IGP-数据流控制及路由更新控制
IGP
访问列表
一组按顺序排放的过滤器
过滤器:由匹配标准和过滤动作组成
过滤动作:许可(permit)或拒绝(deny)
匹配标准:源地址、源于目的地址、协议类型、端口号
编号:基本acl 2000~2999 高级acl 3000~3999
编号用途:1:把所有行连接在一起
2:区分访问列表的类型
访问列表特点
顺序性
从上到下顺序过滤
每个过滤器前都有一个序列号
列表类型
基本ip访问列表
编写命令
acl 2000
rule 5 permit/deny source/destination ip 掩码
acl 3000(举个栗子)
rule 5 deny tcp destination-port eq 23 172.16.1.2 0.0.0.0
//不允许TCP的目的端口为23的且源IP为172.16.1.2的设备访问
重点
条件苛刻的放在前面
基本acl放在离目的近的地方,高级acl放在离源近的地方
acl不能过滤自己产生的流量
前缀列表
前缀列表用来控制匹配前缀(网段)和前缀长度(子网掩码)
例如:IP ip-prefix permit greater-equal 24 less-equal 28
普通前缀列表参数:
• ip ip-prefix [name] [permit | deny] [prefix]/[len] Ge [min-
length] Le [max-length]
• [name]:名字和数字皆可
• [prefix]:指定的路由前缀
• [len]:指定的路由前缀的长度
• GE:大于等于;范围:GE-value~32
• LE:小于等于;范围:len~LE-value
• len < =GE <= LE
ip ip-prefix X permit 1.2.3.0/24
• 允许前缀1.2.3.0/24
ip ip-prefix X permit 172.0.0.0/8 greater-equal 16
• 允许前缀172.0.0.0/8、子网掩码为16~32
ip ip-prefix X permit 172.0.0.0/8 less-equal 24
• 允许前缀172.0.0.0/8、子网掩码为8~24
ip ip-prefix X permit 192.168.16.0/22 greater-
equal 24 less-equal 24
• 允许前缀192.168.16.0/22、子网掩码为24
ip ip-prefix X permit 0.0.0.0/0 less-equal 32
• 允许全部的条目
ip ip-prefix X permit 0.0.0.0/0
• 只允许默认路由
重分发
重分发:为了使多种路由协议协同工作
双向重分发·
[Huawei-rip-1]import-route direct/rip/ospf/static
默认Metric值=0,可在命令后加上cost参数更改度量值
默认路由不可以做重分发
静态/ospf重分发进来cost为0
重分发静态路由
[1-ospf-1]import-route static type 1/2
默认路由不能重分发进OSPF
Metric值默认为1,类型为2
类型1:根据OSPF开销累积计算
类型2:不累积OSPF开销,默认为1
重分发直连路由
[Huawei-ospf-1]import-route direct
重分发进来的路由条目别人学习到管理距离为150
通告进去的管理距离为10
默认重分发直连进来的度量值为1,类型为2
类型1:根据OSPF开销累积计算
类型2:不累积OSPF开销,默认为1
rip重分发进ospf
[huawei-rip-1]import-route rip 1
默认cost为1
管理距离默认为150
默认度量值类型为2
RIP OSPF
双向重分发
RIP重分发进OSPF
• [huawei-ospf-1]import-route rip
• 默认度量值为1,默认度量值类型为2,管理距离变成150
OSPF重分发进RIP
• [huawei-rip-1]import-route ospf 1
• 默认度量值为0
Route-policy
路由策略是什么
路由策略是通过一系列工具或方法对路由进行各种控制的“策略”。这种策略能够影响到路由产生、发布、选择等,进而影响报文的转发路径。这些工具包括ACL、route-policy、ip-prefix、filter-policy等,这些方法包括对路由进行过滤,设置路由的属性等。
在IP网络中,路由策略的用途主要包括两个方面:1)对路由信息进行过滤。2)修改路由的属性
组成
Route-Policy由节点号、匹配模式、if-match子句(条件语句)和apply子句(执行语句)这四个部分组成。
节点号
一个Route-Policy可以由多个节点(node)构成。路由匹配Route-Policy时遵循以下两个规则:
1)顺序匹配:在匹配过程中,系统按节点号从小到大的顺序依次检查各个表项,因此在指定节点号时,要注意符合期望的匹配顺序。
2)唯一匹配:Route-Policy各节点号之间是“或”的关系,只要通过一个节点的匹配,就认为通过该过滤器,不再进行其它节点的匹配。
匹配模式
节点的匹配模式有两种:permit和deny。
1)permit指定节点的匹配模式为允许。当路由项通过该节点的过滤后,将执行该节点的apply子句,不进入下一个节点;如果路由项没有通过该节点过滤,将进入下一个节点继续匹配。
2)deny指定节点的匹配模式为拒绝。这时apply子句不会被执行。当路由项满足该节点的所有if-match子句时,将被拒绝通过该节点,不进入下一个节点;如果路由项不满足该节点的if-match子句,将进入下一个节点继续匹配。
注意事项:if-match和apply子句可以根据应用进行设置,但是都是可选的。如果只过滤路由,不设置路由的属性,则仅需要配置if-match子句,不需要使用apply子句;如果每个permit节点没有配置任何if-match子句,则该节点匹配所有的路由;通常在多个deny节点后配置一个不含if-match字句和apply子句的permit节点,用于允许其他的路由通过。
if-match子句(条件语句)
if-match子句用来定义一些匹配条件。Route-Policy的每一个节点可以含有多个if-match子句,也可以不含if-match子句。如果某个permit节点没有配置任何if-match子句,则该节点匹配所有的路由。
apply子句(执行语句)
apply子句用来指定动作。路由通过Route-Policy过滤时,系统按照apply子句指定的动作对路由信息的一些属性进行设置。Route-Policy的每一个节点可以含有多个apply子句,也可以不含apply子句。如果只需要过滤路由,不需要设置路由的属性,则不使用apply子句。
创建route-policy
route-policy goktech permit node 10
• if-match xx1
• apply yy1
route-policy goktech permit node 20
• if-match xx2
• apply yy2
按10.20顺序逐级向下匹配,若if-match语句匹配,那
么就执行apply动作
定义if-match
if-match acl +列表名
if-match ip-prefix +列表名
if-match cost 匹配具有指定度量值的路由
if-match tag 匹配具有指定标签值的路由
定义apply
apply cost 设置度量值
apply cost-type 设置类型
apply preference 设置管理距离
apply ip-address next-hop x.x.x.x 指定下一跳地址
apply tag 更改匹配的tag
route-policy
末尾隐含deny
if-match没写是match any
apply没写是apply nothing
路由控制更新
汇总
rip汇总
手工汇总不能低于主类
[huawei-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.252.0
ospf汇总
ABR上汇总
• [huawei-ospf-1-area-0.0.0.0]abr-summary 10.1.1.0 255.255.252.0
ASBR上汇总
• [huawei-ospf-1]asbr-summary 192.168.0.0 255.255.252.0
ISIS汇总
summary+前缀+掩码
被动接口
rip被动接口
尿性:RIP被动接口实验
不发送更新,可以接收更新
命令:[huawei-rip-1]silent-interface g0/0/0
单播更新:被动接口+单播指邻居
[huawei-rip-1]peer 12.12.12.2
ospf被动接口
禁止建立邻居关系
[huawei-ospf-1]silent-interface g0/0/0
重分发
过滤策略
1.在出方向过滤路由
• 只能过滤路由信息,对发送链路状态信息的不起作用
2.可以在入方向过滤路由
• 对于链路状态路由协议,仅仅是不把路由加入到路由表
中
3. 可以过滤从其它路由协议引入的路由
• 只能在出方向过滤
• 在入方向过滤是没有意义的
4.可以使用filter-policy进行过滤,也可以使用ip-prefix进行
过滤
修改管理距离
opsf修改管理距离
OSPF自制系统内:
[huawei-ospf-1]preference 2
External:外部条目进入ospf
[huawie-ospf-1]preference ase 5
RIP修改管理距离
[huawei-rip-1]preference +数值
(可配合route-policy实现不同路由条目管理距离的更改)
修改COST
数据流控制
PBR策略路由(policy based routing)通过策略来决定流量方向
路由策略(通过路由信息来决定流量方向)
PBR实现的功能
转发数据包更灵活,不仅仅依靠目的地址
为Qos 进行服务
负载均衡
策略路由种类:
1.本地策略路由
2.接口策略路由
3.智能策略路由(SPR)
PBR实验命令
创建ACL
acl number 2000
• rule 5 permit source 10.1.0.0 0.0.255.255
• acl number 2001
• rule 5 permit source 172.16.1.0 0.0.0.255
定义流量类型
• traffic classifier goktech1 operator or
• if-match acl 2000
• traffic classifier goktech2 operator or
• if-match acl 2001
定义流量行为
• traffic behavior goktech3
• redirect ip-nexthop 100.1.1.4
• traffic behavior goktech4
• redirect ip-nexthop 200.1.1.4
创建策略关联流量类型和流量行为
traffic policy goktech
• classifier goktech1 behavior goktech3
• classifier goktech2 behavior goktech4
接口调用策略
• interface GigabitEthernet0/0/0
• ip address 192.168.1.3 255.255.255.0
• traffic-policy goktech inbound-----入接口