IGP-資料流控制及路由更新控制
IGP
訪問列表
一組按順序排放的過濾器
過濾器:由匹配標準和過濾動作組成
過濾動作:許可(permit)或拒絕(deny)
匹配標準:源地址、源於目的地址、協議型別、埠號
編號:基本acl 2000~2999 高階acl 3000~3999
編號用途:1:把所有行連線在一起
2:區分訪問列表的型別
訪問列表特點
順序性
從上到下順序過濾
每個過濾器前都有一個序列號
列表型別
基本ip訪問列表
編寫命令
acl 2000
rule 5 permit/deny source/destination ip 掩碼
acl 3000(舉個栗子)
rule 5 deny tcp destination-port eq 23 172.16.1.2 0.0.0.0
//不允許TCP的目的埠為23的且源IP為172.16.1.2的裝置訪問
重點
條件苛刻的放在前面
基本acl放在離目的近的地方,高階acl放在離源近的地方
acl不能過濾自己產生的流量
字首列表
字首列表用來控制匹配字首(網段)和字首長度(子網掩碼)
例如:IP ip-prefix permit greater-equal 24 less-equal 28
普通字首列表引數:
• ip ip-prefix [name] [permit | deny] [prefix]/[len] Ge [min-
length] Le [max-length]
• [name]:名字和數字皆可
• [prefix]:指定的路由字首
• [len]:指定的路由字首的長度
• GE:大於等於;範圍:GE-value~32
• LE:小於等於;範圍:len~LE-value
• len < =GE <= LE
ip ip-prefix X permit 1.2.3.0/24
• 允許字首1.2.3.0/24
ip ip-prefix X permit 172.0.0.0/8 greater-equal 16
• 允許字首172.0.0.0/8、子網掩碼為16~32
ip ip-prefix X permit 172.0.0.0/8 less-equal 24
• 允許字首172.0.0.0/8、子網掩碼為8~24
ip ip-prefix X permit 192.168.16.0/22 greater-
equal 24 less-equal 24
• 允許字首192.168.16.0/22、子網掩碼為24
ip ip-prefix X permit 0.0.0.0/0 less-equal 32
• 允許全部的條目
ip ip-prefix X permit 0.0.0.0/0
• 只允許預設路由
重分發
重分發:為了使多種路由協議協同工作
雙向重分發·
[Huawei-rip-1]import-route direct/rip/ospf/static
預設Metric值=0,可在命令後加上cost引數更改度量值
預設路由不可以做重分發
靜態/ospf重分發進來cost為0
重分發靜態路由
[1-ospf-1]import-route static type 1/2
預設路由不能重分發進OSPF
Metric值預設為1,型別為2
型別1:根據OSPF開銷累積計算
型別2:不累積OSPF開銷,預設為1
重分發直連路由
[Huawei-ospf-1]import-route direct
重分發進來的路由條目別人學習到管理距離為150
通告進去的管理距離為10
預設重分發直連進來的度量值為1,型別為2
型別1:根據OSPF開銷累積計算
型別2:不累積OSPF開銷,預設為1
rip重分發進ospf
[huawei-rip-1]import-route rip 1
預設cost為1
管理距離預設為150
預設度量值型別為2
RIP OSPF
雙向重分發
RIP重分發進OSPF
• [huawei-ospf-1]import-route rip
• 預設度量值為1,預設度量值型別為2,管理距離變成150
OSPF重分發進RIP
• [huawei-rip-1]import-route ospf 1
• 預設度量值為0
Route-policy
路由策略是什麼
路由策略是通過一系列工具或方法對路由進行各種控制的“策略”。這種策略能夠影響到路由產生、釋出、選擇等,進而影響報文的轉發路徑。這些工具包括ACL、route-policy、ip-prefix、filter-policy等,這些方法包括對路由進行過濾,設定路由的屬性等。
在IP網路中,路由策略的用途主要包括兩個方面:1)對路由資訊進行過濾。2)修改路由的屬性
組成
Route-Policy由節點號、匹配模式、if-match子句(條件語句)和apply子句(執行語句)這四個部分組成。
節點號
一個Route-Policy可以由多個節點(node)構成。路由匹配Route-Policy時遵循以下兩個規則:
1)順序匹配:在匹配過程中,系統按節點號從小到大的順序依次檢查各個表項,因此在指定節點號時,要注意符合期望的匹配順序。
2)唯一匹配:Route-Policy各節點號之間是“或”的關係,只要通過一個節點的匹配,就認為通過該過濾器,不再進行其它節點的匹配。
匹配模式
節點的匹配模式有兩種:permit和deny。
1)permit指定節點的匹配模式為允許。當路由項通過該節點的過濾後,將執行該節點的apply子句,不進入下一個節點;如果路由項沒有通過該節點過濾,將進入下一個節點繼續匹配。
2)deny指定節點的匹配模式為拒絕。這時apply子句不會被執行。當路由項滿足該節點的所有if-match子句時,將被拒絕通過該節點,不進入下一個節點;如果路由項不滿足該節點的if-match子句,將進入下一個節點繼續匹配。
注意事項:if-match和apply子句可以根據應用進行設定,但是都是可選的。如果只過濾路由,不設定路由的屬性,則僅需要配置if-match子句,不需要使用apply子句;如果每個permit節點沒有配置任何if-match子句,則該節點匹配所有的路由;通常在多個deny節點後配置一個不含if-match字句和apply子句的permit節點,用於允許其他的路由通過。
if-match子句(條件語句)
if-match子句用來定義一些匹配條件。Route-Policy的每一個節點可以含有多個if-match子句,也可以不含if-match子句。如果某個permit節點沒有配置任何if-match子句,則該節點匹配所有的路由。
apply子句(執行語句)
apply子句用來指定動作。路由通過Route-Policy過濾時,系統按照apply子句指定的動作對路由資訊的一些屬性進行設定。Route-Policy的每一個節點可以含有多個apply子句,也可以不含apply子句。如果只需要過濾路由,不需要設定路由的屬性,則不使用apply子句。
建立route-policy
route-policy goktech permit node 10
• if-match xx1
• apply yy1
route-policy goktech permit node 20
• if-match xx2
• apply yy2
按10.20順序逐級向下匹配,若if-match語句匹配,那
麼就執行apply動作
定義if-match
if-match acl +列表名
if-match ip-prefix +列表名
if-match cost 匹配具有指定度量值的路由
if-match tag 匹配具有指定標籤值的路由
定義apply
apply cost 設定度量值
apply cost-type 設定型別
apply preference 設定管理距離
apply ip-address next-hop x.x.x.x 指定下一跳地址
apply tag 更改匹配的tag
route-policy
末尾隱含deny
if-match沒寫是match any
apply沒寫是apply nothing
路由控制更新
彙總
rip彙總
手工彙總不能低於主類
[huawei-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.252.0
ospf彙總
ABR上彙總
• [huawei-ospf-1-area-0.0.0.0]abr-summary 10.1.1.0 255.255.252.0
ASBR上彙總
• [huawei-ospf-1]asbr-summary 192.168.0.0 255.255.252.0
ISIS彙總
summary+字首+掩碼
被動介面
rip被動介面
尿性:RIP被動介面實驗
不傳送更新,可以接收更新
命令:[huawei-rip-1]silent-interface g0/0/0
單播更新:被動介面+單播指鄰居
[huawei-rip-1]peer 12.12.12.2
ospf被動介面
禁止建立鄰居關係
[huawei-ospf-1]silent-interface g0/0/0
重分發
過濾策略
1.在出方向過濾路由
• 只能過濾路由資訊,對傳送鏈路狀態資訊的不起作用
2.可以在入方向過濾路由
• 對於鏈路狀態路由協議,僅僅是不把路由加入到路由表
中
3. 可以過濾從其它路由協議引入的路由
• 只能在出方向過濾
• 在入方向過濾是沒有意義的
4.可以使用filter-policy進行過濾,也可以使用ip-prefix進行
過濾
修改管理距離
opsf修改管理距離
OSPF自制系統內:
[huawei-ospf-1]preference 2
External:外部條目進入ospf
[huawie-ospf-1]preference ase 5
RIP修改管理距離
[huawei-rip-1]preference +數值
(可配合route-policy實現不同路由條目管理距離的更改)
修改COST
資料流控制
PBR策略路由(policy based routing)通過策略來決定流量方向
路由策略(通過路由資訊來決定流量方向)
PBR實現的功能
轉發資料包更靈活,不僅僅依靠目的地址
為Qos 進行服務
負載均衡
策略路由種類:
1.本地策略路由
2.介面策略路由
3.智慧策略路由(SPR)
PBR實驗命令
建立ACL
acl number 2000
• rule 5 permit source 10.1.0.0 0.0.255.255
• acl number 2001
• rule 5 permit source 172.16.1.0 0.0.0.255
定義流量型別
• traffic classifier goktech1 operator or
• if-match acl 2000
• traffic classifier goktech2 operator or
• if-match acl 2001
定義流量行為
• traffic behavior goktech3
• redirect ip-nexthop 100.1.1.4
• traffic behavior goktech4
• redirect ip-nexthop 200.1.1.4
建立策略關聯流量型別和流量行為
traffic policy goktech
• classifier goktech1 behavior goktech3
• classifier goktech2 behavior goktech4
介面呼叫策略
• interface GigabitEthernet0/0/0
• ip address 192.168.1.3 255.255.255.0
• traffic-policy goktech inbound-----入介面