IP技术认证路由策略.ppt
- 文档编号:1377415
- 上传时间:2022-10-21
- 格式:PPT
- 页数:71
- 大小:1.39MB
IP技术认证路由策略.ppt
《IP技术认证路由策略.ppt》由会员分享,可在线阅读,更多相关《IP技术认证路由策略.ppt(71页珍藏版)》请在冰豆网上搜索。
中国电信云南公司网络运行维护部,路由策略,内容介绍,第1章路由策略概述第2章路由选择与控制的工具第3章路由策略的应用,路由协议的作用是发现网络中到各个目的网段的路由,从而指导路由器转发报文。
面对如此众多的路由协议以及网络中数量相当庞大的路由,路由器该如何处理?
显然,如果对所有路由不加选择的全部接收是不可取的,路由器必须能够懂得如何学习有用的路由,如何过滤掉不需要的路由,如何选择最佳的路由。
本课程针对路由控制和路由选择进行综合性的阐述。
引入,策略:
在数据通信中,策略指路由器按照人为的特殊指示,而不是按照常规流程处理信息。
按照信息所属平面,策略分为控制平面策略和转发平面策略控制平面策略指路由器对控制平面信息(主要是路由信息)做特殊处理。
转发平面策略指路由器对转发平面信息(各种数据包)做特殊处理。
在现阶段版本中,统一为Traffic-Policy(流策略)策略包括两部分,规则(分类)和行为(动作)。
策略的定义,什么是路由策略,路由策略主要实现了对路由的过滤、设置等控制功能,通过改变路由属性(包括可达性)来改变网络流量所经过的途径,主要有:
控制路由的发布只发布满足条件的路由信息。
控制路由的接收只接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。
过滤和控制引入的路由路由引入时只引入一部分满足特定条件的路由信息,并对所引入的路由信息的某些属性进行设置,以使其满足本协议的要求。
设置特定路由的属性为通过路由策略过滤的路由设置相应的属性。
路由选择与控制,实现路由选择与控制的基本过程,路由策略的实现可具体分为:
1a定义规则、1b定义动作;2应用策略,内容介绍,第1章路由策略概述第2章路由选择与控制的工具第3章路由策略的应用,过滤工具概述,访问控制列表(ACL)前缀列表(ip-prefix)自治系统路径信息访问列表(as-path-filter)团体属性列表(community-filter)路由策略(route-policy)设定匹配条件,属性匹配后进行设置,由if-match和apply子句组成,ACL访问控制列表(1/2),访问控制列表是由permit|deny语句组成的一系列有顺序的规则(rule),这些规则采用源地址、目的地址、端口号等来描述。
访问控制列表原用于对数据包的过滤,分成多类,分别针对数据包头的各个字段。
在用作路由过滤的时候,仅采用基本的访问控制列表(basicacl)数字范围20002999和高级的访问控制列表(advancedacl)数字范围30003999,并规定只使用ACL中的源地址字段来表示路由的目的网段。
ACL访问控制列表(2/2),ACL的规则匹配过程如果存在ACL且需要根据规则来检查报文,则查找该ACL中所有规则,只要有一条规则和报文匹配,就直接通知给业务规则匹配的动作,不再继续查找后续的规则。
ACL的规则匹配顺序配置顺序配置顺序,是指按照用户配置ACL的规则的先后进行匹配(rule的编号)自动排序自动排序使用“深度优先”的原则“深度优先”规则是把指定范围最小的语句排在最前面(最先匹配)VRP5默认为配置顺序。
访问控制列表示例(1/5),aclnumber2001rule0permitsource1.1.0.016,访问控制列表示例(2/5),aclnumber2001rule0permitsource1.1.0.00,访问控制列表示例(3/5),aclnumber2001rule0permitsource1.1.1.00.0.254.255,访问控制列表示例(4/5),aclnumber2001rule0permitsource1.1.1.10rule1denysource1.1.1.00rule2permitsource1.1.0.00.0.255.0rule3deny,访问控制列表示例(5/5),aclnumber2001rule0permitsource1.1.1.00,怎么把1.1.1.0/25也过滤掉呢?
IP-Prefix前缀列表(1/2),前缀列表用来过滤IP前缀,能同时匹配前缀号和前缀长度,解决ACL不能区分相同前缀、不同掩码的路由的问题。
前缀列表的性能比访问控制列表高前缀列表不能用于数据包的过滤例:
ipip-prefixtestindex10permit10.0.0.016greater-equal24less-equal28前缀号必须为10.024=前缀长度=28满足条件的如10.0.1.0/24,10.0.2.0/25,10.0.2.192/26,IP-Prefix前缀列表(2/2),IP-Prefix前缀列表匹配顺序:
在匹配过程中,系统按索引号升序依次检查各个表项。
因此在指定表项索引号的时候,要注意符合期望匹配的顺序。
只要有一个表项满足条件,就认为通过该过滤列表,不再去匹配其他表项。
地址前缀列表包括IPv4地址前缀列表和IPv6地址前缀列表,和ACL相比,配置简单,应用灵活。
IP-Prefix前缀列表示例,ipip-prefixPref1index10permit1.1.1.024greater-equal24less-equal24,AS-Path-FilterAS路径过滤器,Page20,AS路径过滤器AS-PATH-Filter是以BGP路由的AS-Path属性作为匹配条件。
AS-PATH-Filter使用正则表达式来定义。
举例:
匹配所有AS-PATH属性ipas-path-filter10permit.*匹配从AS100发起的路由ipas-path-filter10permit_100$匹配从AS200接收的路由ipas-path-filter10permit200_,AS路径过滤器-常用的正则表达式符号,Page21,Community-Filter团体列表,Page22,团体属性过滤器community-filter是以BGP路由的community属性作为匹配条件。
团体列表有基本的和高级的两种基本团体列表用来匹配实际的团体属性值和常量ipcommunity-filter1permit100:
1100:
2ipcommunity-filter1permit100:
1ipcommunity-filter1permitno-export高级团体列表可以使用正则表达式ipcommunity-filter100permit10,Route-Policy路由策略(1/2),Page23,Route-Policy所使用的匹配条件可以是给定的路由信息的某些属性(如下一跳、出接口等),也可以直接调用前面列出的几种过滤器;同时Route-Policy还能在条件满足时改变这些路由信息的属性。
一个Route-Policy可以由多个节点(node)构成,不同节点之间是“或”的关系(节点号的指定方法与地址前缀列表的索引号相同)。
当一条路由表项进入Route-Policy过滤器,系统按节点序号依次检查各个节点,因此在指定节点号时,要注意符合期望的匹配顺序。
如果通过了其中某一节点,就意味着通过该过滤器,不再对其他节点进行匹配,Route-Policy路由策略(2/2),Page24,每个节点下可以有多个if-match和apply子句,if-match子句用来表示过滤条件,apply子句用来标识对符合条件的路由信息执行的动作。
if-match子句之间是“与”的关系节点的匹配模式有两种:
permit和deny。
permit指定节点的匹配模式为允许。
当路由项通过该节点的过滤后,将执行该节点的apply子句,然后跳出Route-Policy,不进入下一个节点;如果路由项没有通过该节点过滤,将进入下一个节点继续匹配。
deny指定节点的匹配模式为拒绝。
当路由项满足该节点的所有if-match子句时,将被拒绝通过该节点,这时apply子句不会被执行,同时不进入下一个节点;如果路由项不满足该节点的所有if-match子句,将进入下一个节点继续匹配。
Route-Policy路由策略示例,NetworkCostNextHop1.1.2.0/24468734.34.34.2468713.13.13.11.1.3.0/24468734.34.34.2468713.13.13.11.1.3.0/25134.34.34.2113.13.13.15.5.5.5/32468734.34.34.2468713.13.13.16.6.6.6/32468734.34.34.2468713.13.13.1,NetworkCostNextHop1.1.3.0/24468734.34.34.22113.13.13.11.1.3.0/251134.34.34.22113.13.13.16.6.6.6/32468734.34.34.2468713.13.13.1,aclnumber2001rule0permitsource1.1.3.00.0.0.255aclnumber2002rule0permitsource13.13.13.10route-policyRPdenynode10if-matchip-prefixPref1route-policyRPpermitnode20if-matchip-prefixPref2route-policyRPpermitnode30if-matchacl2001if-matchipnext-hopacl2002applycost21route-policyRPpermitnode40if-matchip-prefixPref3applycost11route-policyRPpermitnode50#ipip-prefixPref1index10permit5.5.5.532ipip-prefixPref1index20permit1.1.2.024ipip-prefixPref2index10permit6.6.6.632ipip-prefixPref3index10permit1.1.3.024greater-equal25less-equal25,过滤器比较,Page26,内容介绍,第1章路由策略概述第2章路由选择与控制的工具第3章路由策略的应用,内容介绍,第3章路由策略的应用第1节使用路由过滤选择与控制路由第2节路由协议优先级与默认路由第3节路由选择与控制典型应用场景,使用路由过滤避免次优路由(1/2),Page29,使用路由过滤避免次优路由(2/2),Page30,Lo0:
2.2.2.2,RIP,ISIS,RTD,RTC,RTB,isis1import-routerip1,aclnumber2001rule5denysource2.0.0.00.255.255.255rule10permitisis1filter-policy2001importRTBdisplayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2.0.0.0/8RIP100124.24.24.2Serial1,使用路由过滤避免路由环路(1/2),Page31,使用路由过滤避免路由环路(2/2),Page32,Page33,RTA,RTB,RTAdisplaybgprouting-tableNetworkNextHopMEDLocPrfP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IP 技术 认证 路由 策略