HUAWEI TECHNOLOGIES CO., LTD.All rights reservedInternal www.huawei.comDP500027 路由控制和路 由选择ISSUE 1.0HUAWEI TECHNOLOGIES CO., LTD.All rights reservedl如何对报文转发的路径进行有效 控制?如何对发布、接收、引入的路由信息进行有效控制，提高网络 安全性?学完本课程之后您将会找到满意的答案。HUAWEI TECHNOLOGIES CO., LTD.All rights reserved参考资料lVRP 操作手册HUAWEI TECHNOLOGIES CO., LTD.All rights reserved学习完此课程，您将会：理解过滤的各种工具及其作用学会路由策略的各种应用学会应用策略路由HUAWEI TECHNOLOGIES CO., LTD.All rights reserved第第1 1章章 过滤的工具过滤的工具第2章 路由策略第3章 策略路由HUAWEI TECHNOLOGIES CO., LTD.All rights reserved第第1 1章章 过滤工具过滤工具1.1 过滤的工具HUAWEI TECHNOLOGIES CO., LTD.All rights reserved过滤的工具l访问控制列表（access-list） 用于匹配路由信息或者数据包的地址，过滤不符合条件的路由信息或数 据包l前缀列表（prefix-list） 匹配对象为路由信息的目的地址或直接作用于路由器对象（gateway）l自治系统路径信息访问列表（ as-path-filter） 仅用于BGP协议，匹配BGP路由信息的自治系统路径域l团体属性列表（ community-filter） 仅用于BGP协议，匹配BGP路由信息的自治系统团体域l路由策略（route-policy） 设定匹配条件，属性匹配后进行设置，由if-match和apply子句组成五种过滤工具五种过滤工具HUAWEI TECHNOLOGIES CO., LTD.All rights reserved过滤的工具l访问控制列表是由permit | deny语句组成的一系列有顺序的规则， 这些规则根据源地址、目的地址、端口号等来描述。 l按照访问控制列表的用途，可以分为三类：基本的访问控制列表（basic acl）高级的访问控制列表（advanced acl）基于接口的访问控制列表（interface-based acl） l访问控制列表的使用用途是依靠数字的范围来指定的20002999：基本的访问控制列表30003999：高级的访问控制列表10001999：基于接口的访问控制列表访问控制列表访问控制列表HUAWEI TECHNOLOGIES CO., LTD.All rights reserved过滤的工具l有两种匹配顺序：配置顺序 配置顺序，是指按照用户配置ACL的规则的先后进行匹配自动排序 自动排序使用“深度优先”的原则 “深度优先”规则是把指定范围最小的语句排在最前面访问控制列表访问控制列表( (续续) )HUAWEI TECHNOLOGIES CO., LTD.All rights reserved过滤的工具l前缀列表用来过滤IP前缀，能同时匹配前缀号和前缀长度 l前缀列表的性能比访问控制列表高l前缀列表不能用于数据包的过滤l例：ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28前缀号必须为10.024=前缀长度=28满足条件的如10.0.1.0/24, 10.0.2.0/25, 10.0.2.192/26前缀列表前缀列表HUAWEI TECHNOLOGIES CO., LTD.All rights reserved过滤的工具lASPATH列表用来过滤BGP的AS-PATH属性lASPATH属性使用正则表达式来定义举例 匹配所有AS-PATH属性 ip as-path-filter 10 permit .* 匹配从AS100发起的路由ip as-path-filter 10 permit _100$ 匹配从AS200接收的路由ip as-path-filter 10 permit 200_ASPATH ASPATH 列表和正则表达式列表和正则表达式HUAWEI TECHNOLOGIES CO., LTD.All rights reserved过滤的工具ASPATH ASPATH 列表和正则表达式列表和正则表达式字符符号特殊意义义 句号.匹配任意单字符星号* 匹配模式中0或更多序列加号+匹配模式中1或更多序列问号?匹配模式0或一次出现加字符 匹配输入字符串的开始美元符$ 匹配输入字符串的结束下划线_匹配逗号，括号，字符串的开始和结束，空格方括号范围表示一个单字符模式的范围连字符-把一个范围的结束点分开HUAWEI TECHNOLOGIES CO., LTD.All rights reserved过滤的工具l团体列表用来根据团体属性表示和过滤BGP路由l团体列表有基本的和高级的两种基本团体列表用来匹配实际的团体属性值和常量 ip community-filter 1 permit 100:1 100:2 ip community-filter 1 permit 100:1 ip community-filter 1 permit no-export高级团体列表可以使用正则表达式 ip community-filter 100 permit 10 团体列表团体列表HUAWEI TECHNOLOGIES CO., LTD.All rights reserved过滤的工具l一个routing policy下可以有多个节点，不同的节点号用seq-number 标识，不同seq-number各个部分之间的关系是“或”的关系l每个节点下可以有多个if-match和apply子句，if-match子句之间是“ 与”的关系l允许模式：当路由项满足该节点的所有if-match子句时被允许通过 该节点的过滤并执行该节点的apply子句，如路由项不满足该节点的 if-match子句，该路由策略的下一个节点将被测试l拒绝模式：当路由项满足该节点的所有if-match子句时被拒绝通过 该节点的过滤，并且不会进行下一个节点的测试lIf-match子句可以引用其它的过滤器Route-policyRoute-policyHUAWEI TECHNOLOGIES CO., LTD.All rights reserved过滤的工具Route-policy(Route-policy(续续) )RoutingpolicyRP1seq1seq2seq3match att1match att2match att3match att4match att5match att6根据seq1的apply子句进行属性设置通过seq1的所有 If-match子句YN通过seq2的所有 If-match子句根据seq2的apply子句进行属性设置通过该Routing policyY通过该Routing policy通过seq3的所有 If-match子句根据seq3的apply子句进行属性设置通过该Routing policyY通不过该Routing policyNNHUAWEI TECHNOLOGIES CO., LTD.All rights reserved第1章 过滤工具第第2 2章章 路由策略路由策略第3章 策略路由HUAWEI TECHNOLOGIES CO., LTD.All rights reserved第第2 2章章 路由策略路由策略2.1 路由引入2.2 路由过滤2.3 下发缺省路由2.4 使用路由协议优先级HUAWEI TECHNOLOGIES CO., LTD.All rights reserved路由引入l在一个路由协议中通告其它途径学习到的路由l“其它途径”包括直连网络静态路由其它路由协议什么是路由引入？什么是路由引入？HUAWEI TECHNOLOGIES CO., LTD.All rights reserved路由引入引入直连网络路由引入直连网络路由OSPFLoopback0:2.2.2.2/32DirectDirectDirectProtocol11.0.0.010.0.0.02.2.2.2Dest.DirectOSPFOSPFProtocol11.0.0.010.0.0.02.2.2.2Dest.11.0.0.010.0.0.0Import directRTARTBHUAWEI TECHNOLOGIES CO., LTD.All rights reserved路由引入引入静态路由引入静态路由OSPFLoopback0:2.2.2.2/32DirectDirectStaticProtocol11.0.0.010.0.0.02.2.2.2Dest.DirectOSPFProtocol11.0.0.02.2.2.2Dest.11.0.0.0Import staticRTARTB10.0.0.0HUAWEI TECHNOLOGIES CO., LTD.All rights reserved路由引入引入其它路由协议路由引入其它路由协议路由OSPFLoopback0:2.2.2.2/32DirectDirectRIPProtocol11.0.0.010.0.0.02.0.0.0Dest.OSPF10.0.0.0DirectOSPFProtocol11.0.0.02.0.0.0Dest.11.0.0.0Import ripRIP10.0.0.0RTARTBHUAWEI TECHNOLOGIES CO., LTD.All rights reserved路由引入l部署不同路由协议的机构合并l不同的网络使用不同的协议，并且这些网络需要共享路由信息简单的网络可以使用RIP网络类型复杂的可以选用OSPF大型骨干网络一般选用ISISl网络协议的限制比如，使用拨号链路连接两个ISIS网络，而在拨号链路上是不适 合运行ISIS协议的需要配置静态路由，然后把静态路由引入到ISIS为什么要配置路由引入？为什么要配置路由引入？HUAWEI TECHNOLOGIES CO., LTD.All rights reserved路由引入l次优路由路由引入要注意什么？路由引入要注意什么？Loopback0:Dest.1. Dest. RIP 1001. Dest. RIP 1002. Import rip3. Dest. ISIS 154. Dest. ISIS 15RTARTCRTBRTDHUAWEI TECHNOLOGIES CO., LTD.All rights reserved路由引入l路由环路路由引入要注意什么？路由引入要注意什么？( (续续) )Loopback0:Dest.1. Import direct cost 22. Dest. ASE 1503. Dest. ASE 1503. Dest. ASE 1504. Import ospf-ase5. Dest. ISIS 156. Dest. ISIS 157. Import isis8. Dest. ASE 150RTARTBRTCRTDRTEHUAWEI TECHNOLOGIES CO., LTD.All rights reserved路由引入l开销值的变化路由引入要注意什么？路由引入要注意什么？( (续续) )RTARTBRTC20Loopback0:Dest.Import isis 1 cost 2HUAWEI TECHNOLOGIES CO.