51CTO下载-IP路由策略配置

第6章IP路由策略配置6.1IP路由策略简介路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤，比如只接收或发布一部分满足给定条件的路由信息；一种路由协议（如RIP）可能需要引入（import）其它的路由协议（如OSPF）发现的路由信息，从而丰富自己的路由知识；路由器在引入其它路由协议的路由信息时，可能需要只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则，可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、发布路由信息的路由器地址等。匹配规则可以预先设置好，然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。在路由器中，提供了Route-policy、acl、as-path、community-list和ip-prefix五种过滤器供路由协议引用。下面对各种过滤器逐个进行介绍。1.Route-policy用于匹配给定路由信息的某些属性，并在条件满足后对该路由信息的某些属性进行设置。一个Route-policy可以由多个节点（node）构成，每个节点是进行匹配测试的一个单元，节点间依据顺序号（node-number）进行匹配。每个节点可以由一组if-match和apply子句组成。if-match子句定义匹配规则，匹配对象是路由信息的一些属性。同一节点中的不同if-match子句是“与”的关系，只有满足节点内所有if-match子句指定的匹配条件，才能通过该节点的匹配测试。apply子句指定动作，也就是在通过节点的匹配测试后所执行的动作——对路由信息的一些属性进行设置。一个Route-policy的不同节点间是“或”的关系，系统依次检查Route-policy的各个节点，如果通过了Route-policy的某一节点，就意味着通过该Route-policy的匹配测试（不进入下一个节点的测试）。2.访问控制列表（ACL）访问控制列表分为四类：高级访问控制列表、基本访问控制列表、基于接口的访问控制列表和MAC地址过滤列表。在对路由信息过滤时，一般使用基本访问控制列表和高级访问控制列表。若使用基本访问控制列表，在定义访问列表时指定一个源IP地址或子网的范围，用于匹配路由信息的源地址。如使用高级访问列表，则可以使用协议类型、源/目的地址或端口号等多种参数匹配路由信息。ACL的有关配置请参见本手册“安全”部分的防火墙配置。3.前缀列表（ip-prefix）前缀列表ip-prefix的作用类似于ACL，但比它更为灵活，且更易于为用户理解。ip-prefix在应用于路由信息的过滤时，其匹配对象为路由信息的目的地址信息域；另外在ip-prefix中，用户可以指定gateway选项，指明只接收某些路由器发布的路由信息。一个ip-prefix由前缀列表名标识。每个前缀列表可以包含多个表项，每个表项可以独立指定一个网络前缀形式的匹配范围，并用一个index-number来标识，index-number指明了在ip-prefix中进行匹配检查的顺序。在匹配的过程中，路由器按升序依次检查由index-number标识的各个表项，只要有某一表项满足条件，就意味着通过该ip-prefix的过滤（不会进入下一个表项的测试）。4.自治系统路径信息访问列表（as-path-acl）自治系统路径信息访问列表as-path仅用于BGP。BGP的路由信息包中包含一个自治系统路径域（在BGP交换路由信息的过程中，路由信息经过的自治系统路径会记录在这个域中），as-path就是针对自治系统路径域指定匹配条件。有关as-path的配置请用户参见“第5章BGP配置”中的ipas-path-acl命令。5.团体属性列表（community-list）团体属性列表community-list仅用于BGP。在BGP的路由信息包中，包含一个community属性域，用来标识一个团体。community-list就是针对团体属性域指定匹配条件。有关community-list的配置请用户参见“第5章BGP配置”中的ipcommunity-list命令。6.2IP路由策略配置路由策略可以通过两种方式来实现，一是通过过滤列表，如ACL、ip-prefix、as-path-acl、community-list等，直接实现路由或路由属性的过滤；另一种是通过配置Route-policy，对满足匹配条件的路由的属性进行设置。本章中的配置包括：(1)配置路由过滤定义地址前缀列表或ACL配置对接收到的路由进行过滤引入其它路由协议发现的路由（仅OSPF路由过滤需要配置）配置对发布的路由（对OSPF指引入路由）进行过滤(2)通过Route-policy实现路由策略定义Route-policy定义Route-policy的if-match子句定义Route-policy的apply子句通过Route-policy对引入的路由进行过滤有关BGP通过as-path-acl，community-list实现的路由过滤，请参见第5章BGP配置。6.2.1配置路由过滤1.定义过滤条件(1)定义地址前缀列表一个ip-prefix由前缀列表名标识。每个前缀列表可以包含多个表项，每个表项可以独立指定一个网络前缀形式的匹配范围，并用一个index-number来标识，index-number指明了在ip-prefix中进行匹配检查的顺序。请在系统视图下进行下列配置。表6-1定义地址前缀列表操作命令定义地址前缀列表ipip-prefixip-prefix-name[indexindex-number]{permit|deny}networklen[greater-equalgreater-equal|less-equalless-equal]*取消地址前缀列表undoipip-prefixip-prefix-name[indexindex-number|permit|deny]在匹配的过程中，路由器按升序依次检查由index-number标识的各个表项，只要有某一表项满足条件，就意味着通过该ip-prefix的过滤（不会进入下一个表项的测试）。需要注意的是：如果定义了一个以上的前缀列表表项，那么至少应该有一个表项的匹配模式是permit模式。deny模式的表项可以先被定义以快速的过滤掉不符合条件的路由信息，但如果所有表项都是deny模式，则任何路由都不会通过该地址前缀列表的过滤。可以在定义了多条deny模式的表项后定义一条permit0.0.0.0/0greater-equal0less-equal32的表项以允许其它所有路由信息通过。例如，按如下配置可以保证仅过滤掉10.1.0.0，10.2.0.0，10.3.0.0三个网段的路由，而其它网段的路由信息可以通过。[H3C]ipip-prefix1deny10.1.0.016[H3C]ipip-prefix2deny10.2.0.016[H3C]ipip-prefix3deny10.3.0.016[H3C]ipip-prefix4permit0.0.0.00greater-equal0less-equal32(2)定义访问控制列表请参见本手册的“安全”部分。2.配置对接收的路由进行过滤请在路由协议视图下进行下列配置。定义一条策略规则，通过对一个ACL或地址前缀列表的引用实现在接收路由过程中对不满足条件的路由信息进行过滤。gateway指定只接收来自特定邻居路由器的更新报文。表6-2配置对接收路由的过滤操作命令配置对接收的指定地址发布的路由信息进行过滤filter-policygatewayip-prefix-nameimport取消对接收的指定地址发布的路由信息进行过滤undofilter-policygatewayip-prefix-nameimport操作命令配置对接收的全局路由信息进行过滤filter-policy{acl-number|ip-prefixip-prefix-name[gateway]}import取消对接收的全局路由信息进行过滤undofilter-policy{acl-number|ip-prefixip-prefix-name[gateway]}importfilter-policyimport是对接收到的本路由协议（由所在的协议视图决定）的路由进行过滤，并阻止其将路由信息加入到路由表中。当在一个进行路由导入的路由器上使用此命令时，它不能用来阻止从其它路由协议引入的路由，因为在这之前此路由条目已经出现在路由表中。对于链路状态协议来说，它只能阻止将路由条目加入到路由表中，无法对LSA进行过滤，所以相关的LSA还会被通告到邻居。RIP和BGP协议是对邻居发来的路由表直接过滤。3.引入其它路由协议发现的路由信息路由协议可以引入其它路由协议发现的路由来丰富自己的路由知识。在引入其它协议路由信息时，可以通过Route-policy来进行路由信息的过滤，实现有选择的引入。进行引入操作的目标路由协议如果不能直接引用原路由协议的路由权值，需要为引入的路由指定一个路由权以满足本协议的要求。请在路由协议视图下进行下列配置。表6-3引入其它协议路由操作命令设置引入其它协议的路由import-routeprotocol[medmed|costcost][tagvalue][type{1|2}]取消引入其它协议的路由的设置undoimport-routeprotocol缺省情况下，不引入其它协议的路由信息。说明：在不同的路由协议视图下，可选的参数也有所区别，具体情况请分别参考手册中相应路由协议的import-route命令。4.配置对发布的路由进行过滤定义一条有关路由发布的策略规则，通过对一个ACL或地址前缀列表的引用实现在路由发布的过程中过滤不满足条件的路由信息，通过指定routing-process实现仅过滤发布的routing-process的路由信息。请在路由协议视图下进行下列配置。表6-4配置对发布路由的过滤操作命令配置对发布路由的过滤filter-policy{acl-number|ip-prefixip-prefix-name}export[routing-process]取消对发布路由的过滤undofilter-policy{acl-number|ip-prefixip-prefix-name}export[routing-process]filter-policyexport对于OSPF来说，是对引入的路由进行过滤，要与import-route命令结合使用，否则失效。当指定routing-process时，可以对特定类型的引入路由信息进行过滤。如果没有指定，则对所有引入的路由进行过滤。对RIP和BGP来说，即使没有import-route命令，它也会对路由表过滤，可以看作是对发布的路由进行过滤。目前，路由策略支持将如下协议发现的路由接收到路由表中：direct：本机接口直接相连的网段（或主机）路由。static：静态配置的路由。rip：RIP发现的路由。ospf：OSPF协议发现的路由。ospf-ase：OSPF协议发现的外部路由。ospf-nssa：OSPF协议发现的NSSA区域路由。bgp：BGP获得的路由。缺省情况下，不对接收与发布的路由进行过滤。6.2.2通过Route-policy实现路由策略1.定义Route-policy一个Route-policy可由多个节点构成，每个节点是进行匹配检查的一个单元，节点间依据顺序号sequence-number标识检查顺序。请在系统视图下进行下列配置。表6-5定义Route-policy操作命令进入路由策略视图route-policyroute-policy-name{permit|deny}nodenode-number删除指定的Route-policyundoroute-policyroute