.:
路由过滤
作用
控制路由的传播与生成
节省设备和链路资源消耗,保护网络安全
方法
过滤路由协议报文
过滤路由协议报文中携带的路由信息
对LSDB计算出的路由信息进行过滤
过滤工具
静默接口:用于过滤协议报文
filter-policy:用于过滤计算出的路由信息
filter:用于过滤协议报文携带的路由信息
route-policy:用于过滤计算出的路由信息,用于修改路由属性
匹配工具
访问控制列表
地址前缀列表:能够匹配网络前缀和子网掩码,多用于匹配路由
常用命令
[h3c]ip prefix-list 'name' index 'rule-number' 'permit/deny' ……
[h3c-rip/ospf-1]filter-policy 'acl-number/prefix-name' 'import/export'
1
2
路由策略
定义
为了改变网络流量所经过的途径而修改路由信息的技术
功能
路由过滤
更改路由属性
匹配流程
1.路由信息到达,检查是否配置了路由策略:是则进入匹配,否则直接放行
2.检查路由策略第一个节点:
匹配则检查节点动作:
permit则进一步检查apply子句:
有apply子句则执行路由属性修改并放行
无apply子句则不修改属性放行
deny则不能通过
否则检查下一个节点
3.最后一个仍不匹配则不能通过
匹配机制
节点和节点之间是“或”关系,所有节点中只需要匹配一个
一个节点中的多个if-match条件是“与”关系,所有条件需要同满足
常用匹配条件
ACL
prefix-list
interface
tag
常用apply修改属性
ip-address-next-hop
preference
tag
cost
BGP相关属性
注意事项
route-policy用于路由过滤,则不用配置空节点
route-policy用于路由属性修改,则需要配置空节点
route-policy能够配置的位置:
IGP路由引入时
BGP路由宣告时
BGP路由引入
BGP邻接关系上
常用命令
[h3c]route-policy 'name' 'permit/deny' node 'node-number' //创建路由策略节点
[h3c-route-policy]if-match …… //配置匹配条件
[h3c-route-policy]apply…… //配置执行动作
[h3c]display route-policy //查看路由策略
1
2
3
4
路由引入
定义
把路由从一种协议导入到另一种协议
把路由在同种协议的不同进程间引入
注意:路由引入一定是配置在同时运行了引入协议和被引入协议的设备上
多协议网络规划
只在必要时使用多路由协议
路由协议规划:边缘引入到核心,IGP引入到BGP
路由引入点规划:单边界引入,多边界引入
引入方向:单向引入,双向引入
路由引入的问题
不同协议的度量值不同,引入时,无法保持原有cost
路由引入后,默认cost会变为1
多边界双向引入问题:形成路由环路
解决办法:
1.引入时使用路由策略打tag
2.引出时匹配tag做过滤
常用命令
[协议视图]import-route 'protocol' route-policy 'policy-name' //引入路由
[协议视图]default cost 'cost'
.:
常用命令
[协议视图]import-route 'protocol' route-policy 'policy-name' //引入路由
[协议视图]default cost 'cost' //配置引入的默认cost
1
2
PBR
定义
策略路由,依据用户指定的策略进行路由选择的机制
常见策略依据
源地址、报文长度…
PBR匹配流程
检查是否配置了PBR:是则检查第一个节点,否则按普通路由转发
检查第一个节点:
匹配则检查动作:permit则执行apply子句,deny则按普通路由转发
否则检查下一个节点
最后一个节点仍不匹配,则按普通路由转发
注意事项
apply子句只能对PPP接口配置出接口
apply子句在以太网出接口上只能配置下一跳
常用命令
.:
[h3c]policy-based-route 'name' 'permit/deny' node 'node-number' //创建PBR节点
[h3c-pbr-aaa]if-match…… //配置匹配条件
[h3c-pbr-aaa]apply…… //配置执行动作
[h3c-GigabitEthernet0/0]ip policy-based-route 'name' //接口上使能PBR