《高级路由技术（理论篇）》 课件 单元6、7 实施路由策略优化路由表、使用策略路由提升传输效率

单元6：实施路由策略，优化路由表《高级路由技术》(理论篇）主讲教师：XXX技术背景多种不同的路由协议的应用适应了大规模园区网组网需求。在多园区的网络部署中，实施一定的路由策略，保障网络中路由更新安全，避免网络中路由安全隐患产生。多园区的网络部署中，存在有多种路由协议，通过实施路由策略，不仅可以提高路由更新的效率，优化园区网性能，还是可以有效保护网络安全。学习目标认识园区网中路由策略技术：被动接口、单播更新、分发列表、配置前缀列表、调整AD值等会区别路由策略和策略路由会配置路由策略，优化网络传输6.1路由策略技术原理路由器依据路由表转发IP数据包，它根据所收到的IP数据包中目标IP地址与路由表的匹配，匹配成功后，直接转发到下一跳路由器。通过在路由器上实施路由策略，进一步筛选路由表。对符合条件的路由条目，修改其路由属性，来执行相应转发策略，如允许通过、拒绝通过、接收、引入等操作，通过实施路由策略，筛选出部分的IP数据报文，按照规定的策略进行转发。6.1.1了解路由策略技术6.1路由策略技术原理路由策略的用途之一是：对路由通告施加严格控制，保障路由器在多个路由选择协议之间能互相共享路由，并确保路由沿着指定的方向通告路由。出于安全考虑，在连接两个子域的边界路由器上实施路由策略，仅让子域B中的部分路由传播到子域A中。通过配置路由策略，减少不必要路由传播，优化B域内路由表。6.1.1了解路由策略技术6.1路由策略技术原理运行距离矢量协议的路由器基于路由表通告路由，路由策略会选择符合条件的路由，通告给邻居路由器，实施路由通告和更新。运行链路状态协议的路由器基于接受到链路状态数据库（LSDB），计算生成路由表，而不是基于邻居路由器直接通告路由条目，因此，路由策略对LSA通告或LSDB没有影响。所以，路由策略对邻居路由器的路由表影响需要考虑实际情况决定。在OSPF路由协议内部，路由策略的作用有限。但在OSPF的自治域边界路由器ASBR上，由于需要引入外部的路由条目，在ASBR路由器上实施路由策略，可以控制那些进入或离开该域的路由，因此影响较大。6.1.2路由策略内容6.1路由策略技术原理路由策略中“路由”是名词，“策略”是动词，也即路由策略中应用的策略。其操作的对象是路由信息。路由策略实现路由表中部分路由过滤，设置路由表中部分路由的属性等操作，通过改变路由表中路由的属性（包括可达性），改变路由路径。通过实施路由策略，实现路由表中路由过滤和路由属性设置等功能，通过修改路由属性（包括可达性），来执行相应的策略动作。6.1.3区别路由策略和策略路由6.1路由策略技术原理在实施路由策略中，通过改变路由属性，对路由控制与过滤。在传统路由转发中，只能依据IP数据包中目的地址转发，无法满足特殊过滤需求。在出现基于源地址、协议或者应用等复杂路由策略有局限性，配合策略路由技术实施路由过滤，使用Traffic-filter对路由进行过滤。策略路由根据用户定义策略，进行报文转发和选路策略路由，不仅根据报文的目的地址，还能根据接受IP数据报文源地址、报文大小以及传输链路质量等，制定策略路由，改变数据包转发路径。6.1.3区别路由策略和策略路由6.2了解路由策略控制技术被动接口（Passive-interface）将一个特定接口设为被动状态，特定动态路由协议发出路由更新，不会从这个接口发送出去，实现了路由传播范围控制。为了防止本地网络中的路由器，通过路由协议动态学习到园区网中其它路由，可以在指定接口上配置被动接口Passive-interface技术，不允许部分路由更新报文从该接口发送出去。6.2.1被动接口6.2了解路由策略控制技术被动接口技术阻止指定接口上发送的指定协议的路由更新。配置为被动接口也不参与路由计算。如果某一个接口配置为Passive-interface被动接口，该接口在OSPF路由计算中就表现为一个残余网络，该接口将不再发送任何路由更新信息，也不接收路由更新。在OSPF路由学习中，如果某接口上配置Passive-interface技术，该接口将不发送OSPF协议的Hello报文，所以该接口就不可能有邻居的存在，也不交换路由。6.2.1被动接口6.2了解路由策略控制技术汇聚层交换机GS_SW和核心交换机CO_SW之间通过OSPF路由连通，在汇聚交换机GS_SW上通告连接VLAN子网段，以便核心交换机学习到相关路由。汇聚交换机GS_SW在OSPF进程宣告VLAN子网段，相应SVI接口向所有VLAN泛洪Hello报文，汇聚层交换机下连接二层接入交换机。需要在汇聚交换机GS_SW启用Passive-interface予以屏蔽。6.2.1被动接口6.2了解路由策略控制技术使用单播地址来代替广播和组播。在距离矢量路由协议路由学习中，RIPv1路由使用广播地址（255.255.255.255）更新，RIPv2使用组播地址（224.0.0.9）更新，无论是RIPv1还是RIPv2，都可实施单播更新技术。开启RIP单播更新，RIP除使用单播更新外，还可以组播和广播更新。开启单播更新后，RIP路由更新没有减少，反而增加。但有种特殊情况，在RIP协议中配置某个接口为被动接口，抑制从某个接口上发送路由更新，被动接口不能抑制单播更新，只能抑制广播和组播。6.2.2单播更新6.2了解路由策略控制技术IP访问控制列表与接口相关联，控制网络中IP数据包分流。如果为当前分发列表配置一个IP访问控制列表时，可以控制路由选择更新。通过把分发列表技术（Distribute-list）应用在路由选择和更新的过程中，决定哪些路由将被加入路由表或通过更新发送出去。将IP访问控制列表和分发列表技术（Distribute-list）有机结合起来，则可以用来允许、拒绝部分路由条目的选择更新。6.2.3分发列表6.2了解路由策略控制技术分发列表技术是用于控制路由更新的工具，但分发列表技术只能过滤路由信息，不能过滤LSA链路通告消息。在距离矢量路由协议中，分发列表技术无论是使用in或out方向，都能过滤路由；但在链路状态路由中，依靠LSA链路通告生成路由表机制，导致分发列表技术应用效果不明显。6.2.3分发列表6.2了解路由策略控制技术在距离矢量路由协议，路由器之间传递是路由条目，分发列表对路由条目信息有绝对控制权。如果在接口in方向上部署分发列表，可过滤特定路由，使执行分发列表路由器上路由表发生变化。本地路由器将更新过的路由信息传播给下游，更新的内容是经过分发列表过滤后路由条目。在接口out方向上部署分发列表，实现上述同样效果。6.2.3分发列表6.2了解路由策略控制技术在out方向上，分发列表只能应用在ASBR路由器，且只能针对外部引入路由起作用，因此，分发列表在这个场合下能实现路由过滤。否则，如果不是本地始发的外部路由，或者是内部的OSPF路由，out方向的分发列表均没有效果。场景中在ASBRR1上实施路由重分发技术。在out方向上，实施分发列表过滤掉1.1.1.0/24外部路由。在R1路由器上重发布进路由，更新到路由器R2，在out方向上使用分发列表，阻挡R3路由器接受1.1.1.0/24外部路由，因为OSPF域内使用LSA通告计算路由，则没有方法实现，因为不是本地始发路由。6.2.3分发列表6.2了解路由策略控制技术在R2路由器的FastEthernet0/0入接口上，应用ACL1规则控制路由分发，导致路由器R2上的路由表里，过滤掉来自192.168.3.0/24网络的路由条目。这时候，OSPF路由器产生该条路由的LSA通告，已经记录在R2路由器的LSDB中。而在R2路由器从DR路由器上复制LSDB表信息，在本地计算路由。在将计算完成的路由条目，记录进路由表之前，这时，in方向的分发列表发生作用，将192.168.3.0/24的路由过滤掉。因此，在路由器R2的路由表中，就没有该条OSPF路由。6.2.3分发列表6.2了解路由策略控制技术IP前缀列表（ipPrefix-list）匹配网络前缀以及掩码。Prefix-list技术不同于匹配IP数据流量的IPACL，IP前缀列表主要用来指定具体的网络可达，不仅可以匹配网络号，还可以匹配掩码。因为可以匹配掩码，所以还经常用来匹配路由条目。Prefix-list技术保留了IPACL的多项重要特性，实施网络中特点信息的数据包的过滤。但由于IP前缀列表（ipPrefix-list）技术在应用过程，占用CPU的资源比采用IPACL技术要少很多。6.2.4配置前缀列表6.2了解路由策略控制技术如果一台运行RIP和OSPF路由器，分别通过二种不同路由协议，学习到达目标网络172.16.0.0/16路由条目。由于OSPF路由协议具有更高的路由可信度，因此，通过OSPF路由协议学习到的172.16.0.0/16路由信息将被放在路由表中。在自治域边界路由器上，把来自RIP路由域中路由条目重分发到到OSPF路由，在OSPF路由中设置一个比RIP路由协议更高管理距离；或在RIP路由协议中设置为一个比OSPF更低管理距离，指定路由条目在传输到目标网络，能选择到达目的网络最佳传输路径。6.2.5调整AD值6.2了解路由策略控制技术通过配置RouterA路由器上的RIP管理距离，使得RouterA路由器只学到RouterB路由器通告路由，忽略路由器RouterC所有通告，从RouterB学到路由管理距离为99。将默认情况下所有路由器通过RIP协议学到路由管理距离全部设置为255，只有RouterB路由器通告路由管理距离设为99。6.2.5调整AD值【网络实践】:启用Passive-interface，优化网络配置XXX园区网络的出口区域，使用多台路由器之间互相连接，通过全部启用RIPv2路由协议实现全网互连互通。由于安全需求，需要在路由器RouterB的Fa0/1接口上启用passive-interface，优化网络配置，保护网络安全。【任务描述】【设计过程】省略好好学习天天向上单元7：使用策略路由，优化传输路径《高级路由技术》(理论篇）主讲教师：XXX技术背景某园区网出口的网络场景中，要求销售部门使用电信线路上网，其他部门使用联通线路上网。在出口网络中使用基于策略路由，根据IP数据包源地址、目的地址、源端口、目的端口和协议类型，实现园区网出口网络中发出的IP数据报文，根据需要选择不同传输路径。学习目标认识园区网中策略路由技术原理会配置策略路由，优化传输路径7.1了解策略路由路由器收到报文，查看IP报头目标地址，匹配路由表，是否有到达该目标网络路由。如果路由表有到达目标网络路由条目；路由器进行精确匹配，找到一条指导IP报文传输路径。如果没有匹配到达目标网络的路由条目，路由器会直接丢弃该报文。7.1.1传统路由选路原则7.1了解策略路由如果路由器通过同一种路由学习到多条网络地址与掩码都相同路由。路由器比较每条路由度量值，在多条路径间选择一条到达目标网络最短路径。一条路由度量值是10，另一条度量值是20。路由器选择度量值小路由，作为匹配转发路径，度量值越小，意味着路径越可靠。7.1.1传统路由选路原则7.1了解策略路由策略路由是一种基于策略的路由选择机制，它比基于目标地址的路由选择机制，能提供更加灵活的数据包转发机制。策略路由通过在路由器中配置路由图，定义路由策略决定一个IP数据包的下一跳转发路由器，并通过在路由器上应用策略路由，指引IP数据包转发路径，获得更高的转发效率。7.1.2基于策略路由选路机制7.1了解策略路由基于策略路由转发技术，比传统路由提供更强IP数据包控制能力，通过制定路由图中策略，能够根据IP报文的源地址、目的地址、源端口、目的端口、协议类型、报文大小等报文特征，制定园区网中IP数据包转发策略，选择不同转发路径分流数据报文。7.1.2基于策略路由选路机制7.2配置策略路由策略路由通过以下操作，完成特征IP数据流匹配，应用策略，匹配路由表后，实施基于策略的IP数据包转发过程。基于策略的路由技术，在匹配IP数据包转发过程中，使用技术如下所示。通过route-map定义匹配数据，执行规定策略。通过route-map名字，关联一些有序条目，按照序号大小顺序查找匹配。匹配成功立刻结束route-map查找，执行规定策略。通过match语句，检查数据是否匹配。通过set语句，执行策略。通过Pemit表示执行策略，deny表示不执行策略。通过Route-map每个条目，都被赋予编号，可以任意