路由控制、引入、策略

数通 · 2023-03-23 · 515 人浏览
路由控制、引入、策略

路由过滤

路由过滤的作用

控制路由的传播与生成
节省设备和链路资源消耗,保护网络安全

路由过滤的方法

image-1667972712198

  • 过滤路由协议报文,对所有的路由进行过滤
  • 过滤路由协议报文中携带的路由信息(过滤LSA)可指定过滤率某些路由,会影响下游所有的路由器
  • 对LSDB计算出的路由信息进行过滤,可指定过滤某些路由

实施路由过滤的工具

【匹配工具】

  1. acl[访问控制列表]
  2. prefix-list[地址前缀列表]

【过滤工具】

  1. filter-policy:用于过滤计算出的路由信息,filter用于过滤协议报文传递带的路由信息
  2. Route-policy:用于过滤计算出的路由信息,用于修改路由属性
  3. 静默接口:用于过滤协议报文

静默接口 silent

RIP协议中,静默接口不发送路由更新
OSPF协议中,静默接口不发送Hello报文
大多数配置静默接口的场景是业务网段不希望收到协议报文的时候

地址前缀列表 prefix-list

image-1667976715650
基本上和ACL一样,但当规则中没有指定掩码长度时候,目的IP和掩码是精准匹配,只有目的IP和掩码一模一样的路由才会匹配
当规则中指定了掩码长度条件时,目的IP和掩码描述的是一个网络范围
配置流程

ip prefix-list [Name] index [序号] deny/permit [ip address] [netmask] greater-equal(大于等于) [netmask] less-equal(小于等于) [netmask]
例如:
ip prefix-list test permit 10.0.0.0 24 less-equal 32 
#指的是所有10.0.0.0/24范围内的路由通过过滤,其他路由不能通过,子网掩码从24开始,并且小于32位子网掩码之间匹配

filer-policy

可以通过与ACL或地址前缀列表配合使用
具体操作

[协议]filter-policy [acl number / perfix-name] import / export
例如:
acl basic [num] 
rule [num] permit/deny [source/destination] 192.168.1.0 0.0.0.255 
[协议]filer-policy [acl number] import / export
或者:
prefix-list [name] index [id] [address] [netmask] greater-equal / less-equal [netmask]
[协议]filer-policy prefix-list [name] import / export

路由策略

路由策略Routing Policy

路由策略是为了改变网络中流量所经过的途径而修改路由信息的技术
Route-policy是实现路由策略的工具包

路由策略的匹配流程

image-1667985338309
【1】 首先路由信息到达,检查是否配置了路由策略,是则进入匹配,否则直接放行
【2】 检查路由策略第一个节点的if-match条件,匹配则检查节点操作,permit则进一步检查子节点apply的内容,deny则不能通过,不匹配则检查下一个节点
【3】 最后一个任不匹配则不通过

匹配机制

node节点和节点之间是“或 or”关系,所有节点中只需要匹配一个
一个节点中的多个if-match条件是“与”关系,需要所有条件同时满足

常见匹配规则表(if-match):
image-1667989330808
常见执行操作表(apply):
image-1667989466681

路由策略的组成

image-1667984600326

#例如:
route-policy [Name] permit/deny node [ID]
#创建一个叫NAME的节点,设置节点的规则默认为放行/拒绝 节点为[ID]
[节点内]if-match ip address prefix-list/acl [rule-id]
[节点内]apply cost 100
[节点内]apply
#进行节点判断,如果ip address匹配地址前缀列表[rule-id]的规则
#更改cost值为100
#打上一个为20的tag
route-polocy [Name] deny/permit node [ID]
#如果一个节点内没有任何子节点比如if-match等,就是空节点,那么他默认匹配所有,不做任何处理,

路由策略的一些注意事项

route-policy用于路由过滤,则不用配置空节点
route-policy仅用于路由器属性的修改,则需要配置空节点,来方向其他所有路由
关于route-policy能够配置的位置
IGP路由引入时
BGP路由宣告时
BGP路由引入时
BGP邻接关系上

路由策略的一些常用命令

route-policy [Name] permit/deny node [id] 
#创建路由策略节点
if-match *
#配置匹配条件
apply *
#配置执行动作
display route-policy
#查看路由策略

路由引入

什么是路由引入

是指,把路由从一种协议导入到另一种协议
或把路由在同一种协议的不同进程间引入
注意:
只在必要时才使用多路由协议
且路由引入一定是在配置在同时运行了引入协议和被引入协议的设备上
路由引入时把一台路由器的路由表中的某一种来源的路由导入到另一个协议,默认不会引入直连路由

路由协议的规划:

边缘>引入到核心:
边缘通过配置默认路由或做路由聚合来产生到达核心区域的路由
IGP引入到BGP:
IGP内部通过配置默认路由或者路由聚合来产生达到其他AS的路由

路由引入的规划

引入点又分单边界引入、多边界引入

单边界引入:

单边界路由器
单边界路由,ABR单节点压力较大,可靠性不高

多边界引入:

多边界路由
多边界路由,拥有多台引入节点,可靠性有了,但容易产生环路

路由引入的方向

单向引入
双向引入

路由引入的问题

不同协议的度量值不同,引入后的cost值默认重置为1 ,不会保留原有cost
多边界双向引入会导致环路路由的形成,解决办法:
使用路由策略,对引入的路由加上Tag标签,根据Tag标签值来选择引出路由

路由引入的配置

结合我们的路由策略来配置

[区域]import-rout [protocol] [id] all-processes | allow-ibgp | allow-driect | cost [cost] | nassa-only | route-policy [route-policy-name] tag [tag] type [type] #配置OSPF引入外部路由
default cost [cost] tag [tag] type [type] #修改引入路由的缺省度量值
ospf-router-advertise [always | permit-calculate-other | cost [Cost] | route-policy [name] | type [Type] | summary cost [cost]] #配置OSPF引入缺省路由
always,如果本机没有配置默认路由,使用此参数可以参数一个描述默认路由的一个LSA发布出去
Cost为改默认路由的度量值
type为LSA的类型

https://upyun.breezecloud.cn/img/network.webp

Theme Jasmine by Kent Liao