当前位置: 首页 > article >正文

ensp—路由过滤、路由引入、路由策略

一、重发布(路由引入)

1、背景:一个网络拓扑中存在多种不同的路由协议,为了使多种不同的路由协议间能相互通信,出现了路由引入

 

 

 

 

2、路由引入的情形:

在边界设备(ASBR设备)上,同时运行多种路由协议。

需要将一种路由协议引入到另一种路由协议中学习;把路由在同种协议的不同进程间的引入

注意:关注两种协议起始度量值,引入时原路由

 

3、规则:

(1)将A协议发布到B协议中,在ASBR中的B协议上配置

(2)将A协议发布到B协议中,所有通过A协议学习到的路由及A的直连路由,B都可以学习到

 

重发布举例:

举例1:将OSPF路由引入RIP:

 

在rip进程视图下:[R2-rip-1]import-route ospf 1,

如果不指定cost,路由重发布进RIP后,cost缺省为0 ;包括环回口。

 

举例:2:将RIP路由引入OSPF:在OSPF进程视图下:[R2-ospf-1]import-route rip 1

如果不指定cost,路由重发布进ospf后,cost缺省为1;type类型为E2;包括环回口 ;

 

举例3:将静态引入到动态协议中:[r2-rip-1]import-route static

如果不指定cost,路由重发布进动态后,cost缺省为0 

 

举例4:将直连路由导入到动态路由协议中:[r2-rip-1]import-route direct

 

 

4、修改起始度量值命令:

进程当中对全局进行修改:[r2-rip-1]default-cost 2

针对本次重发布进行修改:[r2-rip-1]import-route ospf 1 cost 3

 

 

 

5、多协议网络规划

一般情况下,建议跑单协议

路由协议的规划规则:

(1)从边缘引入核心;

 

 

因为边缘设备的性能低,承受能力差,核心网络的路由器性能比较好,承受能力强。但核心的路由需要引入边缘,这时建议在边界路由器上下发一条缺省路由,以保证边缘的路由器可以通过这条缺省路由访问核心网络。

 

(2)从IGP引入到BGP

原因:

公网上路由太多了,要是将BGP公网上的路由引入内网的ospf中,会造成内网路由器承受不住。

所以一般建议从IGP引入到BGP,但我们仍然有学习BGP上路由的需求,所以从BGP引入IGP时,建议I通过配置默认路由或者路由聚合达到进入其他AS的路由。

 

 

6、引入方式

(1)单向路由引入

在OSPF进程视图下:import-route rip 1

(2)双向路由引入

双向引入可以知道对方的具体路由

注:只在一个边界路由器上做引入,当这个路由器故障时,会造成网络瘫痪。但在多个路由器上做引入,又会产生环路问题。

 

7、产生问题:

(1)路由引入规划不当会导致路由环路问题和次优路径选择问题

 

 

        

 

解决方法1:使用Tag来进行选择性路由引入

在路由引入时加上Tag标记值,根据tag标记值来选择引出的路由

配置示例:将OSPF路由引入RIP中时,打上标记值

抓取流量:

[R2]acl 2000

[R2-acl-basic-2000]rule permit source 100.1.1.0 0.0.0.255

用路由策略修改路由属性:

[R2]route-policy aa permit node 10

[R2-route-policy]if-match acl 2000

[R2-route-policy]apply tag 99

[R2]route-policy aa permit node 20

调用策略

[R2-rip-1]import-route ospf route-policy aa

 

在R3做个筛选,对于含有99标记的路由不引入

route-policy bb deny node 10

if-match tag 99

route-policy bb permit node 20

[R3-ospf-1]import-route rip route-policy bb

 

 

 

 

解决方法2:合理规划引入路由的初始度量值,避免引入次优路由

                   规划引入路由的优先级,避免引入次优路由

 

抓取流量:

[R3]acl 2000

[R3-acl-basic-2000]rule permit source 100.1.1.0 0.0.0.255

写路由策略:

[R3]route-policy qq permit node 10

[R3-route-policy]if-match acl 2000

[R3-route-policy]apply preference 151

 

[R3]route-policy qq permit node 20

 

调用路由策略:

[R3-rip-1]preference route-policy  qq

 

 

二、路由过滤:

1. 定义:路由器在发布或者接收消息时,可能需要对路由信息进行过滤。

2. 作用:控制路由的传播与生成;节省设备和链路资源消耗,保护网络安全。

3. 路由过滤方法:

4. 常用的路由过滤工具:

(1)静默接口:

在RIP协议中,静默接口不发送路由更新

在OSPF协议中,静默接口不发送OSPF协议报文

 

(2)  ACL:通过ACL抓取流量,缺陷:只能匹配数字特征,不能匹配掩码特征,导致匹配不精确;

(3) 地址前缀列表:匹配IP地址前缀,即目的网络地址和掩码长度--精确匹配;

 

区别:ACL与地址前缀列表:

192.168.0.0/24

192.168.0.0/16

192.168.0.0/8

rule permit source 192.168.0.0 0.0.0.255

 

 

注:如果所有表项为deny模式,则任何路由都不能通过该过滤列表。这种情况下,需要在多条deny模式的表项后定义一个允许规则:

IP IP-prefix aa permit 0.0.0.0 0  less-equal 32 表项,允许其它所有IPV4路由信息通过

 

 (4)filter-policy(过滤策略)

 

通过与ACL、地址前缀列表结合使用,  filter-policy可以对路由信息进行过滤

 

filter-policy过滤接收路由(以RIP为例)

 

filter-policy过滤接收路由,对进入RIP路由表的路由进行过滤(RIP),特点:既影响做策略的本机上的RIP路由表,又影响下游路由器的RIP表 

 

filter-policy过滤发送路由(RIP),特点:不影响做策略的本机上的RIP路由表,但影响下游路由器的RIP表 

总结:通过与ACL、地址前缀列表结合使用,  filter-policy可以对路由信息进行过滤

 

filter-policy过滤接收路由(以OSPF为例)

(1)特点:影响本机及下游路由器的OSPF表的学习,过滤本机及下游路由器的LSDB表中的LSA,在协议视图下配置进方向

 

 

 

方法2:在传入区域的区域视图下配置出方向,不影响本机ospf表的学习,但影响下游路由器ospf表的学习,过滤本机及下游路由器的LSDB表中的LSA

 

 

 

 

 

路由过滤总结:

5. 利用路由过滤可控制路由在网络内传播

6. ACL和地址前缀列表可用于路由信息的识别、筛选

7. 地址前缀列表比ACL更加灵活

8. 可利用  filter-policy工具在RIP、OSPF、IS-IS等协议内过滤路由

 

 

 

 

 

 

(5)route-policy---路由策略

 

三、路由策略

1、概念:

控制层流量 --- 路由协议传递路由信息产生的流量

数据层流量 --- 设备访问目标地址时产生的流量

2、定义:为了改变网络流量所经过的途径而修改路由信息的技术------控制层流量

3、作用:

    路由过滤;

    修改路由属性;

4、做路由策略的思路:

(1)抓取流量

通过ACL实现;

通过前缀列表(ip prefix)实现;

 

(2)做策略:对流量进行修改或者不转发

 

练习1:

前缀匹配列表:

ip ip-prefix aa permit 10.1.1.0 24 

route-policy policy_a  permit node 10

   if-match   ip-prefix aa

   apply cost 100

 

 

 

 

练习2:

匹配ACL:

acl 2002

rule permit source 10.2.2.0 0.0.0.255

route-policy policy_a  permit node 20

   if-match  acl 2002

   apply tag 20

 

 

练习3:route-policy policy_a  deny node 30

 

 

 

某个节点中没有写任何的if-match,则表示匹配所有路由,都会被拒绝掉

没有写任何的apply,则不对任何路由进行属性修改

 

 

 

练习4:

route-policy policy_a  deny node 30

if-match  acl 2002

if-match  acl 2003

apply cost 30

思考apply cost 30有意义吗?

 

 

9. 匹配规则:

规则:

(1)路由信息到达时,检查是否配置了路由策略,如果配置,则进入节点匹配;否则放行;

(2)检查路由策略第一个节点的if-match条件,匹配则检查节点动作是permit还是deny,如果是permit则进一步检查apply子句,有apply子句则执行路由属性修改并放行。没有apply子句则不修改属性并放行;如果是deny则不能通过。如果没有匹配该节点的if-match条件,则检查下一个节点

(3)最后一个节点仍不匹配,则拒绝该路由信息通过。

 

 

 

 

 

基本配置:

a.创建一个route-policy节点

route-policy route-policy-name { permit | deny } node node编号

节点之间的关系是“或”的关系,如果通过了其中一个节点,就意味着通过该路由策略,不再对其他节点进行匹配

b.配置if-match语句,使用if-match命令可定义匹配条件,所匹配的对象是路由信息的一些属性,例如路由的目的网络地址或掩码长度、度量值、标记或下一跳IP地址等

节点的匹配规则表:

 

 

 

c.配置apply 语句,执行语句

在 Route-Policy的节点视图下,使用apply命令指定需执行的动作,这些动作主要是对所匹配的路由的某些属性进行修改

apply执行动作表

 

10. 设置路由的度量值:apply cost  cost

11. 设置OSPF的度量值类型:apply cost-type { type-1 / type-2 }

12. 设置路由的标记:apply tag tag

注:一个节点中可以不包含任何 apply语句,此时该节点只被用于执行路由过滤,而不用于设置路由的属性

 

 

5、注意事项

13. route-policy用于路由过滤,不用配置空节点;

14. route-policy仅用于属性修改,需要配置空节点;

[R1]acl 2000

[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.1.255

 

[R1]route-policy aaa permit node 10

[R1-route-policy]if-match acl 2000

[R1-route-policy]apply cost 3000

 

[R1]route-policy aaa permit node 20    //配置空节点放行其他网段

 

 

15. route-policy能够配置的位置:

        IGP路由引入时;

        BGP宣告时;

        BGP路由引入;

        BGP邻接关系上;

 

 

6、route-policy的应用

(1)用route-policy来控制路由接收和发布时的属性

(2)用route-policy来控制路由的引入


http://www.kler.cn/a/304434.html

相关文章:

  • ubuntu 24.04-无域名创建本机和局域网和同网段局域网机器可访问的https网页服务
  • YoloV8改进策略:Head改进|DynamicHead,利用注意力机制统一目标检测头部|即插即用
  • 【ue5学习笔记2】在场景放入一个物体的蓝图输入事件无效?
  • microk8s使用
  • 计算机网络 八股青春版
  • jvm栈帧中的动态链接
  • 【基础知识复习 - 随机练习题】
  • 1935. 公交换乘(transfer)
  • 常用环境部署(二十)——docker部署OpenProject
  • 基于华为云服务器的网页部署
  • 【Android】使用和风天气API获取天气数据吧!(天气预报系列之一)
  • ARCGIS PRO DSK MapTool
  • 使用Azure Devops Pipeline将Docker应用部署到你的Raspberry Pi上
  • 【Hadoop|MapReduce篇】Hadoop序列化概述
  • LabVIEW FIFO详解
  • 分享六款小众宝藏软件,建议收藏!
  • golang os.Eixt的介绍和使用
  • 【C++】vector常见用法
  • 数字化大屏解决方案 - GoView
  • 如何通俗易懂的解释TON的智能合约
  • DolphinScheduler应用实战笔记
  • ROS2 Control controller_interface说明
  • 论文阅读笔记: DINOv2: Learning Robust Visual Features without Supervision
  • LOAM学习
  • camouflaged object detection中的decoder最核心的作用
  • Amazon EC2:灵活、可扩展的云计算解决方案