ルーティング ポリシーの概要と設定例
-
意味
ルーティングポリシーは主にルーティングフィルタリングやルーティング属性などの設定機能を実現しており、ルーティング属性(到達性を含む)を変更することでネットワークトラフィックが通過する経路を変更します。
-
目的の利点
目的
ルーティング プロトコルは、ルーティング情報を発行、受信、インポートするときに、ルーティング情報をフィルタリングし、ルーティング情報の属性を変更するために、実際のネットワーク要件に従っていくつかの戦略を実装します。
-
ルートの受信と公開の制御
ルーティング テーブルの容量を制御し、ネットワーク セキュリティを向上させるために、必要かつ合法的なルーティング情報のみを公開および受信してください。
-
制御ルートのインポート
ルーティングプロトコルが、他のルーティングプロトコルが発見した経路情報をインポートして自身の経路情報を充実させる場合、条件を満たす一部の経路情報のみがインポートされます。
-
特定のルートのプロパティを設定する
独自のニーズに合わせて、ルーティング ポリシーによってフィルタリングされたルートの属性を変更します。
アドバンテージ
-
ルーターのルーティング テーブル サイズを制御してシステム リソースを節約する
-
ルートの受信、公開、インポートを制御することでネットワーク セキュリティを向上します
-
ルーティング属性を変更することで、ネットワーク データ フローを合理的に計画してネットワーク パフォーマンスを向上させることができます。
-
-
ルーティング ポリシーの基本原則
-
ルーティングポリシーの原則
ルーティングポリシーの原則
ルーティング ポリシーは、さまざまな一致条件と一致モードを使用してルートを選択し、ルート属性を変更します。特定のシナリオでは、ルーティング ポリシーの 6 つのフィルターを個別に使用して、ルーティング フィルターを実装することもできます。デバイスが BGP to IGP 機能をサポートしている場合、IGP が BGP ルートをインポートするときに、BGP プライベート属性を一致条件として使用することもできます。
ルーティングポリシーの概略図
ルーティング ポリシーには N≥1 個のノード (Node) が含まれます。ルートがルーティング ポリシーに入ると、ノード シーケンス番号の小さいものから大きいものまで、各ノードが一致するかどうかがチェックされます。一致条件は if-match 句で定義されます。デザイン ルーティング情報とルーティングポリシー 6種類のフィルタ
ルートがノードのすべてのIf-match句に一致すると、マッチング モードの選択に入り、他のノードと一致しなくなります。一致するモードには、許可と拒否の2 つがあります。
-
Permit: ルートの通過を許可し、ノードのApply句を実行してルート情報の一部の属性を設定します。
-
Deny: ルートは拒否されます
-
-
フィルター
ルーティング ポリシーの if-match 句のフィルタには、ACL、プレフィックス リスト、AS パス フィルタ、コミュニティ属性フィルタ、拡張コミュニティ属性フィルタ、RD 属性フィルタの 6 種類があります。
-
ACL
ACL は、パケット内の受信インターフェイス、送信元または宛先のアドレス、プロトコル タイプ、送信元または宛先のポート番号を一致条件として使用するフィルターであり、各ルーティング プロトコルがルートを公開および受信するときに独立して使用されます。Route-Policy のIf-match句では、基本 ACL のみがサポートされます。
-
アドレスプレフィックスリスト
アドレスプレフィックスリスト
-
アドレス プレフィックス リストは、元のアドレス、宛先アドレス、およびネクストホップ アドレスを一致条件のフィルターとして使用し、各ルーティング プロトコルがルートを発行および受信するときに独立して使用されます。
-
各アドレス プレフィックス リストには複数のインデックス (インデックス) が含まれており、各インデックスはノードに対応し、ルーティング インデックス番号が小さいものから大きいものまで順にチェックされ、各ノードが一致するかどうかが確認されます。いずれかのノードが正常に一致した場合、KIA ノードは確立されません。すべてのノードが Fail に一致すると、Lu yo がフィルタリングされます。
-
一致するプレフィックスに応じて、プレフィックス リストは正確に一致することも、マスク フィールドの特定の範囲内で一致することもできます。
-
IP アドレスが 0.0.0.0 の場合、ワイルドカード アドレスを意味します。つまり、マスク長の範囲内のすべてのルートが許可または拒否されることを意味します。
-
-
ASパスフィルター
AS パスフィルタは、BGP の AS_Path 属性を一致条件とするフィルタで、BGP が経路を広告・受信する際に単独で使用されます。
AS_Path 属性には、BGP ルートが通過するすべての AS 番号が記録されます。
-
コミュニティ属性フィルター
拡張コミュニティ属性フィルタは、BGP の拡張コミュニティ属性を一致条件とするフィルタで、BGP が経路を広告・受信する際に単独で使用されます。BGP のコミュニティ属性は、共通のプロパティを持つルートのグループを識別するために使用されます。
-
拡張コミュニティ属性フィルター
拡張コミュニティ属性フィルターは、BGP の拡張コミュニティ属性を一致条件とするフィルターで、VPN 構成での経路識別に VPN Target を使用する場合に単独で使用できます。
現在、拡張コミュニティ属性フィルターは、VPN 内の VPN ターゲット属性と一致するためにのみ適用されます。VPN ターゲット属性は、BGP/MPLS IP VPN ネットワーク内のサイト間の VPN ルーティング情報の配布と受信を制御します。
-
RD属性フィルター
RD コミュニティ属性フィルターは、VPN の RD 属性を一致条件とするフィルターで、VPN 構成で RD 属性を使用して経路を区別する場合に単独で使用できます。
VPN インスタンスは、ルーティング識別子 RD を通じてアドレス空間の独立性を実装し、同じアドレス空間を使用するプレフィックスを区別します。
-
-
BGPからIGPへ
-
BGP to IGP 機能により、IGP は BGP ルートのコミュニティ、Extcommunity、AS パスなどのプライベート属性を識別できるようになります。
-
ルーティング ポリシーは、IGP が BGP ルートをインポートするときに適用できます。デバイスが BGP to IGP 機能をサポートしている場合にのみ、BGP プライベート属性をルーティング ポリシーの一致条件として使用できます。デバイスが BGP to IGP 機能をサポートしていない場合、IGP は BGP ルートのプライベート属性を認識できないため、一致条件が失敗します。
-
-
-
ルーティングポリシーの設定例
-
受信経路と広告経路のフィルタリング例
ネットワーク要件
OSPF を実行しているネットワークでは、R1 はインターネットからルートを受信し、OSPF ネットワークにインターネット ルートを提供します。
必須
-
OSPF ネットワークでは、3 つのネットワークセグメント 172.16.17.0/24、172.16.18.0/24、172.16.19.0/24 のネットワークのみにアクセスできます。
-
R3 に接続されているネットワークは、172.16.18.0/24 ネットワーク セグメント内のネットワークにのみアクセスできます。
構成アイデア
-
R1 でルーティング ポリシーを設定し、ルートをアドバタイズするときにそのルーティング ポリシーを使用して、R1 がルート 172.16.17.0/24、172.16.18.0/24、および 172.16.19.0/24 のみを R2 に提供し、172.16.17.0 だけがアクセスできるようにします。 OSPF ネットワーク /24、172.16.18.0/24、および 172.16.19.0/24 の 3 つのネットワーク セグメントでアクセスできます。
-
R3 にルーティング ポリシーを設定し、ルートをインポートするときにそのルーティング ポリシーを使用して、R3 がルート 172.16.18.0/24 のみを受信し、R3 に接続されているネットワークが 172.16.18.0/24 ネットワーク セグメント内のネットワークにのみアクセスできるようにします。
構成:
基本的な OSPF 機能の設定
RouterA に 5 つのスタティック ルートを設定し、これらのスタティック ルートを OSPF にインポートします。
[AR1]ip route-static 172.16.16.0 24 NULL 0 [AR1]ip route-static 172.16.17.0 24 NULL 0 [AR1]ip route-static 172.16.18.0 24 NULL 0 [AR1]ip route-static 172.16.19.0 24 NULL 0 [AR1]ip route-static 172.16.20.0 24 NULL 0
-
ルート公開戦略
ルートアドバタイズメントポリシーを構成する
[AR1]ip ip-prefix 789 permit 172.16.17.0 24 [AR1]ip ip-prefix 789 permit 172.16.18.0 24 [AR1]ip ip-prefix 789 permit 172.16.19.0 24 [AR1]dis ip ip-prefix 789 Prefix-list 789 Permitted 0 Denied 0 index: 10 permit 172.16.17.0/24 index: 20 permit 172.16.18.0/24 index: 30 permit 172.16.19.0/24
R1 でリリース ポリシーを構成します。フィルタリングについてはアドレス プレフィックス リスト 789 を参照してください。
[R1-ospf-1] filter-policy ip-prefix a2b export static
他のルーターの IP ルーティング テーブルをチェックして、789 リストに定義されているものだけが受け入れられることを確認します。
Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 16 Routes : 16 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 172.16.17.0/24 O_ASE 150 1 D 192.168.12.1 GigabitEthernet 0/0/1 172.16.18.0/24 O_ASE 150 1 D 192.168.12.1 GigabitEthernet 0/0/1 172.16.19.0/24 O_ASE 150 1 D 192.168.12.1 GigabitEthernet 0/0/1 192.168.12.0/24 Direct 0 0 D 192.168.12.2 GigabitEthernet 0/0/1 192.168.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.23.0/24 Direc
-
ルート受信ポリシーを構成する
受信ポリシーが設定されていない場合
[AR3-ospf-1]dis ip routing-table Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 12 Routes : 12 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 172.16.17.0/24 O_ASE 150 1 D 192.168.23.2 GigabitEthernet 0/0/1 172.16.18.0/24 O_ASE 150 1 D 192.168.23.2 GigabitEthernet 0/0/1 172.16.19.0/24 O_ASE 150 1 D 192.168.23.2 GigabitEthernet 0/0/1 192.168.12.0/24 OSPF 10 2 D 192.168.23.2 GigabitEthernet 0/0/1 192.168.23.0/24 Direct 0 0 D 192.168.23.3 GigabitEthernet 0/0/1 192.168.23.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.24.0/24 OSPF 10 2 D 192.168.23.2 GigabitEthernet 0/0/1 255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
R3 でアドレス プレフィックス リストを構成する
[AR3]ospf 1 [AR3-ospf-1]filter-policy ip-prefix 18 import 查看路由表 [AR3-ospf-1]dis ip routing-table Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 8 Routes : 8 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 172.16.18.0/24 O_ASE 150 1 D 192.168.23.2 GigabitEthernet 0/0/1 192.168.23.0/24 Direct 0 0 D 192.168.23.3 GigabitEthernet 0/0/1 192.168.23.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 [AR3-ospf-1]
-
フィルターポリシーのインポート
リスト 789 で定義された 3 つのルートが OSPF ルーティング テーブルで受信されていることがわかります。
filter-policy importコマンドは、プロトコル ルーティング テーブルからローカル コア ルーティング テーブルに追加されたルートをフィルタリングするために使用されます。
R3のOSPFルーティングテーブルを表示する
[AR3-ospf-1]dis ospf routing OSPF Process 1 with Router ID 3.3.3.3 Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 192.168.23.0/24 1 Transit 192.168.23.3 3.3.3.3 0.0.0.0 192.168.12.0/24 2 Transit 192.168.23.2 1.1.1.1 0.0.0.0 192.168.24.0/24 2 Transit 192.168.23.2 2.2.2.2 0.0.0.0 Routing for ASEs Destination Cost Type Tag NextHop AdvRouter 172.16.17.0/24 1 Type2 1 192.168.23.2 1.1.1.1 172.16.18.0/24 1 Type2 1 192.168.23.2 1.1.1.1 172.16.19.0/24 1 Type2 1 192.168.23.2 1.1.1.1 Total Nets: 6 Intra Area: 3 Inter Area: 0 ASE: 3 NSSA: 0
-
-
ルートのインポート時にルーティング ポリシーを適用する
R1 と R2 は OSPF プロトコルを通じてルーティング情報を交換し、R2 と R3 は IS-IS プロトコルを通じてルーティング情報を交換します。IS-IS ネットワーク内のルートが R2 上の OSPF ネットワークにインポートされた後は、OSPF ネットワーク内のルート 172.17.1.0/24 のルート選択優先度が低くなる必要があります。ルート 172.17.2.0/24 には、将来のルーティング ポリシーの使用を容易にするための識別子
ネットワーク要件
構成アイデア
ルートをインポートするときに、次のアイデアを使用してルーティング ポリシーを構成します。
-
RouterB でルーティング ポリシーを設定し、ルート 172.17.1.0/24 のコストを 100 に設定し、OSPF が IS-IS ルートをインポートするときにルーティング ポリシーを適用します。
-
RouterB でルーティング ポリシーを設定し、ルート 172.17.2.0/24 のタグ属性を 20 に設定し、OSPF が IS-IS ルートをインポートするときにルーティング ポリシーを適用します。これにより、ルート 172.17.2.0/24 に識別子が付けられます。将来ルーティング ポリシーを使用する場合に便利です
構成:
-
AR1
# sysname AR1 # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 192.168.12.1 255.255.255.0 # interface GigabitEthernet0/0/1 # interface GigabitEthernet0/0/2 # interface NULL0 # ospf 1 router-id 1.1.1.1 area 0.0.0.0 network 192.168.12.0 0.0.0.255 # user-interface con 0 authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return
-
AR2
# sysname AR2 # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # isis 1 is-level level-2 network-entity 49.0000.0000.0002.00 # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 192.168.23.2 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.12.2 255.255.255.0 # interface GigabitEthernet0/0/2 # interface NULL0 # ospf 1 router-id 2.2.2.2 import-route isis 1 area 0.0.0.0 network 192.168.12.0 0.0.0.255 # user-interface con 0 authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return
-
AR3
# sysname AR3 # board add 0/4 4GET # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # isis 1 is-level level-2 network-entity 49.0000.0000.0003.00 # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 # interface GigabitEthernet0/0/1 ip address 192.168.23.3 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/2 # interface GigabitEthernet4/0/0 # interface GigabitEthernet4/0/1 ip address 172.17.1.1 255.255.255.0 isis enable 1 # interface GigabitEthernet4/0/2 ip address 172.17.2.1 255.255.255.0 isis enable 1 # interface GigabitEthernet4/0/3 ip address 172.17.3.1 255.255.255.0 isis enable 1 # interface NULL0 # user-interface con 0 authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return
-
AR1のOSPFルーティングテーブルを確認する
R1 の OSPF ルーティング テーブルを確認すると、インポートされたルートが表示されます。
<AR1>dis ospf routing OSPF Process 1 with Router ID 1.1.1.1 Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 192.168.12.0/24 1 Transit 192.168.12.1 1.1.1.1 0.0.0.0 Routing for ASEs Destination Cost Type Tag NextHop AdvRouter 172.17.1.0/24 1 Type2 1 192.168.12.2 2.2.2.2 172.17.2.0/24 1 Type2 1 192.168.12.2 2.2.2.2 172.17.3.0/24 1 Type2 1 192.168.12.2 2.2.2.2 192.168.23.0/24 1 Type2 1 192.168.12.2 2.2.2.2 Total Nets: 5 Intra Area: 1 Inter Area: 0 ASE: 4 NSSA: 0 <AR1>
-
フィルタリストの設定
AR2
マッチングルールの原則
[AR2]ip ip-prefix 171 index 10 permit 172.17.1.0 24 [AR2]ip ip-prefix 172 index 10 permit 172.17.2.0 24 #匹配172.17.1.0 24 修改cost为100 [AR2]route-policy isisospf permit node 10 [AR2-route-policy]if-match ip-prefix 171 [AR2-route-policy]apply cost 100 #匹配172.17.2.0 24 修改tag为20 [AR2]route-policy isisospf permit node 20 [AR2-route-policy]if-match ip-prefix 172 [AR2-route-policy]apply tag 20 也可用访问控制列表匹配 acl 2002 rule permit source 172.17.2.0 0.0.0.255 acl 2001 rule permit source 172.17.1.0 0.0.0.255 route-policy isisospf permit node 20 if-match acl 2001 apply cost 100 route-policy isisospf permit node 20 if-match acl 2002 apply tag 20 #匹配其它路由 不修改属性 [AR2]route-policy isisospf permit node 30 [AR2-ospf-1]import-route isis 1 route-policy isisospf
-
AR の OSPF ルーティング テーブルを表示する
<AR1>dis ospf routing OSPF Process 1 with Router ID 1.1.1.1 Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 192.168.12.0/24 1 Transit 192.168.12.1 1.1.1.1 0.0.0.0 Routing for ASEs Destination Cost Type Tag NextHop AdvRouter 172.17.1.0/24 100 Type2 1 192.168.12.2 2.2.2.2 172.17.2.0/24 1 Type2 20 192.168.12.2 2.2.2.2 172.17.3.0/24 1 Type2 1 192.168.12.2 2.2.2.2 192.168.23.0/24 1 Type2 1 192.168.12.2 2.2.2.2 Total Nets: 5 Intra Area: 1 Inter Area: 0 ASE: 4 NSSA: 0
-
-