1、策略路由與路由策略原理,ISSUE 1.0,Page 1,如何對報文轉(zhuǎn)發(fā)的路徑進行有效控制?如何對發(fā)布、接收、引入的路由信息進行有效控制，提高網(wǎng)絡(luò)安全性?學完本課程之后您將會找到滿意的答案。,前 言,Page 2,學習指南,本課程全套資料包括培訓膠片、配套原理教材、多媒體課件、試題、演練案例和教師教學指導(dǎo)書，合理有效利用上述資料您將會取得良好的學習效果。,Page 3,參考資料,VRP 3.30 操作手冊、命令手冊,Page 4,目標,學習完此課程，您將會： 掌握策略路由基本原理 掌握路由策略基本原理,Page 5,第1章 策略路由原理 第2章 路由策略原理,Page 6,策略路由的引入,普通

2、的報文轉(zhuǎn)發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的。,display ip routing-table Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface 0.0.0.0/0 RIP 100 1 200.200.203.2 GE11/1/0 0.0.0.0/32 RIP 100 1 200.200.203.2 GE11/1/0 1.0.0.0/8 STATIC 60 0 11.110.0.1 Ethernet12/2/0 4.4.4.0/24 DIRECT 0 0 4.4.4.4 Ether

3、net12/2/0.200 4.4.4.4/32 DIRECT 0 0 127.0.0.1 InLoopBack0 5.0.0.0/8 RIP 100 1 200.200.203.2 GE11/1/0,Page 7,策略路由的引入(續(xù)),普通的報文轉(zhuǎn)發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的。 但是遇到如下情況如何解決？ 1、根據(jù)源IP來控制報文轉(zhuǎn)發(fā)。即控制來自PC1的報文通過接S1/0/0轉(zhuǎn)發(fā)，來自PC2的報文通過接口E1/2/0轉(zhuǎn)發(fā)口？ 2、根據(jù)報文的長度來控制報文轉(zhuǎn)發(fā)。 3、根據(jù)報文的其他屬性來控制報文轉(zhuǎn)發(fā)。,Page 8,策略路由概念,策略路由是一種依據(jù)用戶制定的策略進行路由選擇的機制，

4、與單純依照IP報文的目的地址查找路由表進行轉(zhuǎn)發(fā)不同，可應(yīng)用于安全、負載分擔等目的。 VRP策略路由支持基于acl包過濾、地址長度等信息，靈活地指定路由。而acl報文過濾則可以根據(jù)報文的源ip、目的ip、協(xié)議、端口號、優(yōu)先級、tos、時間段、vpn等各種豐富的信息將報文分類，然后控制將這些報文按照不同的路由轉(zhuǎn)發(fā)出去。,Page 9,策略路由的分類,按報文分類：分為單播策略路由（針對單播報文進行控制）和組播策略路由（只對組播報文進行控制）。,Page 10,策略路由的分類（續(xù)）,策略路由既可以應(yīng)用于被轉(zhuǎn)發(fā)的報文，又可以應(yīng)用于路由器本地產(chǎn)生的報文。前者稱為接口策略路由，后者稱為本地策略路由。 接口策

5、略路由只對轉(zhuǎn)發(fā)的報文起作用，對本地產(chǎn)生的報文（比如本地的ping報文）不起作用。而本地策略路由只對本地產(chǎn)生的報文起作用，對轉(zhuǎn)發(fā)的報文不起作用。 接口策略路由配置在接口視圖下。 本地產(chǎn)生的報文的策略路由配置在系統(tǒng)視圖下。 注意：組播策略路由只支持轉(zhuǎn)發(fā)的報文，不對路由器本機產(chǎn)生的報文進行策略路由。,Page 11,匹配原則概述,Route-policy : route_policy_name permit 10 : if-match acl 3000 if-match packet-length 100 500 apply output-interface Ethernet1/1/0 /有多個匹配

6、項 deny 20 : if-match acl 2000 /只有匹配項 permit 30 : if-match acl 3100 permit 40 : apply output-interface Ethernet1/1/0 /只有操作項 permit 50 : apply output-interface Ethernet1/1/0 deny 60 : /匹配項和操作項都沒有 permit 70 : permit 80 : if-match acl 3000 apply output-interface Ethernet1/1/0 serial1/0/0 apply ip-addres

7、s next-hop 1.1.1.1 /有多個操作項,Page 12,匹配項,匹配項就是if-match語句，根據(jù)這些匹配項將報文按照某個規(guī)則進行分類，分為滿足規(guī)則和不滿足規(guī)則兩類。,注意： 1、只有滿足所有的ifmatch，才算匹配，即各匹配條件是與的關(guān)系。 2、“匹配退出，不匹配繼續(xù)”的原則。即只要任意一個節(jié)點滿足匹配， 則不再繼續(xù)往下匹配，如果不匹配則繼續(xù)匹配下一個節(jié)點。,Page 13,操作項,操作項就是apply語句，也就是滿足匹配項的報文將怎么處理、從哪個接口轉(zhuǎn)發(fā)出去。,一個單播報文只能轉(zhuǎn)發(fā)一次， 即只能從某個接口轉(zhuǎn)發(fā)出去,Page 14,轉(zhuǎn)發(fā)接口的優(yōu)先級,策略路由的出接口,策略路

8、由的下一跳,路由表中下一跳,策略路由的缺省出接口,策略路由的缺省下一跳,低,高,轉(zhuǎn)發(fā)優(yōu)先級,以上只針對單播報文，不包括組播報文。 當配置有優(yōu)先級高的策略，則優(yōu)先級低的配置將被忽略。 單播策略路由可以同時配置兩個下一跳或設(shè)置兩個出接口，報文轉(zhuǎn)發(fā)將采用負載分擔的方式進行。,Page 15,報文匹配的其它策略,注意事項： 1、如果只添加一個節(jié)點而沒有任何匹配項和設(shè)置操作項，則所有報文都匹配，不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字不改變。 2、如果添加一個節(jié)點，只有匹配項，沒有設(shè)置操作項，則進行匹配，但不執(zhí)行相應(yīng)的操作，不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字不改變。 3、如果添加一個節(jié)點，沒有匹配

9、項，有設(shè)置操作項，則所有報文都匹配，根據(jù)permit/deny執(zhí)行相應(yīng)的操作，不再繼續(xù)往下匹配。但是策略路由的統(tǒng)計數(shù)字改變。,4、如果匹配項中使用的acl根本不存在，則缺省是不匹配任何報文。 5、當直接出接口指定為本地的以太網(wǎng)接口、子接口、Virtual-Template接口時，雖然從指定接口轉(zhuǎn)發(fā)，但不能正常通信，因為這幾個接口是廣播域，不能確定下一跳，因此必須指定為下一跳。 6、當配置deny的節(jié)點時，對于單播策略路由來說，節(jié)點的apply 命令行等于沒配置一樣，數(shù)據(jù)包將走正常單播路由表轉(zhuǎn)發(fā)，因此沒有deny的調(diào)試信息以及相應(yīng)的統(tǒng)計信息；對于組播策略路由來說，數(shù)據(jù)包將直接丟棄，不查詢組播路由

10、表，有deny的調(diào)試信息以及相應(yīng)的統(tǒng)計信息。,Page 16,單播報文轉(zhuǎn)發(fā)流程,Page 17,組播策略路由,和單播策略路由的區(qū)別： 1、報文不一樣。單播報文就是以A、B、C類ip地址為目的地址的報文，組播報文就是以224.0.0.0239.255.255.255 為目的地址的報文。 2、配置不一樣。組播策略路由的配置中apply必須包含acl。 3、配置作用域不一樣。單播策略路由的配置僅對單播報文起作用，組播策略路由的配置僅對組播報文起作用。即apply中包含有acl的對組播報文起作用，對單播報文不起作用； apply中不包含有acl的對單播報文起作用，對組播報文不起作用。 4、當單播同時配

11、置有出接口和下一跳時，則只從出接口轉(zhuǎn)發(fā)，不從下一跳轉(zhuǎn)發(fā)。當組播同時配置有出接口和下一跳時，則既從各個出接口轉(zhuǎn)發(fā)（可能有多個），也從各個下一跳轉(zhuǎn)發(fā)（也可能有多個），但是最多只能從64個接口轉(zhuǎn)發(fā)。,Page 18,組播轉(zhuǎn)發(fā)邊界,當一個接口配置了組播轉(zhuǎn)發(fā)邊界以后，從該接口接收的報文和從該接口發(fā)出的報文（包括本機發(fā)出的報文）都將按照配置的acl策略進行過濾。其中，對于從該接口接收的報文，先按照組播轉(zhuǎn)發(fā)邊界進行過濾，再執(zhí)行可能的組播策略路由處理。 組播轉(zhuǎn)發(fā)邊界可配置在所有支持組播報文轉(zhuǎn)發(fā)的接口上。在入接口和出接口都進行檢查。,組播轉(zhuǎn)發(fā)邊界配置 在接口視圖下： multicast packet-bound

12、ary acl-number 3000 打開debug multicast forwarding 可以察看報文的丟棄信息。,Page 19,組播轉(zhuǎn)發(fā)報文的最小TTL值,在接口上配置組播轉(zhuǎn)發(fā)報文的最小TTL值后，當要將一個報文從該接口轉(zhuǎn)發(fā)出去時（包括本機發(fā)出的報文），對接口上配置的最小TTL值進行檢查，若報文TTL值（報文TTL已在本路由器內(nèi)減1）大于接口上配置的最小TTL值，則轉(zhuǎn)發(fā)該報文；若報文TTL值小于或等于接口上配置的最小TTL值，則丟棄該報文。 組播轉(zhuǎn)發(fā)TTL值可配置在所有支持組播報文轉(zhuǎn)發(fā)的接口上。ttl檢測只有在出接口進行。,組播轉(zhuǎn)發(fā)報文的最小TTL值 在接口視圖下： multica

13、st minimum-ttl 200 打開debug multicast forwarding 可以察看報文的丟棄信息。,Page 20,組播報文策略路由的流程,Page 21,問題,請簡要描述單播報文轉(zhuǎn)發(fā)流程。 請簡要描述組播報文策略路由流程。,Page 22,第1章 策略路由原理 第2章 路由策略原理,Page 23,路由策略的作用,過濾路由信息的手段 發(fā)布路由信息時只發(fā)送部分信息 接收路由信息時只接收部分信息 進行路由引入時引入滿足特定條件的信息支持等值路由 設(shè)置路由協(xié)議引入的路由屬性,Page 24,策略相關(guān)的五種過濾器,路由策略（routing policy） 設(shè)定匹配條件，屬性匹配

14、后進行設(shè)置，由if-match和apply字句組成 訪問列表（access-list） 用于匹配路由信息的目的網(wǎng)段地址或下一跳地址，過濾不符合條件的路由信息 前綴列表（prefix-list） 匹配對象為路由信息的目的地址或直接作用于路由器對象（gateway） 自治系統(tǒng)路徑信息訪問列表（aspath-list） 僅用于BGP協(xié)議，匹配BGP路由信息的自治系統(tǒng)路徑域 團體屬性列表（community-list） 僅用于BGP協(xié)議，匹配BGP路由信息的自治系統(tǒng)團體域,Page 25,路由策略與過濾器的關(guān)系,在路由引入（import-route ）時使用routing policy routing

15、 policy由一系列的if-match子句和apply子句組成 匹配AS-path時使用AS-path list 匹配Community時使用Community list 匹配IP address時使用IP Prefix和Access list 在路由發(fā)布（export）和路由接收（import）時使用地址前綴列表（IP Prefix）和訪問控制列表 接收時：IP Prefix、Access list和Gateway（特定路由器） 發(fā)布時：IP Prefix和Access list,Page 26,路由策略的執(zhí)行規(guī)則,Page 27,AS正則表達式,Page 28,策略路由與路由策略的區(qū)別,策略路由與路由策略是兩個不同的概念，應(yīng)用領(lǐng)域不同。 策略路由主要是控制報文的轉(zhuǎn)發(fā)，即可以不按照路由表進行報文的轉(zhuǎn)發(fā)（因為一般報文的轉(zhuǎn)發(fā)要通過查找轉(zhuǎn)