第六章路由策略
6.1路由策略简介
6.1.1路由策略与策略路由
路由策略(Routing Policy)是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。
策略路由(Policy Routing)是一种依据用户制定的策略进行路由选择的机制。有关策略路由的详细介绍请参见“策略路由”章节。
路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤,例如只接收或发布满足一定条件的路由信息。一种路由协议可能需要引入其它的路由协议发现的路由信息,路由器在引入其它路由协议的路由信息时,可能只需要引入一部分满足条件的路由信息,并控制所引入的路由信息的某些属性,以使其满足本协议的要求。
为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则。可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。匹配规则可以预先设置好,然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。
6.1.2过滤器
路由协议可以引用访问控制列表、地址前缀列表、AS 路径访问列表、团体属性列表、扩展团体属性列表和Route-policy 几种过滤器。下面对各种过滤器逐一进行介绍。
1. 访问控制列表
访问控制列表包括针对IPv4 报文的ACL 和针对IPv6 报文的ACL。用户在定义ACL 时可以指定IP(v6)地址和子网范围,用于匹配路由信息的目的网段地址或下一跳地址。ACL 的有关配置请参见“安全分册”中的“ACL 配置”。
2. 地址前缀列表
地址前缀列表包括IPv4 地址前缀列表和IPv6 地址前缀列表。
地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于用户理解。使用地址前缀列表过滤路由信息时,其匹配对象为路由信息的目的地址信息域;另外,用户可以指定gateway 选项,指明只接收某些路由器发布的路由信息。关于gateway选项的设置请参见“IP 路由分册”中的“RIP 命令”和“OSPF 命令”。
一个地址前缀列表由前缀列表名标识。每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号来标识,索引号指明了在地址前缀列表中进行匹配检查的顺序。
每个表项之间是“或”的关系,在匹配的过程中,路由器按升序依次检查由索引号标识的各个表项,只要有某一表项满足条件,就意味着通过该地址前缀列表的过滤(不再进入下一个表项的测试)。
3. AS 路径访问列表(as-path)
as-path 仅用于BGP。BGP 的路由信息中,包含有自治系统路径域。as-path 就是针对自治系统路径域指定匹配条件。
4. 团体属性列表(community-list)
community-list 仅用于BGP。BGP 的路由信息包中,包含一个community 属性域,用来标识一个团体。community-list 就是针对团体属性域指定匹配条件。
5. 扩展团体属性列表(extcommunity-list)
extcommunity-list 仅用于BGP。BGP 扩展团体属性有两种,一种是用于VPN 的Route-Target(路由目标)扩展团体,另一种则是Source of Origin(源节点)扩展团体。扩展团体属性列表就是针对这两种属性指定匹配条件。
6. 路由策略(Route-policy)
路由策略是一种比较复杂的过滤器,它不仅可以匹配路由信息的某些属性,还可以在条件满足时改变路由信息的属性。路由策略可以使用前面几种过滤器定义自己的匹配规则。
一个路由策略可以由多个节点(node)构成,每个节点是匹配检查的一个单元,在匹配过程中,系统按节点序号升序依次检查各个节点。
每个节点可以由一组if-match 和apply 子句组成。if-match 子句定义匹配规则,匹配对象是路由信息的一些属性。同一节点中的不同if-match 子句是“与”的关系,只有满足节点内所有if-match 子句指定的匹配条件,才能通过该节点的匹配测试。apply 子句指定动作,也就是在通过节点的匹配后,对路由信息的一些属性进行设置。
一个路由策略的不同节点间是“或”的关系,如果通过了其中一节点,就意味着通过该路由策略,不再对其他节点进行匹配测试。
6.1.3路由策略的应用
路由策略主要有两种应用方式:
●路由协议在引入其它路由协议发现的路由时,通过路由策略只引入满足条件的路由
信息。
●路由协议在发布或接收路由信息时,通过路由策略对路由信息进行过滤,只接收或
发布满足给定条件的路由信息。
6.2 配置过滤列表
6.2.1配置准备
在配置过滤列表之前,需要准备以下数据:
●前缀列表名称
●匹配的地址范围
●扩展团体属性列表序号
6.2.2配置地址前缀列表
IPv4 地址前缀列表由列表名标识,每个前缀列表可以包含多个表项。各表项以网络前缀的形式,独立指定一个匹配范围,并使用索引号标识。
在匹配过程中,系统按索引号升序依次检查各个表项,只要路由信息满足一个表项,就认为通过该过滤列表,不再去匹配其他表项。
6.2.3配置AS 路径过滤列表
一个AS 过滤列表可以包含多个表项。在匹配过程中,各表项之间是“或”的关系,即只要路由信息通过该列表中的一条表项,就认为通过该AS 路径过滤列表。
6.2.4配置团体属性列表
一个团体属性列表可以定义多个表项。在匹配过程中,各表项之间是“或”的关系,即只要路由信息通过该列表中的一条表项,就认为通过该团体属性列表。
6.2.5 配置扩展团体属性列表
一个扩展团体属性列表可以定义多个表项。在匹配过程中,各表项之间是“或”的关系,即只要路由信息通过该列表中的一条表项,就认为通过该扩展团体属性列表。
6.3配置路由策略
路由策略用来根据路由信息的某些属性过滤路由信息,并改变与路由策略规则匹配的路由信息的属性。匹配条件可以使用前面几种过滤列表。
一个路由策略可由多个节点构成,每个节点又分为:
●if-match 子句:定义匹配规则,即路由信息通过当前Route-policy 所需满足的条件,
匹配对象是路由信息的某些属性。
●apply 子句:指定动作,也就是在满足由if-match 子句指定的过滤条件后所执行的
一些配置命令,对路由的某些属性进行修改。
6.3.1配置准备
在配置路由策略之前,需完成以下任务:
●配置过滤列表
●配置路由协议
在配置之前,需要准备以下数据:
●路由策略的名称、节点序号
●匹配条件
要修改的路由属性值
6.3.2创建一个路由策略
permit 指定节点的匹配模式为允许模式。当路由信息通过该节点的过滤后,将执行该节点的apply 子句,不进入下一个节点的测试;如果路由信息没有通过该节点过滤,将进入下一个节点继续测试。
deny 指定节点的匹配模式为拒绝模式(此模式下apply 子句不会被执行)。当路由项满足该节点的所有if-match 子句时,将被拒绝通过该节点,不进入下一个节点的测试;如果路由项不满足该节点的if-match 子句,将进入下一个节点继续测试。
如果路由策略中定义了一个以上的节点,则各节点中至少应该有一个节点的匹配模式是permit。当路由策略用于路由信息过滤时,如果某路由信息没有通过任一节点,则认为该路由信息没有通过该路由策略。如果路由策略的所有节点都是deny 模式,则没有路由信息能通过该路由策略。
H3C SR8800-X 核心路由器 策略路由配置指导
目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 4.7 组网需求 (4) 4.8 配置思路 (5) 4.9 使用版本 (5) 4.10 配置步骤 (5) 4.11 验证配置 (6) 4.12 配置文件 (6) 5 相关资料 (7)
1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 ?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用,指导其转发,对本地产生的报文不起作用; ?配置重定向到下一跳时,不能将IPv4 规则重定向到IPv6 地址,反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如图1 所示,缺省情况下,Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由,对于访问Server 的报文实现如下要求: (1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文,将该报文的下一 跳重定向到10.5.1.2; (2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文,将该报文的下一跳重定向到 10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图
第一章路由器常用维护手册 1.路由器简单配置 1.1用串行电缆将PC机串口与路由器CONSOLE口连接,用WIN95的超级终端或NETTERM软件进行配置。PC机串口设置为波特率9600 数据位8 停止位1。 1.2新出厂的路由器启动后会进入自动配置状态。可按提示对相应端口进行配置。 1.3命令行状态。若不采用自动配置,可在自动配置完成后,问题是否采用以上配置时,回答N。此时进入命令行状态。 1.4进入CONFIG模式。在router>键入enable , 进入router # ,再键入config t ,进入router(config)# 。 1.5配置广域端口。在正确连接好与E1端口的电缆线后,在router # 下键入sh controller cbus 。检验端口物理特性,及连线是否正确。之后,进入config 模式。 进行入下配置。 int serial <端口号> E1端口号。 ip address
<1-99> 恢复一个会话 bfe 手工应急模式设置 clear 复位功能 clock 管理系统时钟 configure 进入设置模式 connect 打开一个终端 copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上debug 调试功能 disable 退出优先命令状态 disconnect 断开一个网络连接 enable 进入优先命令状态 erase 擦除快闪内存 exit 退出exce模式 help 交互帮助系统的描述 lat 打开一个本地传输连接 lock 锁定终端 login 以一个用户名登录 logout 退出终端 mbranch 向树形下端分支跟踪多路由广播 mrbranch 向树形上端分支跟踪反向多路由广播 name-connection 给一个存在的网络连接命名 no 关闭调试功能 pad 打开X.29 PAD连接 ping 发送回显信息 ppp 开始点到点的连接协议 reload 停机并执行冷启动 resume 恢复一个活动的网络连接 rlogin 打开远程注册连接 rsh 执行一个远端命令 send 发送信息到另外的终端行 setup 运行setup命令 show 显示正在运行系统信息 slip 开始SLIP协议 start-chat 在命令行上执行对话描述
cisco路由器配置及维护手册 作者:pixfire 一、路由器简单配置 1. 用串行电缆将PC机串口与路由器CONSOLE口连接,用WIN95的超级终端或NETTERM 软件进行配置。PC机串口设置为波特率9600 数据位8 停止位1。 2. 新出厂的路由器启动后会进入自动配置状态。可按提示对相应端口进行配置。 3 . 命令行状态。若不采用自动配置,可在自动配置完成后,题问是否采用以上配置时,回答N。此时进入命令行状态。 4 进入CONFIG模式。在router>键入enable , 进入router # ,再键入config t ,进入 router(config)# 。 5 配置广域端口。在正确连接好与E1端口的电缆线后,在router # 下键入sh controller cbus 。检验端口物理特性,及连线是否正确。之后,进入config模式。 进行以下配置。 int serial <端口号> E1端口号。 ip address
clock 管理系统时钟 configure 进入设置模式 connect 打开一个终端 copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上 debug 调试功能 disable 退出优先命令状态 disconnect 断开一个网络连接 enable 进入优先命令状态 erase 擦除快闪内存 exit 退出exce模式 help 交互帮助系统的描述 lat 打开一个本地传输连接 lock 锁定终端 login 以一个用户名登录 logout
实验二、路由器的日常维护与管理 1、实验目的 通过本实验可以: 1)掌握路由接口IP地址的配置及接口的激活 2)掌握telnet的使用及配置 3)熟悉CDP的使用及配置 4)了解基本的debug调试命令 5)理解并实现设备之间的桥接 6)绘制基本的网络拓扑图 7)掌握数据通信的可达性测试 8)掌握路由器的密码恢复步骤 9)熟悉TFTP服务器的使用 10)掌握路由器配置文件的备份与恢复 11)掌握路由器IOS文件的备份、升级和恢复 2、拓扑结构 路由器的日常维护与管理拓扑 3、实验需求 1)设置主机名,并关闭域名解析、关闭同步、关闭控制台超时 2)使用相关命令查看当前配置信息,并保存当前的配置文件 3)桥接PC到机架路由器,配置路由器接口的IP地址,开启接口并测试路由器与 本机的连通性,开启debug观察现象 4)使用TFTP传送文件,分别实现拷贝路由器的配置文件到TFTP服务器和从TFTP
服务器导入配置文件到路由器 a)将当前配置文件保存到本机,并在本机打开并修改所保存的配置文件 b)将当前配置文件保存到同学电脑 c)将保存在本机的配置文件导入所使用的设备 d)将同学保存的配置文件导入所使用的设备 e)注意观察导入配置文件时设备提示信息的变化 5)使用TFTP备份路由器的IOS文件 6)IOS文件的升级和灾难恢复 7)路由器的密码恢复 8)使用CDP发现邻居设备,实现telnet远程登入到邻居设备 9)用主机名绑定IP,实现telnet主机名与telnet IP一致的效果 10)实现GNS3模拟器与本机之间的桥接,并将模拟器的配置文件保存到本机4、参考配置 1.配置基本命令 设置主机名、关闭域名解析、同步、控制台超时 Router>enable Router#config terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname r14//命名主机 r14(config)#no ip domain-lookup//关闭域名解析 r14(config)#line console 0 r14(config-line)#logging synchronous //关闭日志同步 r14(config-line)#exec-timeout 0 0//关闭控制台超时 r14(config-line)#end r14# 2.查看当前配置信息,并保存当前的配置文件 r14#show running-config //查看当前运行的配置文件 Building configuration... Current configuration : 420 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname r14 ! ! ip subnet-zero ! ! no ip domain-lookup !
一、基于distribute的路由过滤1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.进入路由重发布(conf)#router rip (conf-router)#distribute-list 1 out ospf 1 在rip协议下,配置distribute 列表,引用acl 1,过滤从ospf 1重发布到rip的网络路由。也就是说,通过该路由器进行ospf的重发布到rip网络中,过滤acl 1的数据。在该例中的意思就是ospf中如果有数据属于192.168.1.0/24,那么在rip 网络中无法学习到这些路由。由于重发布的命令是redistribute,所以这里可以理解为发布到rip网络中。=============================================================================== ============================================ 二、基于route-map的路由过滤 1.定义acl (conf)#access-list 1 deny 192.168.1.0 0.0.0.255 (conf)#access-list 1 permit any 2.定义route-map (conf)# route-map ospf-rip permit 10 其中ospf-rip为route-map的名称,10为序列号,下述条件如果成立的话动作为permit。注意:route-map和acl相同的是,在尾部都有隐藏的默认拒绝所有的条件。 3.匹配条件(config-route-map)#match ip address 1 查询acl 1是否满足 4.进入路由重发布(conf)#router rip (conf-router)#redistribute ospf 1 metric 4 route-map ospf-rip 在路由重发布的时候,对route-map的ospf-rip条目进行匹配过滤。在该例中就是禁止192.168.1.0/24的网络通过路由重发布到rip网络中,也就阻止了rip网络中的路由器学习到该路由。 =============================================================================== ============================================ 三、策略路由 1.定义acl (conf)#access-list 1 permit host 192.168.1.1 2.定义route-map (conf)# route-map pdb permit 10 其中pdb为route-map的名称,10为序列号
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤
随着信息产业的飞速发展,计算机网络技术得到广泛应用,计算机网络已成为现代工作生活中必不可少的一部分。路由器作为计算机网的核心设备,相应地在网络上存在广泛的应用。高端路由器现已由企业级设备成为公众网上重要的电信级设备。随着互联网络的逐步普及以及它在生活中重要性的增加,路由器的性能、功能、安全性、可靠性等指标变得越来越重要。所以对路由器的测试有其重要性与必要性。路由器测试规范主要有下面通信行业标准来规范:YD/T1156-2001《路由器测试规范-高端路由器》;YD/T1098-2001《路由器测试规范-低端路由器》。以上标准分别参照下面标准制定:YD/T1097-2001《路由器设备技术规范-高端路由器》;YD/T1096-2001《路由器设备技术规范-低端路由器》。 本文的测试介绍主要依据上述路由器测试规范。但是由于以上测试规范只作设备入网测试标准,是一种入门测试,所以我们重点介绍在上述规范基础上补充的一些其他测试内容。 一、测试的目的和内容 路由器是通过转发数据包来实现网络互连的设备,可以支持多种协议(例如TCP/IP,SPX/IPX,AppleTalk),可以在多个层次上转发数据包(例如数据链路层、网络层、应用层)。 路由器需要连接两个或多个逻辑端口,至少拥有一个物理端口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表决定输出端口以及下一条路由器地址或主机地址,并且重写链路层数据包头。路由表必须动态维护来反映当前的网络拓扑。路由器通常通过与其他路由器交换路由信息来完成动态维护路由表。 (一)路由器分类 当前路由器分类方法各异。各种分类方法有一定的关联,但是并不完全一致。通常可以按照路由器能力分类、结构分类、网络中位置分类、功能分类和性能分类等方法。在路由器标准制定中主要按照能力分类,按能力分为高端路由器和低端路由器。背板交换能力大于20Gbit/s,吞吐量大于20Mbit/s的路由器称为高端路由器。交换能力在上述数据以下的路由器成为低端路由器。与此对应,路由器测试规范分为高端路由器测试规范和低端路由器测试规范。 (二)测试目的及内容 通过测试路由器,可以了解到哪些路由器能提供最好的性能、路由器在不同负载下的行为、模型化网络使用路由器的设计参数、路由器能否处理突发流量、路由器的性能限制、路由器能否提供不同服务质量、路由器不同体系结构对功能和性能的影响、路由器的功能特性和性能指标、路由器的使用是否影响网络安全、路由器协议实现的一致性以及路由器可靠性和路由器产品的优势和劣势等内容。 低端路由器设备测试主要包括:常规测试,即电气安全性测试;环境测试,包括高低温、湿度测试和高低温存储测试;物理接口测试,测试低端路由器可能拥有接口的电气和物理测性;协议一致性测试,测试协议实现的一致性;性能测试,测试路由器的主要性能;管理测试,主要测试路由器对无大项网管功能的支持。 高端路由器测试主要包括:接口测试,高端路由器可能拥有的接口测试;ATM协议测试,
策略路由详解及其常见应用 根据网管制定的标准来进行数据包转发的一种机制,策略路由的策略由路由映射图Route Map来定义 Match: Route Map命令中用来定义匹配的条件,如IP地址,接口,度量值以及数据包长等,匹配语句在路由器的输入端口对数据包进行检测 Set: Route Map命令中用来定义对符合匹配条件的语句采取的行为,常见行为有 Set ip next hop 设定数据包下一跳地址 Set interface 设定数据包出接口 Set ip default next hop 设定默认下一跳地址,用于当路由表里没有到数据包目的地址路由条目时 Set default interface 设定默认出接口 Set ip tos 设定IP数据包的IP Tos值 Set ip precedence 设定IP数据包的优先级 注意: 一个Route Map可以包含多个Route Map陈述,这些语句的执行顺序像ACL一样,从上到下执行;一个Route Map最后默认deny any. 分布控制列表 通过使用分布控制列表控制路由器R1只发送环回接口中第3位为奇数的路由和g0/0接口的路由更新给R2,整个网络运行RIPv2路由协议. R1(config)#access-list 1 permit 172.16.1.0 R1(config)#access-list 1 permit 1.1.1.0 0.0.254.0 允许第三位为奇数的路由
R1(config)#route rip R1(config-router)#version 2 配置RIP版本为2 R1(config-router)#no auto-summary 关闭auto-summary R1(config-router)#network 1.0.0.0 R1(config-router)#network 172.16.0.0 R1(config-router)#network 192.168.12.0 R1(config-router)#passive-interface default 默认为被动接口 R1(config-router)#no passive-interface Serial0/0/0 关闭被动接口 R1(config-router)#distribute-list 1 out Serial0/0/0 出方向配置分布控制列表 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 2.0.0.0 R2(config-router)#network 192.168.12.0 Distribute-list命令可以全局地在一个出或入方向的路由更新中过滤路由,也可以为一个路由进程所涉及的每一个接口的入方向或出方向设置路由过滤. 基于IP地址的策略路由 在路由器的R1的g0/0接口应用IP策略路由CCNA,使得从主机A来的数据设置下一跳地址为192.168.12.2;从主机B来的数据设置下一跳为192.168.21.2,所有其它的数据包正常转发,整个网络运行EIGRP路由协议. R1(config)#access-list 1 permit 10.1.1.2 R1(config)#access-list 2 permit 10.1.1.3 R1(config)#route-map CCNA permit 10 R1(config-route-map)#match ip address 1 R1(config-route-map)#set ip next-hop 192.168.12.2 R1(config)#route-map CCNA permit 20 R1(config-route-map)#match ip address 2 R1(config-route-map)#set ip next-hop 192.168.21.2 R1(config)#interface g0/0 R1(config-if)#ip policy route-map CCNA R1(config)#router eigrp 1 R1(config-router)#no auto-summary R1(config-router)#network 10.1.1.0 255.255.255.0 R1(config-router)#network 192.168.12.0 R1(config-router)#network 192.168.21.0 基于报文大小的策略路由
38策略路由配置 38.1理解策略路由 38.1.1策略路由概述 策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据IP/IPv6报文源地址、目的地址、端口、报文长度等内容灵 活地进行路由选择。 现有用户网络,常常会出现使用到多个ISP(Internet Server Provider,Internet服务提供商)资源的情形,不同ISP申请到的带宽不一;同时,同一用户环境中需要对重点用户资源保证等目的,对这部分用户不能够再依据普通路由表进行转发,需要有选择的进行数据报文的转发控制,因此,策略路由技术即能够保证ISP资源的充分利用,又能够很好的满足这种灵活、多样的应用。 IP/IPv6策略路由只会对接口接收的报文进行策略路由,而对于从该接口转发出去的报文不受策略路由的控制;一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何 策略的数据包将按照普通的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中 定义的操作进行转发。 一般情况下,策略路由的优先级高于普通路由,能够对IP/IPv6报文依据定义的策略转发;即数据报文先按照IP/IPv6策略路由进行转发,如果没有匹配任意一个的策略路由条件,那么再按照普 通路由进行转发。用户也可以配置策略路由的优先级比普通路由低,接口上收到的IP/IPv6报文 则先进行普通路由的转发,如果无法匹配普通路由,再进行策略路由转发。 用户可以根据实际情况配置设备转发模式,如选择负载均衡或者冗余备份模式,前者设置的多个下一跳会进行负载均衡,还可以设定负载分担的比重;后者是应用多个下一跳处于冗余模式,即前面优先生效,只有前面的下一跳无效时,后面次优的下一跳才会生效。用户可以同时配置多个下 一跳信息。 策略路由可以分为两种类型: 一、对接口收到的IP报文进行策略路由。该类型的策略路由只会对从接口接收的报文进行策略 路由,而对于从该接口转发出去的报文不受策略路由的控制; 二、对本设备发出的IP报文进行策略路由。该类型策略路由用于控制本机发往其它设备的IP报 文,对于外部设备发送给本机的IP报文则不受该策略路由控制。 38.1.2策略路由基本概念/特性 38.1.2.1策略路由应用过程 应用策略路由,必须先创建路由图,然后在接口上应用该路由图。一个路由图由很多条策略组成,每条策略都有对应的序号(Sequence),序号越小,该条策略的优先级越高。
在网络设备维护上,现在很多维护的资料上都讲到“路由策略”与“策略路由”这两个名词,但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻,无法准确把握这两者之间的联系与区别。本文简单分析一下这两者之间的概念,并介绍一些事例,希望大家能从事例中得到更深的理解。 一、路由策略 路由策略,是路由发布和接收的策略。其实,选择路由协议本身也是一种路由策略,因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的。通常我们所说的路由策略指的是,在正常的路由协议之上,我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,注意,改变的是结果(即路由表),规则并没有改变,而是应用这些规则。 下面给出一些事例来说明。 改变参数的例子:例如,A路由器和B路由器之间是双链路(分别为AB1和AB2)且带宽相同,运行是OSPF路由协议,但是两条链路的稳定性不一样,公司想设置AB1为主用电路,当主用电路(AB1)出现故障的时候才采用备用电路(AB2),如果采取默认设置,则两条电路为负载均衡,这时就可以采取分别设置AB1和AB2电路的COST(开销)值,将AB1电路的COST值改小或将AB2电路的COST值设大,OSPF会产生两条开销不一样的路由,COST(开销)越小路由代价越低,所以优先级越高,路由器会优先采用AB1的电路。还可以不改COST值,而将两条电路的带宽(BandWidth)设置为不一致,将AB1的带宽设置的比AB2的大,根据OSPF路由产生和发现规则,AB1的开销(COST)会比AB2低,路由器同样会优先采用AB1的电路。 改变控制方式的例子,基本就是使用路由过滤策略,通过路由策略对符合一点规则的路由进行一些操作,例如最普通操作的是拒绝(deny)和允许(Permit),其次是在允许的基础上调整这些路由的一些参数,例如COST值等等,通常使用的策略有ACL(Acess Control List访问控制列表)、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP协议配合使用中,属于路由接收和通告原则。 例如,上图中AS1不向AS2发布19.1.1.1/32这个网段,可以设置ACL列表,在RTB上设置(以华为的路由器为例): [RTB]acl number 1 match-order auto [RTB-acl-basic-1]rule deny source 19.1.1.1 0 [RTB-acl-basic-1]rule permit source any [RTB]bgp 1 [RTB-bgp]peer 2.2.2.2 as-number 2 [RTB-bgp] import-route ospf [RTB-bgp] peer 2.2.2.2 filter-policy 1 export 如果B向C发布了这条路由,但是C不想接收这条路由,则C可以设置: [RTC]acl number 1 match-order auto
路由器防火墙的设置方法 对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。 经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。 在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。 1.修改默认的口令! 据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。https://www.doczj.com/doc/1d7703442.html,网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。 2.关闭IP直接广播(IP Directed Broadcast) 你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。 参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。 3.如果可能,关闭路由器的HTTP设置 正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。 虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。 4.封锁ICMP ping请求 ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。 请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。 5.关闭IP源路由 IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
A B B路由器和A路由器之间运行OSPF协议,B路由器通过OSPF发布三条静态路由到A路由器,静态路由的目的网段为5.5.5.5,6.6.6.6,7.7.7.7,类型为第一类外部路由,A路由器学到的5.5.5.5.的cost值比6.6.6.6和7.7.7.7的cost值小。配置如下: B路由器 router id 2.2.2.2 # interface Ethernet4/2/0 ip address 11.11.11.12 255.255.255.0 # acl number 1 rule 0 permit source 5.5.5.5 0 # acl number 2 rule 0 deny source 5.5.5.5 0 rule 1 permit # ospf import-route static cost 100 type 1 route-policy cost # area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 11.11.11.0 0.0.0.255 # route-policy cost permit node 10 if-match acl 1 apply cost 10 route-policy cost permit node 20 if-match acl 2 # ip route-static 5.5.5.5 255.255.255.255 NULL 0 preference 60 ip route-static 6.6.6.6 255.255.255.255 NULL 0 preference 60 ip route-static 7.7.7.7 255.255.255.255 NULL 0 preference 60 #
中国电信CN2网络 Juniper设备常用维护命令手册 V1.0(Release) Maintained By Kevin Yang Corporate Headquarters Juniper Networks ,Inc. 1194 North Mathilda Avenue Sunnyvale, California 94089-1206 USA Phone: 888-JUNIPER (888-586-4737) 1-408-745-2000 Fax: 1-408-745-2100
目录 前言 5设备端口 5 文档目的 5 使用人员 5 内容范围 5 假设与告诫 相关文献 6 运行状态维护命令 7 show chassis alarms 7 show chassis environment 7 show chassis environment pem 9 show chassis environment sib 10 show chassis environment fpc 11 show chassis sibs 12 show chassis fabric topology 13 show version 16 show chassis hardware detail 16 show chassis fpc 19 show chassis fpc detail 20 show chassis fpc pic ‐status 22 show chassis pic fpc ‐slot
路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
路由策略解析 【导读】大中型企业的内部网络比较复杂,往往由多个路由交换设备组成,网络构成也是分层次的,采用接入层,汇聚层,核心层三部分递进而成。 大中型企业的内部网络比较复杂,往往由多个路由交换设备组成,网络构成也是分层次的,采用接入层,汇聚层,核心层三部分递进而成。在这些复杂网络中各种应用也是非常繁多的。有时我们需要对路由进行策略,这时就需要用到网络高级交警——路由策略了,今天笔者将就路由策略的基本信息进行介绍,帮助各位IT168的读者掌握网络高级交警的应用。 什么是路由策略:(如图1) 图1 众所周知网络中的路由器主要起到为网络数据包提供路由的功能,说白了就是告诉一个数据包如何走才能到达目的地,类似于我们现实生活中的交通信号灯。通过红绿黄三色灯来控制车辆的通行就类似于路由器控制数据包的通行。比如我们企业内网中的一台计算机要和外部网络中的机器进行数据通讯,那么首先企业计算机会把数据发送到企业内部的路由器上,路由器告诉该数据任何到达企业临界路由器(就是和外网相连的路由器),到达临界路由器后该设备会继续告诉数据如何走才能到达电信路由器,接下来会通过一个又一个的电信路由器,最终到达外网那台计算机上。所有路线如何行进都是由路由器中的路由表来支配的。 而本文介绍的路由策略却和路由有很大区别,他是对路由的控制,类似于我们现实生活中的交通警察,可以根据实际变动来控制车辆流动。例如一般情况下一条道路是东西走向的,平时我们可以根据信号灯的指示来行走。当有特殊需要时交通警察会到达路由指挥我们的行进,当道路临时封闭时他可以禁止我们继续向前行进而强行指引我们拐弯,这就是路由策略,
他可以根据我们网络数据包的一些详细信息对数据包的路由走向进行修改,从而实现控制路由的效果。 路由策略与访问控制列表的区别: 策略路由与简单的源地址路由不同,对于有多个出口的应用,如连接了公网的教育网,如果内部的服务器希望被外面访问,则需要使用策略路由技术。策略路由是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。 不过很多网管员在初次听到路由策略概念和学习路由策略知识时都会产生以下疑惑,认为他和访问控制列表区别不大。实际上这两者的区别还是比较明显的,在关键时候访问控制列表做不了的事情通过路由策略可以轻松解决。 访问控制列表是对数据包的控制,他仅仅能决定是否传输数据,例如一个数据包到达某接口是容许通过还是禁止通过而丢弃。他不能实现对数据走向的控制。说白了访问控制列表就是在网络流量车流到达某个地方时对车流类型进行检查,例如多少吨以上的或者来自某某城市的车不容许通过禁止通行,而其他车辆可以正常通过。而路由策略却可以根据车辆的类型进行控制,例如多少吨以上的或者来自某某城市的车从东边走,而其他车辆从西边走。这种对路由(行进方向)的控制就是路由策略的本质。 路由策略的特点: 本文主要为大家解析路由策略的概念,至于应用案例则需要等待下文揭晓。路由策略主要有以下几大特点。 路由策略具有一系列的语句:用match语句来声明。也就是说match后跟条件,例如前文比喻中的多少吨以上的汽车,这个多少吨就是match后的条件。(如图2) 图2 路由策略可以用set语句改变匹配的数据包或者路由:也就是说set后跟改变的路由。例如前文比喻中的多少吨以上或者来自某城市的车从东边走,这个往东走的内容就是set要明确的。(如图3) 图3 有着相同路由策略名称的语句被认为是同一个路由策略:也就是说不管你添加了多少路由策略控制语句,只要他的路由策略名称一样,那么这些条件会放到一起作用。