IGP-数据流控制及路由更新控制

IGP

       访问列表      

              一组按顺序排放的过滤器

过滤器:由匹配标准和过滤动作组成

过滤动作:许可(permit)或拒绝(deny)

匹配标准:源地址、源于目的地址、协议类型、端口号

              编号:基本acl  2000~2999   高级acl     3000~3999

编号用途:1:把所有行连接在一起

2:区分访问列表的类型

              访问列表特点

                     顺序性

                            从上到下顺序过滤

                            每个过滤器前都有一个序列号

                     列表类型

                            基本ip访问列表

              编写命令

acl 2000

rule 5 permit/deny source/destination ip 掩码

acl 3000(举个栗子)

rule 5 deny tcp destination-port eq 23 172.16.1.2 0.0.0.0

//不允许TCP的目的端口为23的且源IP为172.16.1.2的设备访问

                     重点

                            条件苛刻的放在前面

                            基本acl放在离目的近的地方,高级acl放在离源近的地方

                            acl不能过滤自己产生的流量

       前缀列表

              前缀列表用来控制匹配前缀(网段)和前缀长度(子网掩码)

例如:IP ip-prefix permit greater-equal 24 less-equal 28

普通前缀列表参数:

• ip ip-prefix [name] [permit | deny] [prefix]/[len] Ge [min-

length] Le [max-length]

• [name]:名字和数字皆可

• [prefix]:指定的路由前缀

• [len]:指定的路由前缀的长度

• GE:大于等于;范围:GE-value~32

• LE:小于等于;范围:len~LE-value

• len < =GE <= LE

               ip ip-prefix X permit 1.2.3.0/24

• 允许前缀1.2.3.0/24

 ip ip-prefix X permit 172.0.0.0/8 greater-equal 16

• 允许前缀172.0.0.0/8、子网掩码为16~32

 ip ip-prefix X permit 172.0.0.0/8 less-equal 24

• 允许前缀172.0.0.0/8、子网掩码为8~24

 ip ip-prefix X permit 192.168.16.0/22 greater-

equal 24 less-equal 24

• 允许前缀192.168.16.0/22、子网掩码为24

 ip ip-prefix X permit 0.0.0.0/0 less-equal 32

• 允许全部的条目

 ip ip-prefix X permit 0.0.0.0/0

• 只允许默认路由

       重分发

              重分发:为了使多种路由协议协同工作

                     双向重分发·

               [Huawei-rip-1]import-route direct/rip/ospf/static

默认Metric值=0,可在命令后加上cost参数更改度量值

                      默认路由不可以做重分发

                     静态/ospf重分发进来cost为0

              重分发静态路由

                      [1-ospf-1]import-route static type 1/2

                      默认路由不能重分发进OSPF

                      Metric值默认为1,类型为2

                      类型1:根据OSPF开销累积计算

                      类型2:不累积OSPF开销,默认为1

              重分发直连路由

                      [Huawei-ospf-1]import-route direct

                      重分发进来的路由条目别人学习到管理距离为150

                      通告进去的管理距离为10

                      默认重分发直连进来的度量值为1,类型为2

                      类型1:根据OSPF开销累积计算

                      类型2:不累积OSPF开销,默认为1

              rip重分发进ospf

                      [huawei-rip-1]import-route rip 1

                      默认cost为1

                      管理距离默认为150

                      默认度量值类型为2

                     RIP OSPF

              双向重分发

                      RIP重分发进OSPF

                     • [huawei-ospf-1]import-route rip

                     • 默认度量值为1,默认度量值类型为2,管理距离变成150

                      OSPF重分发进RIP

                     • [huawei-rip-1]import-route ospf 1

                     • 默认度量值为0

       Route-policy

              路由策略是什么

                     路由策略是通过一系列工具或方法对路由进行各种控制的“策略”。这种策略能够影响到路由产生、发布、选择等,进而影响报文的转发路径。这些工具包括ACL、route-policy、ip-prefix、filter-policy等,这些方法包括对路由进行过滤,设置路由的属性等。

                     在IP网络中,路由策略的用途主要包括两个方面:1)对路由信息进行过滤。2)修改路由的属性

                     组成

                            Route-Policy由节点号、匹配模式、if-match子句(条件语句)和apply子句(执行语句)这四个部分组成。

                              节点号

                            一个Route-Policy可以由多个节点(node)构成。路由匹配Route-Policy时遵循以下两个规则:

                            1)顺序匹配:在匹配过程中,系统按节点号从小到大的顺序依次检查各个表项,因此在指定节点号时,要注意符合期望的匹配顺序。

                            2)唯一匹配:Route-Policy各节点号之间是“或”的关系,只要通过一个节点的匹配,就认为通过该过滤器,不再进行其它节点的匹配。

                              匹配模式

                            节点的匹配模式有两种:permit和deny。

                            1)permit指定节点的匹配模式为允许。当路由项通过该节点的过滤后,将执行该节点的apply子句,不进入下一个节点;如果路由项没有通过该节点过滤,将进入下一个节点继续匹配。

                            2)deny指定节点的匹配模式为拒绝。这时apply子句不会被执行。当路由项满足该节点的所有if-match子句时,将被拒绝通过该节点,不进入下一个节点;如果路由项不满足该节点的if-match子句,将进入下一个节点继续匹配。

                           

                            注意事项:if-match和apply子句可以根据应用进行设置,但是都是可选的。如果只过滤路由,不设置路由的属性,则仅需要配置if-match子句,不需要使用apply子句;如果每个permit节点没有配置任何if-match子句,则该节点匹配所有的路由;通常在多个deny节点后配置一个不含if-match字句和apply子句的permit节点,用于允许其他的路由通过。

                           

                              if-match子句(条件语句)

                            if-match子句用来定义一些匹配条件。Route-Policy的每一个节点可以含有多个if-match子句,也可以不含if-match子句。如果某个permit节点没有配置任何if-match子句,则该节点匹配所有的路由。

                              apply子句(执行语句)

                            apply子句用来指定动作。路由通过Route-Policy过滤时,系统按照apply子句指定的动作对路由信息的一些属性进行设置。Route-Policy的每一个节点可以含有多个apply子句,也可以不含apply子句。如果只需要过滤路由,不需要设置路由的属性,则不使用apply子句。

              创建route-policy

                      route-policy goktech permit node 10

• if-match xx1

• apply yy1

 route-policy goktech permit node 20

• if-match xx2

• apply yy2

               按10.20顺序逐级向下匹配,若if-match语句匹配,那

么就执行apply动作

              定义if-match

                      if-match acl +列表名

 if-match ip-prefix +列表名

 if-match cost 匹配具有指定度量值的路由

 if-match tag 匹配具有指定标签值的路由

              定义apply

                     apply cost 设置度量值

apply cost-type 设置类型

apply preference 设置管理距离

apply ip-address next-hop x.x.x.x 指定下一跳地址

apply tag 更改匹配的tag

              route-policy

                     末尾隐含deny

if-match没写是match any

apply没写是apply nothing

       路由控制更新

               汇总

                     rip汇总

                            手工汇总不能低于主类

 [huawei-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.252.0

                     ospf汇总

                             ABR上汇总

                            • [huawei-ospf-1-area-0.0.0.0]abr-summary 10.1.1.0 255.255.252.0

                             ASBR上汇总

                            • [huawei-ospf-1]asbr-summary 192.168.0.0 255.255.252.0

                     ISIS汇总

                            summary+前缀+掩码

               被动接口

                     rip被动接口

                            尿性:RIP被动接口实验

                             不发送更新,可以接收更新

                            命令:[huawei-rip-1]silent-interface g0/0/0

                            单播更新:被动接口+单播指邻居

                            [huawei-rip-1]peer 12.12.12.2

                     ospf被动接口

                            禁止建立邻居关系

 [huawei-ospf-1]silent-interface g0/0/0

               重分发

               过滤策略

                      1.在出方向过滤路由

• 只能过滤路由信息,对发送链路状态信息的不起作用

2.可以在入方向过滤路由

• 对于链路状态路由协议,仅仅是不把路由加入到路由表

3. 可以过滤从其它路由协议引入的路由

• 只能在出方向过滤

• 在入方向过滤是没有意义的

4.可以使用filter-policy进行过滤,也可以使用ip-prefix进行

过滤

               修改管理距离

                     opsf修改管理距离

                            OSPF自制系统内:

[huawei-ospf-1]preference 2

 External:外部条目进入ospf

[huawie-ospf-1]preference ase 5

                     RIP修改管理距离

                             [huawei-rip-1]preference +数值

(可配合route-policy实现不同路由条目管理距离的更改)

               修改COST

       数据流控制

              PBR策略路由(policy based routing)通过策略来决定流量方向

路由策略(通过路由信息来决定流量方向)

                     PBR实现的功能

                            转发数据包更灵活,不仅仅依靠目的地址

                            为Qos 进行服务

                             负载均衡

                     策略路由种类:

                            1.本地策略路由

                            2.接口策略路由

                            3.智能策略路由(SPR)

                     PBR实验命令

                             创建ACL

                                   acl number 2000

                                   • rule 5 permit source 10.1.0.0 0.0.255.255

                                   • acl number 2001

                                   • rule 5 permit source 172.16.1.0 0.0.0.255

                            定义流量类型

                                   • traffic classifier goktech1 operator or

                                   • if-match acl 2000

                                   • traffic classifier goktech2 operator or

                                   • if-match acl 2001

                            定义流量行为

                                   • traffic behavior goktech3

                                   • redirect ip-nexthop 100.1.1.4

                                   • traffic behavior goktech4

                                   • redirect ip-nexthop 200.1.1.4

                            创建策略关联流量类型和流量行为

                                    traffic policy goktech

                                   • classifier goktech1 behavior goktech3

                                   • classifier goktech2 behavior goktech4

                            接口调用策略

                                   • interface GigabitEthernet0/0/0

                                   • ip address 192.168.1.3 255.255.255.0

                                   • traffic-policy goktech inbound-----入接口

你可能感兴趣的:(np,高级路由,acl,route-policy,策略路由,重分发,PBR)