單元6：實施路由策略，優(yōu)化路由表《高級路由技術(shù)》(理論篇）主講教師：XXX技術(shù)背景多種不同的路由協(xié)議的應(yīng)用適應(yīng)了大規(guī)模園區(qū)網(wǎng)組網(wǎng)需求。在多園區(qū)的網(wǎng)絡(luò)部署中，實施一定的路由策略，保障網(wǎng)絡(luò)中路由更新安全，避免網(wǎng)絡(luò)中路由安全隱患產(chǎn)生。多園區(qū)的網(wǎng)絡(luò)部署中，存在有多種路由協(xié)議，通過實施路由策略，不僅可以提高路由更新的效率，優(yōu)化園區(qū)網(wǎng)性能，還是可以有效保護(hù)網(wǎng)絡(luò)安全。學(xué)習(xí)目標(biāo)認(rèn)識園區(qū)網(wǎng)中路由策略技術(shù)：被動接口、單播更新、分發(fā)列表、配置前綴列表、調(diào)整AD值等會區(qū)別路由策略和策略路由會配置路由策略，優(yōu)化網(wǎng)絡(luò)傳輸6.1路由策略技術(shù)原理路由器依據(jù)路由表轉(zhuǎn)發(fā)IP數(shù)據(jù)包，它根據(jù)所收到的IP數(shù)據(jù)包中目標(biāo)IP地址與路由表的匹配，匹配成功后，直接轉(zhuǎn)發(fā)到下一跳路由器。通過在路由器上實施路由策略，進(jìn)一步篩選路由表。對符合條件的路由條目，修改其路由屬性，來執(zhí)行相應(yīng)轉(zhuǎn)發(fā)策略，如允許通過、拒絕通過、接收、引入等操作，通過實施路由策略，篩選出部分的IP數(shù)據(jù)報文，按照規(guī)定的策略進(jìn)行轉(zhuǎn)發(fā)。6.1.1了解路由策略技術(shù)6.1路由策略技術(shù)原理路由策略的用途之一是：對路由通告施加嚴(yán)格控制，保障路由器在多個路由選擇協(xié)議之間能互相共享路由，并確保路由沿著指定的方向通告路由。出于安全考慮，在連接兩個子域的邊界路由器上實施路由策略，僅讓子域B中的部分路由傳播到子域A中。通過配置路由策略，減少不必要路由傳播，優(yōu)化B域內(nèi)路由表。6.1.1了解路由策略技術(shù)6.1路由策略技術(shù)原理運(yùn)行距離矢量協(xié)議的路由器基于路由表通告路由，路由策略會選擇符合條件的路由，通告給鄰居路由器，實施路由通告和更新。運(yùn)行鏈路狀態(tài)協(xié)議的路由器基于接受到鏈路狀態(tài)數(shù)據(jù)庫（LSDB），計算生成路由表，而不是基于鄰居路由器直接通告路由條目，因此，路由策略對LSA通告或LSDB沒有影響。所以，路由策略對鄰居路由器的路由表影響需要考慮實際情況決定。在OSPF路由協(xié)議內(nèi)部，路由策略的作用有限。但在OSPF的自治域邊界路由器ASBR上，由于需要引入外部的路由條目，在ASBR路由器上實施路由策略，可以控制那些進(jìn)入或離開該域的路由，因此影響較大。6.1.2路由策略內(nèi)容6.1路由策略技術(shù)原理路由策略中“路由”是名詞，“策略”是動詞，也即路由策略中應(yīng)用的策略。其操作的對象是路由信息。路由策略實現(xiàn)路由表中部分路由過濾，設(shè)置路由表中部分路由的屬性等操作，通過改變路由表中路由的屬性（包括可達(dá)性），改變路由路徑。通過實施路由策略，實現(xiàn)路由表中路由過濾和路由屬性設(shè)置等功能，通過修改路由屬性（包括可達(dá)性），來執(zhí)行相應(yīng)的策略動作。6.1.3區(qū)別路由策略和策略路由6.1路由策略技術(shù)原理在實施路由策略中，通過改變路由屬性，對路由控制與過濾。在傳統(tǒng)路由轉(zhuǎn)發(fā)中，只能依據(jù)IP數(shù)據(jù)包中目的地址轉(zhuǎn)發(fā)，無法滿足特殊過濾需求。在出現(xiàn)基于源地址、協(xié)議或者應(yīng)用等復(fù)雜路由策略有局限性，配合策略路由技術(shù)實施路由過濾，使用Traffic-filter對路由進(jìn)行過濾。策略路由根據(jù)用戶定義策略，進(jìn)行報文轉(zhuǎn)發(fā)和選路策略路由，不僅根據(jù)報文的目的地址，還能根據(jù)接受IP數(shù)據(jù)報文源地址、報文大小以及傳輸鏈路質(zhì)量等，制定策略路由，改變數(shù)據(jù)包轉(zhuǎn)發(fā)路徑。6.1.3區(qū)別路由策略和策略路由6.2了解路由策略控制技術(shù)被動接口（Passive-interface）將一個特定接口設(shè)為被動狀態(tài)，特定動態(tài)路由協(xié)議發(fā)出路由更新，不會從這個接口發(fā)送出去，實現(xiàn)了路由傳播范圍控制。為了防止本地網(wǎng)絡(luò)中的路由器，通過路由協(xié)議動態(tài)學(xué)習(xí)到園區(qū)網(wǎng)中其它路由，可以在指定接口上配置被動接口Passive-interface技術(shù)，不允許部分路由更新報文從該接口發(fā)送出去。6.2.1被動接口6.2了解路由策略控制技術(shù)被動接口技術(shù)阻止指定接口上發(fā)送的指定協(xié)議的路由更新。配置為被動接口也不參與路由計算。如果某一個接口配置為Passive-interface被動接口，該接口在OSPF路由計算中就表現(xiàn)為一個殘余網(wǎng)絡(luò)，該接口將不再發(fā)送任何路由更新信息，也不接收路由更新。在OSPF路由學(xué)習(xí)中，如果某接口上配置Passive-interface技術(shù)，該接口將不發(fā)送OSPF協(xié)議的Hello報文，所以該接口就不可能有鄰居的存在，也不交換路由。6.2.1被動接口6.2了解路由策略控制技術(shù)匯聚層交換機(jī)GS_SW和核心交換機(jī)CO_SW之間通過OSPF路由連通，在匯聚交換機(jī)GS_SW上通告連接VLAN子網(wǎng)段，以便核心交換機(jī)學(xué)習(xí)到相關(guān)路由。匯聚交換機(jī)GS_SW在OSPF進(jìn)程宣告VLAN子網(wǎng)段，相應(yīng)SVI接口向所有VLAN泛洪Hello報文，匯聚層交換機(jī)下連接二層接入交換機(jī)。需要在匯聚交換機(jī)GS_SW啟用Passive-interface予以屏蔽。6.2.1被動接口6.2了解路由策略控制技術(shù)使用單播地址來代替廣播和組播。在距離矢量路由協(xié)議路由學(xué)習(xí)中，RIPv1路由使用廣播地址（255.255.255.255）更新，RIPv2使用組播地址（224.0.0.9）更新，無論是RIPv1還是RIPv2，都可實施單播更新技術(shù)。開啟RIP單播更新，RIP除使用單播更新外，還可以組播和廣播更新。開啟單播更新后，RIP路由更新沒有減少，反而增加。但有種特殊情況，在RIP協(xié)議中配置某個接口為被動接口，抑制從某個接口上發(fā)送路由更新，被動接口不能抑制單播更新，只能抑制廣播和組播。6.2.2單播更新6.2了解路由策略控制技術(shù)IP訪問控制列表與接口相關(guān)聯(lián)，控制網(wǎng)絡(luò)中IP數(shù)據(jù)包分流。如果為當(dāng)前分發(fā)列表配置一個IP訪問控制列表時，可以控制路由選擇更新。通過把分發(fā)列表技術(shù)（Distribute-list）應(yīng)用在路由選擇和更新的過程中，決定哪些路由將被加入路由表或通過更新發(fā)送出去。將IP訪問控制列表和分發(fā)列表技術(shù)（Distribute-list）有機(jī)結(jié)合起來，則可以用來允許、拒絕部分路由條目的選擇更新。6.2.3分發(fā)列表6.2了解路由策略控制技術(shù)分發(fā)列表技術(shù)是用于控制路由更新的工具，但分發(fā)列表技術(shù)只能過濾路由信息，不能過濾LSA鏈路通告消息。在距離矢量路由協(xié)議中，分發(fā)列表技術(shù)無論是使用in或out方向，都能過濾路由；但在鏈路狀態(tài)路由中，依靠LSA鏈路通告生成路由表機(jī)制，導(dǎo)致分發(fā)列表技術(shù)應(yīng)用效果不明顯。6.2.3分發(fā)列表6.2了解路由策略控制技術(shù)在距離矢量路由協(xié)議，路由器之間傳遞是路由條目，分發(fā)列表對路由條目信息有絕對控制權(quán)。如果在接口in方向上部署分發(fā)列表，可過濾特定路由，使執(zhí)行分發(fā)列表路由器上路由表發(fā)生變化。本地路由器將更新過的路由信息傳播給下游，更新的內(nèi)容是經(jīng)過分發(fā)列表過濾后路由條目。在接口out方向上部署分發(fā)列表，實現(xiàn)上述同樣效果。6.2.3分發(fā)列表6.2了解路由策略控制技術(shù)在out方向上，分發(fā)列表只能應(yīng)用在ASBR路由器，且只能針對外部引入路由起作用，因此，分發(fā)列表在這個場合下能實現(xiàn)路由過濾。否則，如果不是本地始發(fā)的外部路由，或者是內(nèi)部的OSPF路由，out方向的分發(fā)列表均沒有效果。場景中在ASBRR1上實施路由重分發(fā)技術(shù)。在out方向上，實施分發(fā)列表過濾掉1.1.1.0/24外部路由。在R1路由器上重發(fā)布進(jìn)路由，更新到路由器R2，在out方向上使用分發(fā)列表，阻擋R3路由器接受1.1.1.0/24外部路由，因為OSPF域內(nèi)使用LSA通告計算路由，則沒有方法實現(xiàn)，因為不是本地始發(fā)路由。6.2.3分發(fā)列表6.2了解路由策略控制技術(shù)在R2路由器的FastEthernet0/0入接口上，應(yīng)用ACL1規(guī)則控制路由分發(fā)，導(dǎo)致路由器R2上的路由表里，過濾掉來自192.168.3.0/24網(wǎng)絡(luò)的路由條目。這時候，OSPF路由器產(chǎn)生該條路由的LSA通告，已經(jīng)記錄在R2路由器的LSDB中。而在R2路由器從DR路由器上復(fù)制LSDB表信息，在本地計算路由。在將計算完成的路由條目，記錄進(jìn)路由表之前，這時，in方向的分發(fā)列表發(fā)生作用，將192.168.3.0/24的路由過濾掉。因此，在路由器R2的路由表中，就沒有該條OSPF路由。6.2.3分發(fā)列表6.2了解路由策略控制技術(shù)IP前綴列表（ipPrefix-list）匹配網(wǎng)絡(luò)前綴以及掩碼。Prefix-list技術(shù)不同于匹配IP數(shù)據(jù)流量的IPACL，IP前綴列表主要用來指定具體的網(wǎng)絡(luò)可達(dá)，不僅可以匹配網(wǎng)絡(luò)號，還可以匹配掩碼。因為可以匹配掩碼，所以還經(jīng)常用來匹配路由條目。Prefix-list技術(shù)保留了IPACL的多項重要特性，實施網(wǎng)絡(luò)中特點信息的數(shù)據(jù)包的過濾。但由于IP前綴列表（ipPrefix-list）技術(shù)在應(yīng)用過程，占用CPU的資源比采用IPACL技術(shù)要少很多。6.2.4配置前綴列表6.2了解路由策略控制技術(shù)如果一臺運(yùn)行RIP和OSPF路由器，分別通過二種不同路由協(xié)議，學(xué)習(xí)到達(dá)目標(biāo)網(wǎng)絡(luò)172.16.0.0/16路由條目。由于OSPF路由協(xié)議具有更高的路由可信度，因此，通過OSPF路由協(xié)議學(xué)習(xí)到的172.16.0.0/16路由信息將被放在路由表中。在自治域邊界路由器上，把來自RIP路由域中路由條目重分發(fā)到到OSPF路由，在OSPF路由中設(shè)置一個比RIP路由協(xié)議更高管理距離；或在RIP路由協(xié)議中設(shè)置為一個比OSPF更低管理距離，指定路由條目在傳輸?shù)侥繕?biāo)網(wǎng)絡(luò)，能選擇到達(dá)目的網(wǎng)絡(luò)最佳傳輸路徑。6.2.5調(diào)整AD值6.2了解路由策略控制技術(shù)通過配置RouterA路由器上的RIP管理距離，使得RouterA路由器只學(xué)到RouterB路由器通告路由，忽略路由器RouterC所有通告，從RouterB學(xué)到路由管理距離為99。將默認(rèn)情況下所有路由器通過RIP協(xié)議學(xué)到路由管理距離全部設(shè)置為255，只有RouterB路由器通告路由管理距離設(shè)為99。6.2.5調(diào)整AD值【網(wǎng)絡(luò)實踐】:啟用Passive-interface，優(yōu)化網(wǎng)絡(luò)配置XXX園區(qū)網(wǎng)絡(luò)的出口區(qū)域，使用多臺路由器之間互相連接，通過全部啟用RIPv2路由協(xié)議實現(xiàn)全網(wǎng)互連互通。由于安全需求，需要在路由器RouterB的Fa0/1接口上啟用passive-interface，優(yōu)化網(wǎng)絡(luò)配置，保護(hù)網(wǎng)絡(luò)安全?！救蝿?wù)描述】【設(shè)計過程】省略好好學(xué)習(xí)天天向上單元7：使用策略路由，優(yōu)化傳輸路徑《高級路由技術(shù)》(理論篇）主講教師：XXX技術(shù)背景某園區(qū)網(wǎng)出口的網(wǎng)絡(luò)場景中，要求銷售部門使用電信線路上網(wǎng)，其他部門使用聯(lián)通線路上網(wǎng)。在出口網(wǎng)絡(luò)中使用基于策略路由，根據(jù)IP數(shù)據(jù)包源地址、目的地址、源端口、目的端口和協(xié)議類型，實現(xiàn)園區(qū)網(wǎng)出口網(wǎng)絡(luò)中發(fā)出的IP數(shù)據(jù)報文，根據(jù)需要選擇不同傳輸路徑。學(xué)習(xí)目標(biāo)認(rèn)識園區(qū)網(wǎng)中策略路由技術(shù)原理會配置策略路由，優(yōu)化傳輸路徑7.1了解策略路由路由器收到報文，查看IP報頭目標(biāo)地址，匹配路由表，是否有到達(dá)該目標(biāo)網(wǎng)絡(luò)路由。如果路由表有到達(dá)目標(biāo)網(wǎng)絡(luò)路由條目；路由器進(jìn)行精確匹配，找到一條指導(dǎo)IP報文傳輸路徑。如果沒有匹配到達(dá)目標(biāo)網(wǎng)絡(luò)的路由條目，路由器會直接丟棄該報文。7.1.1傳統(tǒng)路由選路原則7.1了解策略路由如果路由器通過同一種路由學(xué)習(xí)到多條網(wǎng)絡(luò)地址與掩碼都相同路由。路由器比較每條路由度量值，在多條路徑間選擇一條到達(dá)目標(biāo)網(wǎng)絡(luò)最短路徑。一條路由度量值是10，另一條度量值是20。路由器選擇度量值小路由，作為匹配轉(zhuǎn)發(fā)路徑，度量值越小，意味著路徑越可靠。7.1.1傳統(tǒng)路由選路原則7.1了解策略路由策略路由是一種基于策略的路由選擇機(jī)制，它比基于目標(biāo)地址的路由選擇機(jī)制，能提供更加靈活的數(shù)據(jù)包轉(zhuǎn)發(fā)機(jī)制。策略路由通過在路由器中配置路由圖，定義路由策略決定一個IP數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器，并通過在路由器上應(yīng)用策略路由，指引IP數(shù)據(jù)包轉(zhuǎn)發(fā)路徑，獲得更高的轉(zhuǎn)發(fā)效率。7.1.2基于策略路由選路機(jī)制7.1了解策略路由基于策略路由轉(zhuǎn)發(fā)技術(shù)，比傳統(tǒng)路由提供更強(qiáng)IP數(shù)據(jù)包控制能力，通過制定路由圖中策略，能夠根據(jù)IP報文的源地址、目的地址、源端口、目的端口、協(xié)議類型、報文大小等報文特征，制定園區(qū)網(wǎng)中IP數(shù)據(jù)包轉(zhuǎn)發(fā)策略，選擇不同轉(zhuǎn)發(fā)路徑分流數(shù)據(jù)報文。7.1.2基于策略路由選路機(jī)制7.2配置策略路由策略路由通過以下操作，完成特征IP數(shù)據(jù)流匹配，應(yīng)用策略，匹配路由表后，實施基于策略的IP數(shù)據(jù)包轉(zhuǎn)發(fā)過程?；诓呗缘穆酚杉夹g(shù)，在匹配IP數(shù)據(jù)包轉(zhuǎn)發(fā)過程中，使用技術(shù)如下所示。通過route-map定義匹配數(shù)據(jù)，執(zhí)行規(guī)定策略。通過route-map名字，關(guān)聯(lián)一些有序條目，按照序號大小順序查找匹配。匹配成功立刻結(jié)束route-map查找，執(zhí)行規(guī)定策略。通過match語句，檢查數(shù)據(jù)是否匹配。通過set語句，執(zhí)行策略。通過Pemit表示執(zhí)行策略，deny表示不執(zhí)行策略。通過Route-map每個條目，都被賦予編號，可以任意