DR002006 NE系列路由器路由控制和选择特性 ISSUE 1.02

Page0修订记录课程编码适用产品产品版本课程版本ISSUEDR002006NE路由器ALL1.00开发/优化者时间审核人开发类型（新开发/优化）张立2009-10-9周进军新开发本页不打印NE系列路由器路由控制和路由选择Page2前言我们可以使用路由策略来控制路由的引入、分发、选择过程；可以使用策略路由来改变数据包的默认的转发行为和转发路径。通过路由策略和策略路由，我们可以人为地控制路由信息的分发和数据包的转发。Page3培训目标学完本课程后，您应该能：描述路由选择工具描述路由策略描述基于策略的路由选择Page4目录路由选择工具路由策略基于策略的路由选择Page5目录路由选择工具路由策略基于策略的路由选择Page6路由选择工具访问控制列表（ACL）用于匹配路由信息或者数据包的地址，过滤不符合条件的路由信息或数据包前缀列表（ip-prefix）匹配对象为路由信息的目的地址或直接作用于路由器对象（gateway）自治系统路径信息访问列表（as-path-filter）仅用于BGP协议，匹配BGP路由信息的自治系统路径域团体属性列表（community-filter）仅用于BGP协议，匹配BGP路由信息的自治系统团体域路由策略（route-policy）设定匹配条件，属性匹配后进行设置，由if-match和apply子句组成Page7访问控制列表访问控制列表是由permit|deny语句组成的一系列有顺序的规则，这些规则根据源地址、目的地址、端口号等来描述。按照访问控制列表的用途，可以分为三类：基本的访问控制列表（basicacl）高级的访问控制列表（advancedacl）基于接口的访问控制列表（interface-basedacl）访问控制列表的使用用途是依靠数字的范围来指定的2000～2999：基本的访问控制列表3000～3999：高级的访问控制列表1000～1999：基于接口的访问控制列表Page8访问控制列表的匹配顺序有两种匹配顺序：配置顺序配置顺序，是指按照用户配置ACL的规则的先后进行匹配自动排序自动排序使用“深度优先”的原则“深度优先”规则是把指定范围最小的语句排在最前面Page9访问控制列表示例（一）路由1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/8路由1.1.1.1/321.1.1.0/241.1.0.0/16aclnumber2001rule0permitsource1.1.0.016Page10访问控制列表示例（二）路由1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/8路由1.1.0.0/16aclnumber2001rule0permitsource1.1.0.00Page11访问控制列表示例（三）路由1.1.1.1/321.1.2.1/321.1.3.1/321.1.4.1/321.1.5.1/321.1.6.1/32aclnumber2001rule0permitsource 1.1.1.00.0.254.255路由1.1.1.1/321.1.3.1/321.1.5.1/32Page12访问控制列表示例（四）路由1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/8aclnumber2001rule0permitsource1.1.1.10rule1denysource1.1.1.00rule2permitsource1.1.0.00.0.255.0rule3deny路由1.1.1.1/321.1.0.0/16Page13访问控制列表示例（五）路由1.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/8aclnumber2001rule0permitsource1.1.1.00路由1.1.1.0/241.1.1.0/25怎么把1.1.1.0/25也过滤掉呢？Page14前缀列表前缀列表用来过滤IP前缀，能同时匹配前缀号和前缀长度前缀列表的性能比访问控制列表高前缀列表不能用于数据包的过滤例：ipip-prefixtestindex10permit10.0.0.016greater-equal24less-equal28前缀号必须为10.024<=前缀长度<=28满足条件的如10.0.1.0/24,10.0.2.0/25,10.0.2.192/26Page15前缀列表示例路由1.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/8ipip-prefixPref1index10permit1.1.1.024greater-equal24less-equal24路由1.1.1.0/24Page16AS-Path-FilterASPATH列表用来过滤BGP的AS-PATH属性ASPATH属性使用正则表达式来定义举例匹配所有AS-PATH属性ipas-path-filter10permit.*匹配从AS100发起的路由ipas-path-filter10permit_100$匹配从AS200接收的路由ipas-path-filter10permit^200_Page17AS-Path-Filter和正则表达式字符符号特殊意义句号.匹配任意单字符星号*匹配模式中0或更多序列加号+匹配模式中1或更多序列问号?匹配模式0或一次出现加字符^匹配输入字符串的开始美元符$匹配输入字符串的结束下划线_匹配逗号，括号，字符串的开始和结束，空格方括号[范围]表示一个单字符模式的范围连字符-把一个范围的结束点分开Page18Community-filter团体列表用来根据团体属性表示和过滤BGP路由团体列表有基本的和高级的两种基本团体列表用来匹配实际的团体属性值和常量ipcommunity-filter1permit100:1100:2ipcommunity-filter1permit100:1ipcommunity-filter1permitno-export高级团体列表可以使用正则表达式ipcommunity-filter100permit^10Page19Route-policy一个routingpolicy下可以有多个节点，不同的节点号用seq-number标识，不同seq-number各个部分之间的关系是“或”的关系每个节点下可以有多个if-match和apply子句，if-match子句之间是“与”的关系允许模式：当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的if-match子句，将试图匹配路由策略的下一个节点拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤，并且不会进行下一个节点的测试If-match子句可以引用其它的过滤器Page20Route-policyNetworkCostNextHop1.1.2.0/24468734.34.34.2468713.13.13.11.1.3.0/24468734.34.34.2468713.13.13.11.1.3.0/25134.34.34.2113.13.13.15.5.5.5/32468734.34.34.2468713.13.13.16.6.6.6/32468734.34.34.2468713.13.13.1NetworkCostNextHop1.1.3.0/24468734.34.34.22113.13.13.11.1.3.0/251134.34.34.22113.13.13.1aclnumber2001rule0permitsource1.1.3.00.0.0.255aclnumber2002rule0permitsource13.13.13.10route-policyRPdenynode10if-matchip-prefixPref1route-policyRPpermitnode20if-matchacl2001if-matchipnext-hopacl2002applycost21route-policyRPpermitnode30if-matchip-prefixPref3applycost11route-policyRPpermitnode40#ipip-prefixPref1index10permit5.5.5.532ipip-prefixPref1index20permit1.1.2.024ipip-prefixPref1index30permit6.6.6.632ipip-prefixPref3index10permit1.1.3.024greater-equal25less-equal25Page21问题本课程介绍了哪些路由选择工具？Page22目录路由选择工具路由策略基于策略的路由选择Page23目录路由策略2.1路由引入2.2路由过滤2.3使用路由协议优先级2.4控制缺省路由下发Page24路由引入的概念在一个路由协议中通告其它途径学习到的路由“其它途径”包括直连网络静态路由其它路由协议Page25引入直连网络路由之前OSPFLo0:2.2.2.2/3211.0.0.010.0.0.0RTARTB[RTA]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface

2.2.2.2/32Direct00127.0.0.1InLoopBack010.0.0.0/30Direct0010.0.0.1Serial111.0.0.0/30Direct0011.0.0.1Serial0[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface11.0.0.0/30Direct0011.0.0.2Serial0Page26引入直连网络路由之后OSPFLo0:2.2.2.2/3211.0.0.010.0.0.0RTARTBospf1import-routedirect[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface

2.2.2.2/32O_ASE150111.0.0.1Serial010.0.0.0/30O_ASE150111.0.0.1Serial011.0.0.0/30Direct0011.0.0.2Serial0Page27引入静态路由之前OSPFLo0:2.2.2.2/3211.0.0.010.0.0.0RTARTB[RTA]iproute-static2.2.2.2255.255.255.255Serial1[RTA]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface

2.2.2.2/32Static60010.0.0.1Serial110.0.0.0/30Direct0010.0.0.1Serial111.0.0.0/30Direct0011.0.0.1Serial0[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface11.0.0.0/30Direct0011.0.0.2Serial0Page28引入静态路由之后OSPFLo0:2.2.2.2/3211.0.0.010.0.0.0RTARTBospf1

import-routestatic[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface

2.2.2.2/32O_ASE150111.0.0.1Serial011.0.0.0/30Direct0011.0.0.2Serial0Page29RIP引入其它路由协议的路由之前OSPFLo0:2.2.2.2/3211.0.0.010.0.0.0RTARTB[RTA]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface

2.0.0.0/8RIP100110.0.0.2Serial110.0.0.0/30Direct0010.0.0.1Serial111.0.0.0/30Direct0011.0.0.1Serial0[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface11.0.0.0/30Direct0011.0.0.2Serial0Page30RIP引入其它路由协议的路由之后OSPFLo0:2.2.2.2/3211.0.0.010.0.0.0RTARTBospf1

import-routerip1[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface

2.0.0.0/8O_ASE150111.0.0.1Serial010.0.0.0/30O_ASE150111.0.0.1Serial011.0.0.0/30Direct0011.0.0.2Serial0Page31为什么需要配置路由引入部署不同路由协议的机构合并不同的网络使用不同的协议，并且这些网络需要共享路由信息简单的网络可以使用RIP网络类型复杂的可以选用OSPF大型骨干网络一般选用ISIS网络协议的限制比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适合运行ISIS协议的需要配置静态路由，然后把静态路由引入到ISISPage32路由引入不当导致次优路由Lo0:2.2.2.2RIPISIS1.Dest.RIP1001.Dest.RIP1002.Importrip3.Dest.ISIS154.Dest.ISIS15RTARTCRTBRTD[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface

2.0.0.0/8ISIS158412.12.12.1Serial0isis1

import-routerip1S0Page33路由引入不当导致路由环路Lo0:2.2.2.2ISISOSPF1.Importdirectcost22.Dest.ASE1503.Dest.ASE1503.Dest.ASE1505.Dest.ISIS156.Dest.ISIS157.ImportisisRTARTBRTCRTDRTE4.Importospf-asePage34路由引入不当导致路由环路Lo0:2.2.2.2ISISOSPFRTARTBRTCRTDRTE[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2.2.2.2/32O_ASE150123.23.23.2Serial1[RTC]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2.2.2.2/32ISIS158434.34.34.2Serial0[RTD]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2.2.2.2/32ISIS157445.45.45.2Serial1[RTE]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2.2.2.2/32O_ASE150125.25.25.1Serial2S0S1S2S1Page35路由引入要注意开销值的变化RTARTBRTCLo0:2.2.2.2Importisis1cost2RIPISISPage36目录路由策略2.1路由引入2.2路由过滤2.3使用路由协议优先级2.4控制缺省路由下发Page37路由过滤的作用避免路由引入导致的次优路由避免路由回馈导致的路由环路进行精确的路由引入和路由通告控制Page38使用路由过滤避免次优路由Lo0:2.2.2.2RIPISIS1.Dest.RIP1001.Dest.RIP1003.Dest.ISIS154.Dest.ISIS15RTARTDRTCRTB2.Importrip过滤掉RTA通告给RTB的路由。Page39使用路由过滤避免次优路由配置Lo0:2.2.2.2RIPISISRTARTDRTCRTBisis1import-routerip1aclnumber2001rule5denysource2.0.0.00.255.255.255rule10permitisis1filter-policy2001import[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface

2.0.0.0/8RIP100124.24.24.2Serial1Page40使用路由过滤避免路由环路Lo0:2.2.2.2ISISOSPF1.Importdirectcost22.Dest.ASE1503.Dest.ASE1503.Dest.ASE1505.Dest.ISIS156.Dest.ISIS157.ImportisisRTARTBRTCRTD4.Importospf-ase过滤掉回馈路由RTEPage41使用路由过滤避免路由环路配置Lo0:2.2.2.2RTARTBRTCRTDRTEospf1import-routedirectcost2isis1import-routeospf1aclnumber2001rule0denysource2.0.0.00.255.255.255rule1permitospf1import-routeisis1route-policyRP1route-policyRP1permitnode10if-matchacl2001Page42精确控制路由引入和路由发布RTARTB[RTA]displaybgprouting-tableNetworkNextHopMEDLocPrfPrefValPath/Ogn*>6.6.6.6/320.0.0.000?*>10.1.1.0/240.0.0.000?*>172.16.1.0/240.0.0.000?*>192.168.1.00.0.0.000?*>192.168.2.00.0.0.000?*>201.12.12.00.0.0.000?bgp100peer12.12.12.2ip-prefixP1exportipip-prefixP1index5deny10.0.0.08greater-equal8less-equal32ipip-prefixP1index10deny172.16.0.012greater-equal16less-equal32ipip-prefixP1index15deny192.168.0.016greater-equal16less-equal32ipip-prefixP1index20permit0.0.0.00less-equal32[RTB]displaybgprouting-tableNetworkNextHopMEDLocPrfPrefValPath/Ogn*>6.6.6.6/3212.12.12.100100?*>201.12.12.012.12.12.100100?Page43路由过滤规则在出方向过滤路由只能过滤路由信息，链路状态信息是不能被过滤的可以在入方向过滤路由对于链路状态路由协议，仅仅是不把路由加入到路由表中可以过滤从其它路由协议引入的路由只能在出方向过滤在入方向过滤是没有意义的可以使用filter-policy进行过滤，也可以使用ip-prefix进行过滤Page44目录路由策略2.1路由引入2.2路由过滤2.3使用路由协议优先级2.4控制缺省路由下发Page45路由协议优先级路由协议或路由种类优先级Direct0OSPF10IS-IS15Static60RIP100OSPFASE150BGP255Page46浮动静态路由OSPF优先级为10，静态路由优先级为60优选OSPF路由，OSPF路由失效后自动选择静态路由OSPFSTATICSTATICPage47浮动静态路由配置RTARTB12.12.12.021.21.21.0S2S2S3S1ospf1area0.0.0.0network12.12.12.00.0.0.3network1.1.1.10.0.0.0iproute-static2.2.2.2255.255.255.255Serial3Destination/MaskProtoPreCostNextHopInterface1.1.1.1/32Direct00127.0.0.1InLoopBack02.2.2.2/32OSPF10156312.12.12.2Serial21.1.1.12.2.2.2Page48浮动静态路由配置RTARTB12.12.12.021.21.21.0S2S2S3S1[RTA]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface1.1.1.1/32Direct00127.0.0.1InLoopBack02.2.2.2/32Static60021.21.21.1Serial31.1.1.12.2.2.2Page49路由协议的迁移IS-ISOSPFPage50调整路由协议优先级避免次优路由Lo0:2.2.2.2RIPISIS1.Dest.RIP1001.Dest.RIP1002.Importrip3.Dest.ISIS154.Dest.ISIS150RTARTCRTBRTD改变ISIS的路由协议优先级，使RTB到Dest.优选RIP路由。Page51调整路由协议优先级避免次优路由配置Lo0:2.2.2.2RIPISISRTARTCRTBRTDisis1import-routerip1isis1preference150[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2.0.0.0/8RIP100124.24.24.2Serial1S1Page52调整路由协议优先级避免路由环路Lo0:2.2.2.2ISISOSPF1.Importdirectcost23.Dest.ASE1503.Dest.ASE1504.Importospf-ase5.Dest.ISIS156.Dest.ISIS157.ImportisisRTARTBRTCRTDRTE改变优先级，使RTB优选RTA的路由。2.Dest.ASE150Page53调整路由协议优先级避免路由环路配置Lo0:2.2.2.2ISISOSPFRTARTBRTCRTDRTEisis1preference160ospf1import-routeisis1[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2.2.2.2/32O_ASE150212.12.12.1Serial0Page54目录路由策略2.1路由引入2.2路由过滤2.3使用路由协议优先级2.4控制缺省路由下发Page55路由协议发布缺省路由所有路由协议都可以下发缺省路由OSPF可以配置多种下发方式在ABR上下发在ASBR上下发强制下发非强制下发IS-IS没有命令实现类似OSPF的非强制下发功能，但是可以通过路由策略来实现Page56OSPF下发缺省路由区域类型自动产生配置命令产生者已存在缺省路由LSA类型范围普通default-route-advertiseASBR√5路由域default-route-advertisealwaysASBR5路由域STUB√ABR3STUB完全STUB√ABR3STUB