一 介绍
路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性,在特定的场景中,路由策略的六种过滤器也能单独使用来实现路由过滤,若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件;
二 路由策略原理
如上图所示,一个路由策略中包含N(N>=1)个节点Node,路由进入路由路由策略后,按节点序号从小到大依次检查各个节点是否匹配,匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的六种过滤器;
当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点,匹配模式分为permit和deny两种:
- permit:路由将被允许通过,并在执行该节点的Apply子句对路由信息的一些属性进行设置;
- deny:路由将被拒绝通过;
当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点,如果和所有节点都匹配失败,路由信息将被拒绝通过;
三 过滤器
路由策略中If-match子句中匹配的六种过滤器包括访问控制列表Access Control List、地址前缀列表Prefix-List、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器、RD属性过滤器 这六种过滤器具有各自的匹配条件和permit和deny匹配模式,因此这六种过滤器在以下的特定情况中可以单独使用,实现路由过滤;
(1)访问控制列表 ACL
ACL是将报文中的入接口、源地址、目的地址、协议类型、源端口、目的端口作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用,在Route-Policy的If-match子句中支持基本ACL;
(2)地址前缀列表 Prefix List
地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可以在各路由协议发布和接收时单独使用;
每个地址前缀列表表可以包含多个索引(index),每个索引对应一个节点,路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点,若所有节点都匹配失败,路由信息将被过滤;
根据匹配的前缀不同,前缀列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配;
当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被permit或deny;
(3)AS路径过滤器
AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用;AS_Path属性记录了BGP路由所经过的所有AS编号;
(4)团体属性过滤器
团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用;BGP团体属性是用来标识一组具有共同性质的路由;
(5)扩展团体属性过滤器
扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用;
目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配,VPN Target属性在BGP/MPLS VPN网络中控制VPN路由信息在各Site之间的发布和接收;
(6)RD属性过滤器
RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用;VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀;
(7)BGP to IGP功能
BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS_Path等私有属性;
在IGP引入BGP时,可以应用路由策略,只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP私有属性作为匹配条件,如果设备不支持BGP to IGP功能,那么IGP就不能识别BGP路由的私有属性,将导致匹配条件失效;
1898
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
