華為策略路由與路由策略原理培訓(xùn)材料

《華為策略路由與路由策略原理培訓(xùn)材料》由會員分享，可在線閱讀，更多相關(guān)《華為策略路由與路由策略原理培訓(xùn)材料（25頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,HUAWEI TECHNOLOGIES CO.,LTD.,Page,單擊此處編輯母版文本樣式,單擊此處編輯母版文本樣式,單擊此處編輯母版文本樣式,單擊此處編輯母版文本樣式,HUAWEI Confidential,謝謝,策略路由與路由策略原理,ISSUE 1.0,如何對報文轉(zhuǎn)發(fā)的路徑進行有效控制,?,如何對發(fā)布、接收、引入的路由信息進行有效控制，提高網(wǎng)絡(luò)安全性,?,學(xué)完本課程之后您將會找到滿意的答案。,前 言,Page,學(xué)習(xí)指南,本課程全套資料包括培訓(xùn)膠片、配套原理教材、多媒體課件、試題、演練案例和教師教學(xué)指導(dǎo)書，合理有效利用上述資料您將會取得良好的學(xué)習(xí)效果。,Page

2、,目標(biāo),學(xué)習(xí)完此課程，您將會：,掌握策略路由基本原理,掌握路由策略基本原理,Page,內(nèi)容介紹,第,1,章 策略路由原理,第,2,章 路由策略原理,Page,策略路由的引入,普通的報文轉(zhuǎn)發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的。,display,ip,routing-table,Routing Table:public net,Destination/Mask Protocol Pre Cost,Nexthop,Interface,0.0.0.0/0 RIP 100 1 200.200.203.2 GE11/1/0,0.0.0.0/32 RIP 100 1 200.200.203.2 GE11

3、/1/0,1.0.0.0/8 STATIC 60 0 11.110.0.1 Ethernet12/2/0,4.4.4.0/24 DIRECT 0 0 4.4.4.4 Ethernet12/2/0.200,4.4.4.4/32 DIRECT 0 0 127.0.0.1 InLoopBack0,5.0.0.0/8 RIP 100 1 200.200.203.2 GE11/1/0,PC1,PC2,RTA,RTB,RTC,RTD,S1/0/0,E1/2/0,Page,策略路由的引入,(,續(xù),),普通的報文轉(zhuǎn)發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的。,但是遇到如下情況如何解決？,1,、根據(jù)源,IP,來控

4、制報文轉(zhuǎn)發(fā)。即控制來自,PC1,的報文通過接,S1/0/0,轉(zhuǎn)發(fā)，來自,PC2,的報文通過接口,E1/2/0,轉(zhuǎn)發(fā)口？,2,、根據(jù)報文的長度來控制報文轉(zhuǎn)發(fā)。,3,、根據(jù)報文的其他屬性來控制報文轉(zhuǎn)發(fā)。,PC1,PC2,RTA,RTB,RTC,RTD,S1/0/0,E1/2/0,Page,策略路由概念,策略路由是一種依據(jù)用戶制定的策略進行路由選擇的機制，與單純依照,IP,報文的目的地址查找路由表進行轉(zhuǎn)發(fā)不同，可應(yīng)用于安全、負(fù)載分擔(dān)等目的。,VRP,策略路由支持基于,acl,包過濾、地址長度等信息，靈活地指定路由。而,acl,報文過濾則可以根據(jù)報文的源,ip,、目的,ip,、協(xié)議、端口號、優(yōu)先級、,

5、tos,、時間段、,vpn,等各種豐富的信息將報文分類，然后控制將這些報文按照不同的路由轉(zhuǎn)發(fā)出去。,Page,策略路由的分類,策略路由分類,接口策略路由,接口策略路由只對轉(zhuǎn)發(fā)的報文起作用，對本地產(chǎn)生的報文（比如本地的,ping,報文）不起作用。而本地策略路由只對本地產(chǎn)生的報文起作用，對轉(zhuǎn)發(fā)的報文不起作用。,接口策略路由配置在接口視圖下。,本地策略路由,本地產(chǎn)生的報文的策略路由配置在系統(tǒng)視圖下。,注意：組播策略路由只支持轉(zhuǎn)發(fā)的報文，不對路由器本機產(chǎn)生的報文進行策略路由。,Page,匹配原則概述,Route-policy:,route_policy_name,permit 10:if-match,

6、acl,3000,if-match packet-length 100 500,apply output-interface Ethernet1/1/0,/,有多個匹配項,deny 20:if-match,acl,2000,/,只有匹配項,permit 30:if-match,acl,3100,permit 40:,apply output-interface Ethernet1/1/0,/,只有操作項,permit 50:,apply output-interface Ethernet1/1/0,deny 60:,/,匹配項和操作項都沒有,permit 70:,permit 80:if-ma

7、tch,acl,3000,apply output-interface Ethernet1/1/0 serial1/0/0,apply,ip,-address next-hop 1.1.1.1,/,有多個操作項,Page,匹配項,匹配項就是,if-match,語句，根據(jù)這些匹配項將報文按照某個規(guī)則進行分類，分為滿足規(guī)則和不滿足規(guī)則兩類。,定義什么節(jié)點？,匹配否？,Permit,Deny,Match,（所有條件都滿足）,執(zhí)行退出,不執(zhí)行退出,Not match,（任意一個不滿足）,不執(zhí)行繼續(xù),不執(zhí)行繼續(xù),注意：,1,、只有滿足所有的,if,match,，才算匹配，即各匹配條件是與的關(guān)系。,2,、

8、,“,匹配退出，不匹配繼續(xù),”,的原則。即只要任意一個節(jié)點滿足匹配，,則不再繼續(xù)往下匹配，如果不匹配則繼續(xù)匹配下一個節(jié)點。,Page,操作項,操作項就是,apply,語句，也就是滿足匹配項的報文將怎么處理、從哪個接口轉(zhuǎn)發(fā)出去。,route-policy n permit node 0,if-match,acl,2000,if-match packet-length 100 500,apply,ip,-precedence priority,apply output-interface Serial1/0/0 Ethernet1/1/0,apply default output-interfac

9、e Serial1/0/0,apply,ip,-address next-hop 1.1.1.1,apply,ip,-address default next-hop 2.2.2.2 3.3.3.3,一個單播報文只能轉(zhuǎn)發(fā)一次，,即只能從某個接口轉(zhuǎn)發(fā)出去,Page,轉(zhuǎn)發(fā)接口的優(yōu)先級,策略路由的出接口,策略路由的下一跳,路由表中下一跳,策略路由的缺省出接口,策略路由的缺省下一跳,低,高,轉(zhuǎn)發(fā)優(yōu)先級,以上只針對單播報文，不包括組播報文。,當(dāng)配置有優(yōu)先級高的策略，則優(yōu)先級低的配置將被忽略。,單播策略路由可以同時配置兩個下一跳或設(shè)置兩個出接口，報文轉(zhuǎn)發(fā)將采用負(fù)載分擔(dān)的方式進行。,Page,報文匹配的其它

10、策略,注意事項：,1,、如果只添加一個節(jié)點而沒有任何匹配項和設(shè)置操作項，則所有報文都匹配，不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字不改變。,2,、如果添加一個節(jié)點，只有匹配項，沒有設(shè)置操作項，則進行匹配，但不執(zhí)行相應(yīng)的操作，不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字不改變。,3,、如果添加一個節(jié)點，沒有匹配項，有設(shè)置操作項，則所有報文都匹配，根據(jù),permit/deny,執(zhí)行相應(yīng)的操作，不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字改變。,4,、如果匹配項中使用的,acl,根本不存在，則缺省是不匹配任何報文。,5,、當(dāng)直接出接口指定為本地的以太網(wǎng)接口、子接口、,Virtual-Template,接口時

11、，雖然從指定接口轉(zhuǎn)發(fā)，但不能正常通信，因為這幾個接口是廣播域，不能確定下一跳，因此必須指定為下一跳。,6,、當(dāng)配置,deny,的節(jié)點時，對于單播策略路由來說，節(jié)點的,apply,命令行等于沒配置一樣，數(shù)據(jù)包將走正常單播路由表轉(zhuǎn)發(fā)，因此沒有,deny,的調(diào)試信息以及相應(yīng)的統(tǒng)計信息；對于組播策略路由來說，數(shù)據(jù)包將直接丟棄，不查詢組播路由表，有,deny,的調(diào)試信息以及相應(yīng)的統(tǒng)計信息。,Page,問題,請簡要描述單播報文轉(zhuǎn)發(fā)流程。,請簡要描述組播報文策略路由流程。,Page,內(nèi)容介紹,第,1,章 策略路由原理,第,2,章 路由策略原理,Page,路由策略的作用,過濾路由信息的手段,發(fā)布路由信息時只發(fā)

12、送部分信息,接收路由信息時只接收部分信息,進行路由引入時引入滿足特定條件的信息支持等值路由,設(shè)置路由協(xié)議引入的路由屬性,Page,策略相關(guān)的五種過濾器,路由策略（,routing policy,）,設(shè)定匹配條件，屬性匹配后進行設(shè)置，由,if-match,和,apply,字句組成,訪問列表（,access-list,）,用于匹配路由信息的目的網(wǎng)段地址或下一跳地址，過濾不符合條件的路由信息,前綴列表（,prefix-list,）,匹配對象為路由信息的目的地址或直接作用于路由器對象（,gateway,）,自治系統(tǒng)路徑信息訪問列表（,aspath,-list,）,僅用于,BGP,協(xié)議，匹配,BGP,路

13、由信息的自治系統(tǒng)路徑域,團體屬性列表（,community-list,）,僅用于,BGP,協(xié)議，匹配,BGP,路由信息的自治系統(tǒng)團體域,Page,路由策略與過濾器的關(guān)系,在路由引入（,import-route,）時使用routing policy,routing policy,由一系列的,if-match,子句和,apply,子句組成,匹配,AS-path,時使用,AS-path list,匹配,Community,時使用,Community list,匹配,IP address,時使用,IP Prefix,和,Access list,在路由發(fā)布（,export,）和路由接收（,import,

14、）時使用地址前綴列表（,IP Prefix,）和訪問控制列表,接收時：,IP Prefix,、,Access list,和,Gateway,（特定路由器）,發(fā)布時：,IP Prefix,和,Access list,Page,路由策略的執(zhí)行規(guī)則,Routing,policy,aaa,seq1,seq2,seq3,match att1,match att2,match att3,match att4,match att5,match att6,根據(jù),seq1,的,apply,子句進,行屬性設(shè)置,通過,seq1,的所有,If-match,子句,Y,N,通過,seq2,的所有,If-match,子句,

15、根據(jù),seq2,的,apply,子句進,行屬性設(shè)置,通過該,Routing policy,Y,通過該,Routing policy,通過,seq3,的所有,If-match,子句,根據(jù),seq3,的,apply,子句進,行屬性設(shè)置,通過該,Routing policy,Y,通不過該,Routing policy,N,N,Page,AS,正則表達式,Page,策略路由與路由策略的區(qū)別,策略路由與路由策略是兩個不同的概念，應(yīng)用領(lǐng)域不同。,策略路由主要是控制報文的轉(zhuǎn)發(fā),，即可以不按照路由表進行報文的轉(zhuǎn)發(fā)（因為一般報文的轉(zhuǎn)發(fā)要通過查找轉(zhuǎn)發(fā)表，而配上策略路由后就不用管轉(zhuǎn)發(fā)表了，可以隨心所欲將報文從轉(zhuǎn)發(fā)出去了）。,路由策略主要控制路由信息的引入,（控制哪些路由信息引到路由協(xié)議中，哪些路由不引入，主要是針對某種路由協(xié)議，是否允許其它路由信息引進來）、發(fā)布（控制哪些發(fā)布出去，哪些不發(fā)布出去，通過同一種路由協(xié)議發(fā)布出去）、接收（控制哪些接收，哪些丟棄）。,Page,問題,路由策略有何作用,?,常見策略過濾器有哪些,?,各有什么作用,?,路由策略執(zhí)行的規(guī)則是怎樣的,?,Page,小結(jié),策略路由原理,路由策略原理,小結(jié),Page,