12、DA030015 路由控制和路由选择 ISSUE1.4

1、DA030015 路由控制和路由选择,ISSUE 1.4,Page 2,我们可以使用路由策略来控制路由的引入、分发、选择过程；可以使用策略路由来改变数据包的默认的转发行为和转发路径。 通过路由策略和策略路由，我们可以人为地控制路由信息的分发和数据包的转发。,前 言,Page 3,参考资料,VRP 操作手册,Page 4,学习完此课程，您将会： 理解过滤的各种工具及其作用 学会路由策略的各种应用 学会应用策略路由,目 标,Page 5,第1章 过滤的工具 第2章 路由策略 第3章 策略路由,内容介绍,Page 6,第1章 过滤工具 1.1 过滤的工具,内容介绍,Page 7,过滤的工具,访问控制

2、列表（access-list） 用于匹配路由信息或者数据包的地址，过滤不符合条件的路由信息或数据包 前缀列表（prefix-list） 匹配对象为路由信息的目的地址或直接作用于路由器对象（gateway） 自治系统路径信息访问列表（ as-path-filter） 仅用于BGP协议，匹配BGP路由信息的自治系统路径域 团体属性列表（ community-filter） 仅用于BGP协议，匹配BGP路由信息的自治系统团体域 路由策略（route-policy） 设定匹配条件，属性匹配后进行设置，由if-match和apply子句组成,五种过滤工具,Page 8,过滤的工具,访问控制列表是由per

3、mit | deny语句组成的一系列有顺序的规则，这些规则根据源地址、目的地址、端口号等来描述。 按照访问控制列表的用途，可以分为三类： 基本的访问控制列表（basic acl） 高级的访问控制列表（advanced acl） 基于接口的访问控制列表（interface-based acl） 访问控制列表的使用用途是依靠数字的范围来指定的 20002999：基本的访问控制列表 30003999：高级的访问控制列表 10001999：基于接口的访问控制列表,访问控制列表,Page 9,过滤的工具,有两种匹配顺序： 配置顺序 配置顺序，是指按照用户配置ACL的规则的先后进行匹配 自动排序 自动排序

4、使用“深度优先”的原则 “深度优先”规则是把指定范围最小的语句排在最前面,访问控制列表(续),Page 10,过滤的工具,前缀列表用来过滤IP前缀，能同时匹配前缀号和前缀长度 前缀列表的性能比访问控制列表高 前缀列表不能用于数据包的过滤 例：ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28 前缀号必须为10.0 24=前缀长度=28 满足条件的如10.0.1.0/24, 10.0.2.0/25, 10.0.2.192/26,前缀列表,Page 11,过滤的工具,ASPATH列表用来过滤BGP

5、的AS-PATH属性 ASPATH属性使用正则表达式来定义 举例 匹配所有AS-PATH属性 ip as-path-filter 10 permit .* 匹配从AS100发起的路由ip as-path-filter 10 permit _100$ 匹配从AS200接收的路由ip as-path-filter 10 permit 200_,ASPATH 列表和正则表达式,Page 12,过滤的工具,ASPATH 列表和正则表达式,Page 13,过滤的工具,团体列表用来根据团体属性表示和过滤BGP路由 团体列表有基本的和高级的两种 基本团体列表用来匹配实际的团体属性值和常量 ip commun

6、ity-filter 1 permit 100:1 100:2 ip community-filter 1 permit 100:1 ip community-filter 1 permit no-export 高级团体列表可以使用正则表达式 ip community-filter 100 permit 10,团体列表,Page 14,过滤的工具,一个routing policy下可以有多个节点，不同的节点号用seq-number标识，不同seq-number各个部分之间的关系是“或”的关系 每个节点下可以有多个if-match和apply子句，if-match子句之间是“与”的关系 允许模式

7、：当路由项满足该节点的所有if-match子句时被允许通过该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的if-match子句，该路由策略的下一个节点将被测试 拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过该节点的过滤，并且不会进行下一个节点的测试 If-match子句可以引用其它的过滤器,Route-policy,Page 15,过滤的工具,Route-policy(续),Page 16,第1章 过滤工具 第2章 路由策略 第3章 策略路由,内容介绍,Page 17,第2章 路由策略 2.1 路由引入 2.2 路由过滤 2.3 下发缺省路由 2.4 使用路

8、由协议优先级,内容介绍,Page 18,路由引入,在一个路由协议中通告其它途径学习到的路由 “其它途径”包括 直连网络 静态路由 其它路由协议,什么是路由引入？,Page 19,路由引入,引入直连网络路由,Page 20,路由引入,引入静态路由,Page 21,路由引入,引入其它路由协议路由,RTA,RTB,Page 22,路由引入,部署不同路由协议的机构合并 不同的网络使用不同的协议，并且这些网络需要共享路由信息 简单的网络可以使用RIP 网络类型复杂的可以选用OSPF 大型骨干网络一般选用ISIS 网络协议的限制 比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适合运行ISIS协

9、议的 需要配置静态路由，然后把静态路由引入到ISIS,为什么要配置路由引入？,Page 23,路由引入,次优路由,路由引入要注意什么？,RIP,ISIS,1. Dest. RIP 100,1. Dest. RIP 100,2. Import rip,3. Dest. ISIS 15,4. Dest. ISIS 15,RTA,RTC,RTB,RTD,Page 24,路由引入,路由环路,路由引入要注意什么？(续),Loopback0:Dest.,ISIS,OSPF,1. Import direct cost 2,2. Dest. ASE 150,3. Dest. ASE 150,3. Dest.

10、ASE 150,4. Import ospf-ase,5. Dest. ISIS 15,6. Dest. ISIS 15,7. Import isis,8. Dest. ASE 150,RTA,RTB,RTC,RTD,RTE,Page 25,路由引入,开销值的变化,路由引入要注意什么？(续),RTA,RTB,RTC,20,Loopback0:Dest.,Import isis 1 cost 2,RIP,ISIS,Page 26,第2章 路由策略 2.1 路由引入 2.2 路由过滤 2.3 下发缺省路由 2.4 使用路由协议优先级,内容介绍,Page 27,路由过滤的作用,避免路由引入导致的次优

11、路由 避免路由回馈导致的路由环路 进行精确的路由引入和路由通告控制,作用,Page 28,路由过滤的作用,避免次优路由,RIP,ISIS,1. Dest. RIP 100,1. Dest. RIP 100,2. Import rip,3. Dest. ISIS 15,4. Dest. ISIS 15,RTA,RTC,RTB,RTD,过滤掉RTA通告给RTB的关于Dest.的路由，避免次优路由。,Page 29,路由过滤的作用,避免路由环路,Loopback0:Dest.,ISIS,OSPF,1. Import direct cost 2,2. Dest. ASE 150,3. Dest. AS

12、E 150,3. Dest. ASE 150,4. Import ospf-ase,5. Dest. ISIS 15,6. Dest. ISIS 15,7. Import isis （filter dest.）,8. Dest. ASE 150,1,RTA,RTB,RTC,RTD,RTE,过滤掉回馈路由,Page 30,路由过滤的作用,精确控制路由引入和路由发布,RTA,RTB,12.12.12.0/24 6.6.6.6/32 192.168.1.0/24 192.168.2.0/24 10.1.1.0/24,12.12.12.0/24 6.6.6.6/32,Page 31,路由过滤,在出方向

13、过滤路由 只能过滤路由信息，链路状态信息是不能被过滤的 可以在入方向过滤路由 对于链路状态路由协议，仅仅是不把路由加入到路由表中 可以过滤从其它路由协议引入的路由 只能在出方向过滤 在入方向过滤是没有意义的 使用filter-policy进行过滤,规则,Page 32,第2章 路由策略 2.1 路由引入 2.2 路由过滤 2.3 下发缺省路由 2.4 使用路由协议优先级,内容介绍,Page 33,缺省路由,缺省路由是路由转发的最后选择 使用缺省路由的好处 减小路由表规模 配置简单 可以隐藏明细路由 可以减小路由波动范围 缺省路由的不足 配置不当容易形成路由环路,缺省路由的概念,Page 34,

14、OSPF下发缺省路由,默认不产生缺省路由 在ASBR上配置 非强制下发：default-route-advertise 当路由表中存在非本OSPF进程产生的活动缺省路由时下发 强制下发：default-route-advertise always 不管路由表中是否存在缺省路由都下发 产生的LSA是TYPE5 LSA 这个LSA在整个路由域内泛洪,普通区域,Page 35,OSPF下发缺省路由,普通区域(续),OSPF,ASBR,RIP,Loo0:2.2.2.2,Area2,Area0,Area1,Default route LSA5,Default route LSA5,Default rou

15、te LSA5,Import rip,default-route-advertise always,Page 36,OSPF下发缺省路由,默认产生缺省路由，不需额外配置 产生的LSA是TYPE3 LSA 这个LSA在Stub区域或完全Stub区域内泛洪,Stub区域和完全Stub区域,Page 37,OSPF下发缺省路由,Stub区域和完全Stub区域(续),OSPF,Area0,Area1,ABR,Default route LSA3,Default route LSA3,STUB or TOTAL STUB,Area2,Page 38,OSPF下发缺省路由,默认不产生缺省路由 可以由ABR

16、下发，也可以由ASBR下发 如果由ABR下发，则ABR的路由表里不需要有缺省路由 如果由ASBR下发，则ASBR的路由表里必须有缺省路由 产生的LSA是TYPE7 LSA 这个LSA在NSSA区域内泛洪,NSSA区域,Page 39,OSPF下发缺省路由,ASBR,RIP,NSSA区域由ASBR下发,前提：在ASBR的路由表里必须已经存在一条缺省路由。,OSPF,Area0,Area1,ABR,NSSA,Area2,Import rip,Default route NH:LSA7,Default route NH:LSA7,nssa default-route-advertise,Page 4

17、0,OSPF下发缺省路由,NSSA区域由ABR下发,OSPF,Area0,Area1,ABR,NSSA,Area2,Default route LSA7,nssa default-route-advertise,Default route LSA7,Page 41,OSPF下发缺省路由,由ABR自动产生缺省路由 产生的LSA是TYPE7 LSA 这个LSA在NSSA区域内泛洪,完全NSSA区域,Page 42,OSPF下发缺省路由,完全NSSA区域,OSPF,Area0,Area1,ABR,TOTAL NSSA,Area2,Default route LSA3,Default route LS

18、A3,nssa no-summary,Page 43,OSPF下发缺省路由,小结：缺省路由的产生条件,Page 44,ISIS发布缺省路由,强制下发,ISIS,0.0.0.0 0.0.0.0 NH:RTA,RTA,RTC,RTB,BACKBONE,default-route-advertise,RTD,不管RTA的路由表里是否有缺省路由，RTA都下发缺省路由 问题 如果RTA和RTD之间的链路故障，流量仍然会发到RTA,Page 45,ISIS发布缺省路由,非强制下发,Page 46,第2章 路由策略 2.1 路由引入 2.2 路由过滤 2.3 下发缺省路由 2.4 使用路由协议优先级,内容介

19、绍,Page 47,路由协议优先级,VRP的路由协议优先级,Page 48,路由协议优先级,OSPF优先级为10，静态路由优先级为60 优选OSPF路由，OSPF路由失效后自动选择静态路由,浮动静态路由,Page 49,路由协议优先级,路由协议的迁移,Page 50,路由协议优先级,避免次优路由,RIP,ISIS,1. Dest. RIP 100,1. Dest. RIP 100,2. Import rip,3. Dest. ISIS 15,4. Dest. ISIS 150,RTA,RTC,RTB,RTD,改变ISIS的路由协议优先级，使RTB到Dest.优选RIP路由。,Page 51,路

20、由协议优先级,避免路由环路,Loopback0:Dest.,ISIS,OSPF,1. Import direct cost 2,2. Dest. ASE 150,3. Dest. ASE 150,3. Dest. ASE 150,4. Import ospf-ase,5. Dest. ISIS 15,6. Dest. ISIS 15,7. Import isis,8. Dest. ASE 160,1,100,RTA,RTB,RTC,RTD,RTE,改变优先级，使RTB优选RTA的路由。,Page 52,第1章 过滤工具 第2章 路由策略 第3章 策略路由,内容介绍,Page 53,策略路由,策略路由是一种依据用户制定