《華為策略路由與路由策略原理培訓(xùn)材料》由會員分享,可在線閱讀,更多相關(guān)《華為策略路由與路由策略原理培訓(xùn)材料(25頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、單擊此處編輯母版標(biāo)題樣式,HUAWEI TECHNOLOGIES CO.,LTD.,Page,單擊此處編輯母版文本樣式,單擊此處編輯母版文本樣式,單擊此處編輯母版文本樣式,單擊此處編輯母版文本樣式,HUAWEI Confidential,謝謝,策略路由與路由策略原理,ISSUE 1.0,如何對報文轉(zhuǎn)發(fā)的路徑進行有效控制,?,如何對發(fā)布、接收、引入的路由信息進行有效控制,提高網(wǎng)絡(luò)安全性,?,學(xué)完本課程之后您將會找到滿意的答案。,前 言,Page,學(xué)習(xí)指南,本課程全套資料包括培訓(xùn)膠片、配套原理教材、多媒體課件、試題、演練案例和教師教學(xué)指導(dǎo)書,合理有效利用上述資料您將會取得良好的學(xué)習(xí)效果。,Page
2、,目標(biāo),學(xué)習(xí)完此課程,您將會:,掌握策略路由基本原理,掌握路由策略基本原理,Page,內(nèi)容介紹,第,1,章 策略路由原理,第,2,章 路由策略原理,Page,策略路由的引入,普通的報文轉(zhuǎn)發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的。,display,ip,routing-table,Routing Table:public net,Destination/Mask Protocol Pre Cost,Nexthop,Interface,0.0.0.0/0 RIP 100 1 200.200.203.2 GE11/1/0,0.0.0.0/32 RIP 100 1 200.200.203.2 GE11
3、/1/0,1.0.0.0/8 STATIC 60 0 11.110.0.1 Ethernet12/2/0,4.4.4.0/24 DIRECT 0 0 4.4.4.4 Ethernet12/2/0.200,4.4.4.4/32 DIRECT 0 0 127.0.0.1 InLoopBack0,5.0.0.0/8 RIP 100 1 200.200.203.2 GE11/1/0,PC1,PC2,RTA,RTB,RTC,RTD,S1/0/0,E1/2/0,Page,策略路由的引入,(,續(xù),),普通的報文轉(zhuǎn)發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的。,但是遇到如下情況如何解決?,1,、根據(jù)源,IP,來控
4、制報文轉(zhuǎn)發(fā)。即控制來自,PC1,的報文通過接,S1/0/0,轉(zhuǎn)發(fā),來自,PC2,的報文通過接口,E1/2/0,轉(zhuǎn)發(fā)口?,2,、根據(jù)報文的長度來控制報文轉(zhuǎn)發(fā)。,3,、根據(jù)報文的其他屬性來控制報文轉(zhuǎn)發(fā)。,PC1,PC2,RTA,RTB,RTC,RTD,S1/0/0,E1/2/0,Page,策略路由概念,策略路由是一種依據(jù)用戶制定的策略進行路由選擇的機制,與單純依照,IP,報文的目的地址查找路由表進行轉(zhuǎn)發(fā)不同,可應(yīng)用于安全、負(fù)載分擔(dān)等目的。,VRP,策略路由支持基于,acl,包過濾、地址長度等信息,靈活地指定路由。而,acl,報文過濾則可以根據(jù)報文的源,ip,、目的,ip,、協(xié)議、端口號、優(yōu)先級、,
5、tos,、時間段、,vpn,等各種豐富的信息將報文分類,然后控制將這些報文按照不同的路由轉(zhuǎn)發(fā)出去。,Page,策略路由的分類,策略路由分類,接口策略路由,接口策略路由只對轉(zhuǎn)發(fā)的報文起作用,對本地產(chǎn)生的報文(比如本地的,ping,報文)不起作用。而本地策略路由只對本地產(chǎn)生的報文起作用,對轉(zhuǎn)發(fā)的報文不起作用。,接口策略路由配置在接口視圖下。,本地策略路由,本地產(chǎn)生的報文的策略路由配置在系統(tǒng)視圖下。,注意:組播策略路由只支持轉(zhuǎn)發(fā)的報文,不對路由器本機產(chǎn)生的報文進行策略路由。,Page,匹配原則概述,Route-policy:,route_policy_name,permit 10:if-match,
6、acl,3000,if-match packet-length 100 500,apply output-interface Ethernet1/1/0,/,有多個匹配項,deny 20:if-match,acl,2000,/,只有匹配項,permit 30:if-match,acl,3100,permit 40:,apply output-interface Ethernet1/1/0,/,只有操作項,permit 50:,apply output-interface Ethernet1/1/0,deny 60:,/,匹配項和操作項都沒有,permit 70:,permit 80:if-ma
7、tch,acl,3000,apply output-interface Ethernet1/1/0 serial1/0/0,apply,ip,-address next-hop 1.1.1.1,/,有多個操作項,Page,匹配項,匹配項就是,if-match,語句,根據(jù)這些匹配項將報文按照某個規(guī)則進行分類,分為滿足規(guī)則和不滿足規(guī)則兩類。,定義什么節(jié)點?,匹配否?,Permit,Deny,Match,(所有條件都滿足),執(zhí)行退出,不執(zhí)行退出,Not match,(任意一個不滿足),不執(zhí)行繼續(xù),不執(zhí)行繼續(xù),注意:,1,、只有滿足所有的,if,match,,才算匹配,即各匹配條件是與的關(guān)系。,2,、
8、,“,匹配退出,不匹配繼續(xù),”,的原則。即只要任意一個節(jié)點滿足匹配,,則不再繼續(xù)往下匹配,如果不匹配則繼續(xù)匹配下一個節(jié)點。,Page,操作項,操作項就是,apply,語句,也就是滿足匹配項的報文將怎么處理、從哪個接口轉(zhuǎn)發(fā)出去。,route-policy n permit node 0,if-match,acl,2000,if-match packet-length 100 500,apply,ip,-precedence priority,apply output-interface Serial1/0/0 Ethernet1/1/0,apply default output-interfac
9、e Serial1/0/0,apply,ip,-address next-hop 1.1.1.1,apply,ip,-address default next-hop 2.2.2.2 3.3.3.3,一個單播報文只能轉(zhuǎn)發(fā)一次,,即只能從某個接口轉(zhuǎn)發(fā)出去,Page,轉(zhuǎn)發(fā)接口的優(yōu)先級,策略路由的出接口,策略路由的下一跳,路由表中下一跳,策略路由的缺省出接口,策略路由的缺省下一跳,低,高,轉(zhuǎn)發(fā)優(yōu)先級,以上只針對單播報文,不包括組播報文。,當(dāng)配置有優(yōu)先級高的策略,則優(yōu)先級低的配置將被忽略。,單播策略路由可以同時配置兩個下一跳或設(shè)置兩個出接口,報文轉(zhuǎn)發(fā)將采用負(fù)載分擔(dān)的方式進行。,Page,報文匹配的其它
10、策略,注意事項:,1,、如果只添加一個節(jié)點而沒有任何匹配項和設(shè)置操作項,則所有報文都匹配,不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字不改變。,2,、如果添加一個節(jié)點,只有匹配項,沒有設(shè)置操作項,則進行匹配,但不執(zhí)行相應(yīng)的操作,不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字不改變。,3,、如果添加一個節(jié)點,沒有匹配項,有設(shè)置操作項,則所有報文都匹配,根據(jù),permit/deny,執(zhí)行相應(yīng)的操作,不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字改變。,4,、如果匹配項中使用的,acl,根本不存在,則缺省是不匹配任何報文。,5,、當(dāng)直接出接口指定為本地的以太網(wǎng)接口、子接口、,Virtual-Template,接口時
11、,雖然從指定接口轉(zhuǎn)發(fā),但不能正常通信,因為這幾個接口是廣播域,不能確定下一跳,因此必須指定為下一跳。,6,、當(dāng)配置,deny,的節(jié)點時,對于單播策略路由來說,節(jié)點的,apply,命令行等于沒配置一樣,數(shù)據(jù)包將走正常單播路由表轉(zhuǎn)發(fā),因此沒有,deny,的調(diào)試信息以及相應(yīng)的統(tǒng)計信息;對于組播策略路由來說,數(shù)據(jù)包將直接丟棄,不查詢組播路由表,有,deny,的調(diào)試信息以及相應(yīng)的統(tǒng)計信息。,Page,問題,請簡要描述單播報文轉(zhuǎn)發(fā)流程。,請簡要描述組播報文策略路由流程。,Page,內(nèi)容介紹,第,1,章 策略路由原理,第,2,章 路由策略原理,Page,路由策略的作用,過濾路由信息的手段,發(fā)布路由信息時只發(fā)
12、送部分信息,接收路由信息時只接收部分信息,進行路由引入時引入滿足特定條件的信息支持等值路由,設(shè)置路由協(xié)議引入的路由屬性,Page,策略相關(guān)的五種過濾器,路由策略(,routing policy,),設(shè)定匹配條件,屬性匹配后進行設(shè)置,由,if-match,和,apply,字句組成,訪問列表(,access-list,),用于匹配路由信息的目的網(wǎng)段地址或下一跳地址,過濾不符合條件的路由信息,前綴列表(,prefix-list,),匹配對象為路由信息的目的地址或直接作用于路由器對象(,gateway,),自治系統(tǒng)路徑信息訪問列表(,aspath,-list,),僅用于,BGP,協(xié)議,匹配,BGP,路
13、由信息的自治系統(tǒng)路徑域,團體屬性列表(,community-list,),僅用于,BGP,協(xié)議,匹配,BGP,路由信息的自治系統(tǒng)團體域,Page,路由策略與過濾器的關(guān)系,在路由引入(,import-route,)時使用routing policy,routing policy,由一系列的,if-match,子句和,apply,子句組成,匹配,AS-path,時使用,AS-path list,匹配,Community,時使用,Community list,匹配,IP address,時使用,IP Prefix,和,Access list,在路由發(fā)布(,export,)和路由接收(,import,
14、)時使用地址前綴列表(,IP Prefix,)和訪問控制列表,接收時:,IP Prefix,、,Access list,和,Gateway,(特定路由器),發(fā)布時:,IP Prefix,和,Access list,Page,路由策略的執(zhí)行規(guī)則,Routing,policy,aaa,seq1,seq2,seq3,match att1,match att2,match att3,match att4,match att5,match att6,根據(jù),seq1,的,apply,子句進,行屬性設(shè)置,通過,seq1,的所有,If-match,子句,Y,N,通過,seq2,的所有,If-match,子句,
15、根據(jù),seq2,的,apply,子句進,行屬性設(shè)置,通過該,Routing policy,Y,通過該,Routing policy,通過,seq3,的所有,If-match,子句,根據(jù),seq3,的,apply,子句進,行屬性設(shè)置,通過該,Routing policy,Y,通不過該,Routing policy,N,N,Page,AS,正則表達式,Page,策略路由與路由策略的區(qū)別,策略路由與路由策略是兩個不同的概念,應(yīng)用領(lǐng)域不同。,策略路由主要是控制報文的轉(zhuǎn)發(fā),,即可以不按照路由表進行報文的轉(zhuǎn)發(fā)(因為一般報文的轉(zhuǎn)發(fā)要通過查找轉(zhuǎn)發(fā)表,而配上策略路由后就不用管轉(zhuǎn)發(fā)表了,可以隨心所欲將報文從轉(zhuǎn)發(fā)出去了)。,路由策略主要控制路由信息的引入,(控制哪些路由信息引到路由協(xié)議中,哪些路由不引入,主要是針對某種路由協(xié)議,是否允許其它路由信息引進來)、發(fā)布(控制哪些發(fā)布出去,哪些不發(fā)布出去,通過同一種路由協(xié)議發(fā)布出去)、接收(控制哪些接收,哪些丟棄)。,Page,問題,路由策略有何作用,?,常見策略過濾器有哪些,?,各有什么作用,?,路由策略執(zhí)行的規(guī)則是怎樣的,?,Page,小結(jié),策略路由原理,路由策略原理,小結(jié),Page,