發(fā)布列表策略路由及戰(zhàn)略管理知識(shí)分析

1、分發(fā)列表分發(fā)列表 管理距離管理距離 策略路由策略路由分發(fā)列表分發(fā)列表分發(fā)列表能夠讓訪問(wèn)控制列表用于路由更新分發(fā)列表能夠讓訪問(wèn)控制列表用于路由更新采用發(fā)布列表進(jìn)行路由過(guò)濾：采用發(fā)布列表進(jìn)行路由過(guò)濾：CiscoIOS軟件可以通軟件可以通過(guò)訪問(wèn)控制列表過(guò)濾進(jìn)過(guò)訪問(wèn)控制列表過(guò)濾進(jìn)入的和外出的路由選擇入的和外出的路由選擇更新。更新。Using Route Filters12345路由過(guò)濾過(guò)程：路由過(guò)濾過(guò)程：1，路由器接收到一條路由選擇更新，或者準(zhǔn)備發(fā)送一條，路由器接收到一條路由選擇更新，或者準(zhǔn)備發(fā)送一條有關(guān)一個(gè)或多個(gè)網(wǎng)絡(luò)的更新；路由器查看相關(guān)的接口。有關(guān)一個(gè)或多個(gè)網(wǎng)絡(luò)的更新；路由器查看相關(guān)的接口。如果是

2、一個(gè)進(jìn)入的路由更新，那么將檢查此更新所到達(dá)的如果是一個(gè)進(jìn)入的路由更新，那么將檢查此更新所到達(dá)的接口；如果是一個(gè)要通告出去的更新，那么將檢查此更新接口；如果是一個(gè)要通告出去的更新，那么將檢查此更新將外出的接口。將外出的接口。2，路由器看是否有過(guò)濾器與此接口相關(guān)聯(lián)，如果有路由，路由器看是否有過(guò)濾器與此接口相關(guān)聯(lián)，如果有路由過(guò)濾器與此接口相關(guān)聯(lián)，路由器將查看訪問(wèn)列表以確定是過(guò)濾器與此接口相關(guān)聯(lián)，路由器將查看訪問(wèn)列表以確定是否有與給定路由更新相匹配的條目；否有與給定路由更新相匹配的條目；如果沒(méi)有路由過(guò)濾器如果沒(méi)有路由過(guò)濾器與此接口相關(guān)聯(lián)，那么路由更新數(shù)據(jù)包將照常處理。與此接口相關(guān)聯(lián)，那么路由更新數(shù)據(jù)包

3、將照常處理。3，如果存在一個(gè)匹配，那么這條路由將被按匹配條目所，如果存在一個(gè)匹配，那么這條路由將被按匹配條目所配置的那樣處理；如果在訪問(wèn)列表中沒(méi)有發(fā)現(xiàn)匹配，在訪配置的那樣處理；如果在訪問(wèn)列表中沒(méi)有發(fā)現(xiàn)匹配，在訪問(wèn)列表末尾的隱含問(wèn)列表末尾的隱含deny any，會(huì)使更新包被，會(huì)使更新包被DROP掉。掉。操作步驟操作步驟確定要過(guò)濾的網(wǎng)絡(luò)地址，創(chuàng)建一個(gè)訪問(wèn)控制列表確定要過(guò)濾的網(wǎng)絡(luò)地址，創(chuàng)建一個(gè)訪問(wèn)控制列表確定方向確定方向使用路由器的配置命令配置使用路由器的配置命令配置distribute-list accesslist-number | name out interfacename | routin

4、gprocess routing-process parameterRouter(config-router)#Configuring distribute-listdistribute-list accesslist-number | name | route-map map-tag in interface-type interface-numberRouter(config-router)# Use an access list (or route map) to permit or deny routes. Can be applied to transmitted, received

5、, or redistributed routing updates.For outbound updates:For inbound updates:例例1 本例不是路由重分布本例不是路由重分布網(wǎng)絡(luò)網(wǎng)絡(luò) 10.0.0.0對(duì)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)192.168.5.0要求隱藏要求隱藏例例2 防止重分布環(huán)路防止重分布環(huán)路Prevent a non-ISP (stub) AS from becoming a transit network by performing route advertisement filtering using access lists.router bgp 64500 networ

6、k 10.0.0.0 neighbor 192.168.1.1 remote-as 65000access-list 7 permit 10.0.0.0 0.255.255.255router bgp 64500 network 10.0.0.0 neighbor 172.16.1.1 remote-as 64900 access-list 7 permit 10.0.0.0 0.255.255.255Router ARouter BFilter BGP Advertisements to ISPs前綴列示例前綴列示例使用管理距離控制路由更新使用管理距離控制路由更新路由協(xié)議不同的時(shí)候，路由協(xié)議

7、不同的時(shí)候，Metric值不能比較值不能比較只能用管理距離來(lái)做路由取舍只能用管理距離來(lái)做路由取舍如果想用如果想用OSPF的路由更新，不用的路由更新，不用IGRP，怎么辦？，怎么辦？另外一個(gè)例子另外一個(gè)例子假設(shè)假設(shè)R0只想引用并修正第三條只想引用并修正第三條RIP路由，既路由，既211.141.3.0，怎么設(shè)置？怎么設(shè)置？策略路由策略路由路由可以分為三類(lèi)路由可以分為三類(lèi)策略路由策略路由靜態(tài)路由靜態(tài)路由動(dòng)態(tài)路由動(dòng)態(tài)路由策略路由的應(yīng)用策略路由的應(yīng)用在重分發(fā)期間進(jìn)行路由過(guò)濾。在重分發(fā)期間進(jìn)行路由過(guò)濾?；诓呗缘穆酚蛇x擇基于策略的路由選擇(根據(jù)信息的來(lái)源，類(lèi)型來(lái)確定路由根據(jù)信息的來(lái)源，類(lèi)型來(lái)確定路由)N

8、AT精細(xì)化控制精細(xì)化控制BGP路徑控制路徑控制策略路由和靜態(tài)路由的比較策略路由和靜態(tài)路由的比較策略路由策略路由靜態(tài)路由靜態(tài)路由手工配置手工配置根據(jù)根據(jù)“目的目的”或者或者“來(lái)源來(lái)源”地址指定地址指定路由路徑路由路徑策略路由也是一種靜態(tài)路由，但策略路由也是一種靜態(tài)路由，但是比普通靜態(tài)路由更有彈性是比普通靜態(tài)路由更有彈性根據(jù)根據(jù)“目的目的”地址，指定路由路徑地址，指定路由路徑路由映射表的工作原理路由映射表的工作原理l是一種復(fù)雜的訪問(wèn)列表，它使用是一種復(fù)雜的訪問(wèn)列表，它使用match命令來(lái)檢查分組命令來(lái)檢查分組或路由是否滿足指定的條件；如果滿足，則執(zhí)行某種操作或路由是否滿足指定的條件；如果滿足，則執(zhí)

9、行某種操作，以修改分組或路由的屬性，這些操作是由，以修改分組或路由的屬性，這些操作是由set命令指定命令指定的。的。l一組路由映射名稱(chēng)相同的的路由映射語(yǔ)句組成一個(gè)路由一組路由映射名稱(chēng)相同的的路由映射語(yǔ)句組成一個(gè)路由映射表；在路由映射表中，每條路由映射表語(yǔ)句都有編號(hào)映射表；在路由映射表中，每條路由映射表語(yǔ)句都有編號(hào)，可被分別編輯。，可被分別編輯。l路由映射表中指定條件類(lèi)似于在訪問(wèn)列表中指定源地址路由映射表中指定條件類(lèi)似于在訪問(wèn)列表中指定源地址，目標(biāo)地址和通配符掩碼；它們最大的區(qū)別是，在路由映，目標(biāo)地址和通配符掩碼；它們最大的區(qū)別是，在路由映射表，可以使用射表，可以使用SET命令來(lái)修改路由。命令來(lái)

10、修改路由。路由映射表的規(guī)則路由映射表的規(guī)則l缺省情況下一，缺省情況下一，route-map的參數(shù)為的參數(shù)為permit，序列號(hào)為，序列號(hào)為10。l路由映射表語(yǔ)句的序列號(hào)不自動(dòng)遞增，需要手工指定；路由映射表語(yǔ)句的序列號(hào)不自動(dòng)遞增，需要手工指定；序列號(hào)用于在路由映射表的特定位置插入或刪除語(yǔ)句。序列號(hào)用于在路由映射表的特定位置插入或刪除語(yǔ)句。l同一條同一條match語(yǔ)句中可包含多個(gè)條件；僅當(dāng)至少滿足其語(yǔ)句中可包含多個(gè)條件；僅當(dāng)至少滿足其中的一個(gè)條件時(shí)，整條中的一個(gè)條件時(shí)，整條match語(yǔ)句才可能匹配的。同一條語(yǔ)句才可能匹配的。同一條路由映射表語(yǔ)句中可能包含多條路由映射表語(yǔ)句中可能包含多條match語(yǔ)

11、句，僅當(dāng)其中所語(yǔ)句，僅當(dāng)其中所有的有的match條件都滿足時(shí)，整條路由映射表語(yǔ)句才被視為條件都滿足時(shí)，整條路由映射表語(yǔ)句才被視為匹配的。匹配的。l和訪問(wèn)列表一樣，路由映射表的末尾也有一條隱式的和訪問(wèn)列表一樣，路由映射表的末尾也有一條隱式的deny all語(yǔ)句。語(yǔ)句。Route map 命令命令策略路由的命令結(jié)構(gòu)策略路由的命令結(jié)構(gòu)Route map 命令結(jié)構(gòu)類(lèi)似于命令結(jié)構(gòu)類(lèi)似于if.then 的命令語(yǔ)句的命令語(yǔ)句If條件匹配，條件匹配，then 采取行動(dòng)采取行動(dòng)Route Map 單個(gè)匹配可能包含多個(gè)條件，多個(gè)條件之間的邏輯關(guān)系是單個(gè)匹配可能包含多個(gè)條件，多個(gè)條件之間的邏輯關(guān)系是or 如果有多個(gè)

12、匹配，那么匹配之間的邏輯關(guān)系是如果有多個(gè)匹配，那么匹配之間的邏輯關(guān)系是 AND.邏輯關(guān)系的例子邏輯關(guān)系的例子Route-map demo permint 10 match x y zMatch aSet bSet cRoute-map demo permit 20Match qSet rRoute-map demo permit 30同一個(gè)名稱(chēng)的不同編號(hào)，并且每個(gè)同一個(gè)名稱(chēng)的不同編號(hào)，并且每個(gè)編號(hào)下面多條匹配，他們之間的邏編號(hào)下面多條匹配，他們之間的邏輯關(guān)系是什么樣的？輯關(guān)系是什么樣的？If （x or y or z) and (a) match then set b and cElse if

13、 q match then set r Else set nothing redistribute protocol process id route-map map-tag router(config-router)# 允許用路由映射控制重發(fā)布的路由流量。允許用路由映射控制重發(fā)布的路由流量。Route Map 命令命令route-map map-tag permit | deny sequence-numberrouter(config)# 定義路由映射表的名稱(chēng)和編號(hào)及采取的措施。定義路由映射表的名稱(chēng)和編號(hào)及采取的措施。match conditions router(config-route

14、-map)# 定義要檢查的條件，如定義要檢查的條件，如BGP策略，策略，PBR，重分發(fā)過(guò)濾。，重分發(fā)過(guò)濾。set actions router(config-route-map)# 對(duì)匹配條件的路由，采取的措施或添加的特征，如對(duì)匹配條件的路由，采取的措施或添加的特征，如BGP屬性值屬性值match 命令命令router(config-route-map)#Match options options : ip address ip-access-list ip route-source ip-access-list ip next-hop ip-address-list interface ty

15、pe number metric metric-value route-type external | internal | level-1 | level-2 |local The match commands specify criteria to be matched. The associated route-map statement permits or denies the matching routes.set 命令命令router(config-route-map)#set options options : metric metric-value metric-type t

16、ype-1 | type-2 | internal | external level level-1 | level-2 | stub-area | backbone ip next-hop next-hop-address The set commands modify matching routes. Modifies parameters in redistributed routesbgp specific options : orgin bgp-origin-code weight bgp-weight local-preference bgp-path-attributes aut

17、omatic-tag策略路由應(yīng)用之一：策略路由應(yīng)用之一： 重分布的應(yīng)用重分布的應(yīng)用將具有跳數(shù)將具有跳數(shù)3的的RIP路由重分布到路由重分布到OSPF，并為他們?cè)O(shè)定特，并為他們?cè)O(shè)定特定定OSPF的路由屬性的路由屬性策略路由應(yīng)用之一：策略路由應(yīng)用之一： 重分布的應(yīng)用重分布的應(yīng)用將具有跳數(shù)將具有跳數(shù)3的的RIP路由重分布到路由重分布到OSPF，并為他們?cè)O(shè)定特，并為他們?cè)O(shè)定特定定OSPF的路由屬性的路由屬性命令過(guò)程命令過(guò)程 ：在邊界路由器上配置：在邊界路由器上配置策略路由應(yīng)用之一：策略路由應(yīng)用之一： 重分布的應(yīng)用重分布的應(yīng)用策略路由應(yīng)用之一：策略路由應(yīng)用之一： 重分布的應(yīng)用重分布的應(yīng)用策略路由應(yīng)用之一：

18、策略路由應(yīng)用之一： 重分布的應(yīng)用重分布的應(yīng)用Access-list 1 permit 192.168.1.0 0.0.0.255使用路由映射表避免路由反饋使用路由映射表避免路由反饋路由器路由器C中，中，RIPV2通告網(wǎng)絡(luò)通告網(wǎng)絡(luò)192.168.1.0;路由器將它重分路由器將它重分發(fā)到發(fā)到OSPF協(xié)議中；然后協(xié)議中；然后OSPF將其做為一條將其做為一條OSPF外部路外部路由，通告給由，通告給OSPF鄰居路由器；最后又回到了鄰居路由器；最后又回到了OSPF邊界邊界的一臺(tái)路由器上，這樣就形成了路由環(huán)路。的一臺(tái)路由器上，這樣就形成了路由環(huán)路。為了不允許為了不允許192.168.1.0的路由回到的路由回到RIP協(xié)議中，其它路由協(xié)議中，其它路由可以被重分布到可以被重分布到RIP中；可應(yīng)用路由映射表，中；可應(yīng)用路由映射表，10號(hào)拒絕號(hào)拒絕192網(wǎng)段，網(wǎng)段，20號(hào)放行所有網(wǎng)段。號(hào)放行所有網(wǎng)段。策略路由應(yīng)用之二：根據(jù)不同來(lái)源選擇不同出口策略路由應(yīng)用之二：根據(jù)不同來(lái)源選擇不同出口211.141.1.0的數(shù)據(jù)必須通過(guò)的數(shù)據(jù)必須通過(guò)R0的的S0口，流到口，流到ISP1，再流到，再流到Internet策略路由應(yīng)用之二：根據(jù)不同來(lái)源選擇不同出口策略路由應(yīng)用之二：根據(jù)不同來(lái)源選擇不同出口172.16.1.0的數(shù)據(jù)必須通過(guò)的數(shù)據(jù)必須通過(guò)R0的的S1口，流到口，流到ISP2，再流到，再流到Internet策