十四、路由引入与路由控制

  • 路由引入与路由控制
    • 路由引入
      • 什么情况下需要路由引入
        • 不同的路由协议需要互相学习到对方的路由信息
      • 优先级/AD
        • 比如某路由从OSPF—>RIP,某路由对应的AD值/优先级即是RIP的优先级(华为100,思科 120)
      • 种子度量值
        • 华为:RIP 0;OSPF 1 ;BGP:使用被引入的度量值作为引入BGP之后的MED值
        • 思科:RIP 无穷大(需要手工添加花销值);EIGRP:无穷大 (需要手工添加花销值);OSPF 默认 20 ,BGP—>OSPF 1;BGP:使用被引入的度量值作为引入BGP之后的MED值
      • 路由引入配置
        • 华为:import-route 路由协议 属性值
        • 思科:redistribute 路由协议 XXX
      • 路由引入可能会出现的问题及解决方法
        • 路由环路
          • 把重分发进来的路由打上tag,另一台设备做重分发时候过滤掉打tag的路由
        • 次优路径
          • 华为:一般是由于度量值引入不恰当引起的次优路径,解决:规划好度量值
            • 华为:修改优先级
              • RIP优先级修改
              • RIP 1
              • preference X
              • OSPF优先级修改
              • ospf 1
              • preference X//针对区域内/区域间的路由进行修改
              • preference ase X//针对外部路由信息进行修改
          • 思科:由于度量值引入不恰当引起的次优路径,解决:规划好度量值
            • 由于AD值,把AD值大的引入到AD值小的可能会引起次优路径,解决:(1)修改AD,(2)过滤路由
    • 路由控制(路由工具)
      • 如何控制网络流量的可达性?
        • 解决方案一:可通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性,这种方式称为路由策略。
        • 解决方案二:可直接通过依据用户制定的策略进行转发,且该策略优于路由表转发,这种方式称为策略路由。
      • ACL
        • 通配符/反掩码 :确定范围
        • 正掩码:判断网段,网络位
        • 匹配规则
          • 华为
            • 配置顺序:序列号从小到大,默认
            • 自动顺序:深度匹配,最长掩码匹配
          • 思科
            • 配置顺序:序列号从小到大,默认
        • 配置
          • 华为
            • ACL 2000-2999 标准
            • ACL 3000-3999 扩展/高级
          • 思科
            • 1-99,1300-1999 标准
            • 100-199,2000-2699 扩展
        • 可以匹配路由信息,也可以匹配数据报文
      • IP-prefix
        • 匹配前缀和掩码,比ACL匹配起来更加精确
        • 只匹配路由信息,不可以匹配数据报文
        • lP-Prefix List能够同时匹配IP地址前缀及掩码长度。
        • IP-Prefix List不能用于IP报文的过滤,只能用于路由信息的过滤。
        • 配置
          • ip ip-prefix per 192.168.1.0 24 greater-equal 24 less-equal 25
          • 192.168.1.0/24
          • 192.168.1.0/25
        • 思科配置注意:前缀长度len < greater <=less
      • route policy/route-map
        • Route-Policy由若干个node构成,node之间是“或”的关系。且每个node下可以有若干个if-mach和apply子句,if-match之间是“与”的关系
        • 华为:if-match和apply的一系列语句
        • 思科:match和set的一系列语句
      • 路由策略filter policy /distribute-list
        • 路由过滤工具
          • RIP 直接对路由进行过滤,filter-policy X export 出方向路由过滤
          • filter-policy X import 入方向路由过滤
          • OSPF:filter-policy X import 对路由表的路由进行过滤,不影响LSA
          • filter-policy X export 可以对5类/7类LSA进行过滤,谁产生谁过滤(ASBR过滤)
          • 华为:ospf 1
          • area 1
          • filter ACL import/export //过滤3类LSA(ABR过滤)
          • 思科OSPF :distribute-list X in 对路由表的路由进行过滤,不影响LSA
          • distribute-list X out 以对5类/7类LSA进行过滤,谁产生谁过滤 ASBR上配置
          • router ospf 1
          • filter area X ip-prefix in/out //过滤3类LSA(ABR过滤)
        • 对象是路由信息
      • PBR策略路由
        • 对象是数据报文
        • 策略路由优先路由表,如果匹配不上策略路由根据路由表转发
        • 分类
          • 本地策略路由
            • acl number 3000
            • rule 5 permit ip source 2.2.2.1 0 destination 5.5.5.5 0
            • acl number 3001
            • rule 5 permit ip source 2.2.2.2 0 destination 5.5.5.5 0
            • policy-based-route PBR1 permit node 10
            • if-match acl 3000
            • apply output-interface G0/0/1
            • policy-based-route PBR1 permit node 20
            • if-match acl 3001
            • apply output-interface G2/0/0
            • ip local policy-based-route PBR1
          • 接口策略路由
            • 华为:
              • acl number 3000
              • rule 5 permit ip source 1.1.1.1 0 destination 5.5.5.5 0
              • acl number 3001
              • rule 5 permit ip source 1.1.1.2 0 destination 5.5.5.5 0
              • traffic classifier huawei1
              • if-match acl 3000
              • traffic classifier huawei2
              • if-match acl 3001
              • traffic behavior huawei1
              • redirect ip-nexthop 23.1.1.3
              • traffic behavior huawei2
              • redirect ip-nexthop 24.1.1.4
              • traffic policy huawei
              • classifier huawei1 behavior huawei1
              • classifier huawei2 behavior huawei2
              • interface GigabitEthernet0/0/0 //入接口
              • traffic-policy huawei inbound
          • 思科:
            • access-list 101 permit ip
            • access-list 102 permit ip
            • route-map ××× permit 10
            • match ip address 101
            • set ip next-hop
            • route-map ××× permit 20
            • match ip address 102
            • set ip next-hop
            • 数据报文接口入方向
            • interface
            • ip policy route-map ×××
      • 通配符、反掩码、掩码区别
      • 路由策略与策略路由的区别
      • 路由策略配置步骤
        • 可利用Filter-Policy工具对RTA向OSPF引入的路由和RTC写入路由表的路由进行过滤:。
          • 首先使用ACL或IP-Prefix List工具来匹配目标流量;
          • 然后在协议视图下,利用Filter-Policy向目标流量发布策略。
        • 可利用Route-Policy工具,在RTA引入直连路由时对路由进行过滤:
          • 首先使用ACL或IP-Prefix List工具来匹配目标流量;
          • 然后在协议视图下,利用Route-Policy对引入的路由条目进行控制。
      • 流量过滤的配置方式
        • 基于自定义策略实现:使用Traffic-Filter工具对数据进行过滤。
      • 调整流量路径-单协议简单场景
      • 调整流量路径-多协议复杂场景
### 路由引入路由控制的概念 路由引入是指将一种路由协议中的路由条目引入到另一种路由协议中,从而实现不同协议之间的路由信息共享。这种操作通常用于简化网络管理并提高网络互连性[^2]。 路由控制则是指在网络环境中为了防止潜在的风险(如路由环路和次优路径),通过设置特定的策略来管理和过滤路由信息的过程。这可以通过应用访问列表、前缀列表或其他形式的路由映射来完成[^4]。 ### 实现方法及配置方式 #### 配置静态路由直连路由引入 当需要将直连路由引入到RIP协议时,在路由器上执行如下命令: ```plaintext Router-A_config_rip# redistribute connected metric 1 ``` 这条命令会将所有直连网段通告给运行RIP协议的邻居设备,并指定度量值为1。这种方式适用于小型企业级内部网络环境下的简单场景[^1]。 #### 使用BGP进行跨域路由引入 对于大型互联网服务提供商ISP或跨国公司而言,可能会涉及到多个自治系统AS之间交换路由信息的需求。此时可采用边界网关协议BGP来进行跨域路由引入: ```bash router bgp <your_as_number> network <network_address> mask <subnet_mask> neighbor <neighbor_ip> remote-as <remote_as_number> address-family ipv4 unicast redistribute ospf <process_id> exit-address-family ``` 上述配置实现了OSPF向BGP的单向引入;如果要双向同步,则还需在另一端做相应的反向配置[^3]。 #### 应用路由策略实施精细控制 为了避免不必要的风险,在实际部署过程中往往还需要结合具体的业务需求制定详细的路由策略。例如利用`route-map`定义匹配条件并对符合条件的数据包采取相应措施: ```bash ip prefix-list PLIST permit 192.0.2.0/24 le 27 ! route-map RMAP deny 10 match ip address prefix-list PLIST set community no-export additive ! route-map RMAP permit 20 ``` 此示例展示了如何创建一个名为PLIST的前缀列表以允许C类地址范围内的子网掩码长度不超过27位的前缀,并将其应用于RMAP路线图中拒绝某些特定流量的同时标记其团体属性为no-export。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值