR-10]if-matchaclacl-number[Huawei-policy-based-route-PBR-10]if-matchpacket-lengthmin-lengthmax-length设置IP报文的匹配条件缺省情况下，策略路由中未配置匹配条件，可以设置使用ACL匹配IP地址，也可以设置匹配报文长度。[Huawei-policy-based-route-PBR-10]applyoutput-interfaceinterface-typeinterface-number指定PBR中报文的出接口缺省情况下，策略路由中未配置报文出接口。配置成功后，将匹配策略点的报文从指定出接口发送出去。报文的出接口不能为以太接口等广播型接口。4.4策略路由[Huawei-policy-based-route-PBR-10]applyip-addressnext-hopip-address1[ip-address2]设置PBR中报文的下一跳用户可以指定报文的下一跳。当该策略点未配置出接口时，匹配策略点的报文被发往指定的下一跳。[Huawei]iplocalpolicy-based-routePolicy-name全局PBR调用[Huawei-GigabitEthernet0/0/0]ippolicy-based-routePolicy-name

接口PBR调用4.4策略路由下面是本地策略路由配置举例，路由器R1和R2之间配置静态路由到达对方的环回接口0。现通过配置本地策略路由实现大小为64-100字节的数据包选择上边的链路，大小为101-500字节的数据包选择下面的链路，所有其他长度的数据包都按基于目的地址的方法进行路由选路。[R1]policy-based-routeLPpermitnode10[R1-policy-based-route-LP-10]if-matchpacket-length64100[R1-policy-based-route-LP-10]applyip-addressnext-hop172.16.12.2[R1]policy-based-routeLPpermitnode20[R1-policy-based-route-LP-20]if-matchpacket-length101500[R1-policy-based-route-LP-20]applyip-addressnext-hop172.16.21.2[R1]iplocalpolicy-based-routeLP4.4策略路由MQC（ModularQoSCommand-LineInterface，模块化QoS命令行）是指通过将具有某类共同特征的数据流划分为一类，并为同一类数据流提供相同的服务，也可以对不同类的数据流提供不同的服务。MQC包含三个要素：流分类（trafficclassifier）、流行为（trafficbehavior）和流策略（trafficpolicy）。MQC的流行为支持重定向报文，因此可以使用MQC实现IP单播策略路由。应用流策略在接口入方向上应用流策略对属于该VLAN并匹配流分类中规则的入方向报文实施策略控制在全局或板卡上应用流策略流分类配置流分类，用于匹配感兴趣数据流。可基于VLANTag、DSCP、ACL规则…..流行为将感兴趣报文进行重定向。可以设置重定向的下一跳IP地址或出接口。流策略流分类--->流行为4.4策略路由流策略：将流分类和流行为绑定，对分类后的报文执行对应流行为中定义的动作。一个流策略可以绑定多个流分类和流行为。流策略（trafficpolicy）流分类1（trafficclassifier）流行为1（trafficbehavior）流分类2（trafficclassifier）流行为2（trafficbehavior）流分类n（trafficclassifier）流行为n（trafficbehavior）4.4策略路由流分类：定义一组流量匹配规则，以对报文进行分类。流分类支持的匹配项如下所示。流分类1（trafficclassifier）流行为1（trafficbehavior）三层可匹配项其他可匹配项二层可匹配项………目的MAC地址or源MAC地址ACL4000～4999匹配的字段VLAN报文Tag的ID信息………IPv4报文长度IP报文的IP优先级ACL2000～3999匹配的字段………出接口所有报文入接口4.4策略路由流行为：用来定义执行的动作，支持报文过滤、重标记优先级、重定向、流量统计等动作。流分类1（trafficclassifier）流行为1（trafficbehavior）重新标记报文优先级流量统计为报文添加VLANTag过滤报文………对报文执行策略路由可执行动作4.4策略路由流策略：流策略支持在接口上调用。流策略存在方向(inbound、outbound)的概念，策略中的流行为匹配入、出方向的报文，对匹配中的报文执行相应的流动作。在接口入向使用流策略重定向匹配中的报文在接口出向使用流策略为报文打上802.1Q标签。Q流策略执行点流策略调用在接口出向SW1IPMACIP802.1QMAC流策略调用在接口入向SW1Q依据路由表转发MQC重定向QQ流策略执行点4.4策略路由[Huawei]trafficclassifierclassifier-name[operator{and|or}]创建流分类缺省情况下，流分类中各规则之间的关系为“或”（or）。流分类中的匹配规则配置可查阅产品手册。[Huawei]trafficbehaviorbehavior-name创建流行为根据实际情况定义流行为中的动作，只要各动作不冲突，都可以在同一流行为中配置。流行为具体配置可查阅产品手册。[Huawei]trafficpolicypolicy-name

[Huawei-trafficpolicy-policyname]classifierclassifier-namebehaviorbehavior-name创建流策略，并绑定流分类与流行为4.4策略路由需求：内网存在两个网段，网段1：10.1.1.0/24，网段2：10.1.2.0/24，在RTA上通过MQC实现策略路由，实现网段1访问Internet通过ISP1、网段2访问Internet通过ISP2。将MQC调用在RTA的GE0/0/0接口ISP1ISP210.1.1.0/2410.1.2.0/24202.1.2.3154.1.2.3GE0/0/0RTA使