admin管理员组文章数量:1633739
路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如:
1.控制路由的接收和发布
只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。
2.控制路由的引入
在一种路由协议引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。
3.设置特定路由的属性
修改通过路由策略过滤的路由的属性,满足自身需要。
路由策略具有以下价值:
•通过控制路由器的路由表规模,节约系统资源。
•通过控制路由的接收、发布和引入,提高网络安全性。
•通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。
01 路由策略基本原理
路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
1.1路由策略原理
如图,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。
当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。匹配模式分permit和deny两种:
•permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。
•deny:路由将被拒绝通过。
当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。
1.2过滤器
路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。
1.2.1 ACL
ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。
1.2.2 地址前缀列表(IP Prefix List)
地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。
每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。
根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。
1.2.3 AS路径过滤器(AS_Path Filter)
AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。
AS_Path属性记录了BGP路由所经过的所有AS编号
1.2.4 团体属性过滤器(Community Filter)
团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。
BGP的团体属性是用来标识一组具有共同性质的路由。
1.2.5 扩展团体属性过滤器(Extcommunity Filter)
扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。
目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN网络中控制VPN路由信息在各Site之间的发布和接收。
1.2.6 RD属性过滤器(Route Distinguisher Filter)
RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。
VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。
BGP to IGP功能
BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。
在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
02 路由策略应用场景
2.1 应用路由策略过滤特定路由
如图所示,运行OSPF协议的网络中,RouterA从Internet网络接收路由,并为RouterB提供了部分Internet路由。其中:
•RouterA仅提供172.16.17.0/24、172.16.18.0/24和172.16.19.0/24给RouterB
•RouterC仅接收路由172.16.18.0/24
•RouterD接收RouterB提供的全部路由
有多种方法可以实现上述要求,下面列举常用的两种:•
1)使用地址前缀列表(IP-Prefix List)
■在RouterA上配置地址前缀列表,并且配置OSPF利用该地址前缀列表作为RouterA的出口策略。
■在RouterC上配置另外一个地址前缀列表,并且配置OSPF利用该地址前缀列表作为RouterC的入口策略。
2)使用路由策略
■在RouterA上配置路由策略(其中匹配条件可以是地址前缀列表、路由cost、路由标记Tag等),并且配置OSPF利用该路由策略作为RouterA的出口策略。
■在RouterC上配置另外一个路由策略,并且配置OSPF利用该路由策略作为RouterC的入口策略。
使用路由策略与使用地址前缀列表相比,优点是对路由的控制更为灵活,并且可以修改路由的属性,缺点是配置复杂。
2.2 应用路由策略实现OSPF透传其他协议路由
如图所示,某自治区域运行OSPF协议,作为传输区域为其他小区域提供互联。RouterA连接的IS-IS区域的路由需要通过OSPF区域透传到Router D所连接的IS-IS区域。
为满足上述需求,可以在RouterA上配置路由策略,为引入的IS-IS路由设置Tag值。RouterD上会根据这个Tag值从众多OSPF路由中分离出这条IS-IS路由。
03 路由策略配置举例
3.1 对接收和发布的路由进行过滤示例
3.1.1 组网需求
运行OSPF协议的网络中,RouterA从Internet网络接收路由,并为OSPF网络提供了Internet路由。要求OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络,其中RouterC连接的网络只能访问172.16.18.0/24网段的网络。
3.1.2 配置思路
1)在RouterA上配置路由策略,在路由发布时运用路由策略,使RouterA仅提供路由172.16.17.0/24、172.16.18.0/24、172.16.19.0/24给RouterB,实现OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络。
2)在RouterC上配置路由策略,在路由引入时运用路由策略,使RouterC仅接收路由172.16.18.0/24,实现RouterC连接的网络只能访问172.16.18.0/24网段的网络。
3.1.3 操作步骤
1)配置各接口的IP地址
# 配置RouterA的各接口的IP地址。
<Huawei> system-view
[Huawei] sysname RouterA
[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] ip address 192.168.1.1 255.255.255.0
[RouterA-GigabitEthernet1/0/0] quit
RouterB、RouterC和RouterD的配置同RouterA此处略。
2)配置OSPF基本功能
# RouterA的配置
[RouterA] ospf
[RouterA-ospf-1] area 0
[RouterA-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] quit
[RouterA-ospf-1] quit
# RouterB的配置
[RouterB] ospf
[RouterB-ospf-1] area 0
[RouterB-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] quit
# RouterC的配置
[RouterC] ospf
[RouterC-ospf-1] area 0
[RouterC-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[RouterC-ospf-1-area-0.0.0.0] quit [RouterC-ospf-1] quit
# RouterD的配置
[RouterD] ospf
[RouterD-ospf-1] area 0
[RouterD-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[RouterD-ospf-1-area-0.0.0.0] quit
3) 在RouterA上配置5条静态路由,并在将这些静态路由引入到OSPF协议中
[RouterA] ip route-static 172.16.16.0 24 NULL 0
[RouterA] ip route-static 172.16.17.0 24 NULL 0
[RouterA] ip route-static 172.16.18.0 24 NULL 0
[RouterA] ip route-static 172.16.19.0 24 NULL 0
[RouterA] ip route-static 172.16.20.0 24 NULL 0
[RouterA] ospf
[RouterA-ospf-1] import-route static
[RouterA-ospf-1] quit
4) 配置路由发布策略
# 在RouterA上配置地址前缀列表a2b。
[RouterA] ip ip-prefix a2b index 10 permit 172.16.17.0 24
[RouterA] ip ip-prefix a2b index 20 permit 172.16.18.0 24
[RouterA] ip ip-prefix a2b index 30 permit 172.16.19.0 24
# 在RouterA上配置发布策略,引用地址前缀列表a2b进行过滤。
[RouterA] ospf
[RouterA-ospf-1] filter-policy ip-prefix a2b export static
5)配置路由接收策略
在RouterC上配置地址前缀列表in。
[RouterC] ip ip-prefix in index 10 permit 172.16.18.0 24
# 在RouterC上配置接收策略,引用地址前缀列表in进行过滤。
[RouterC] ospf
[RouterC-ospf-1] filter-policy ip-prefix in import
版权声明:本文标题:路由策略原理及配置请查收...... 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1729174540a1188551.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论