Introdução à política de roteamento e exemplos de configuração
-
definição
A política de roteamento realiza principalmente funções de configuração, como filtragem de roteamento e atributos de roteamento. Ela altera o caminho pelo qual o tráfego de rede passa, alterando os atributos de roteamento (incluindo a acessibilidade).
-
vantagem de propósito
Propósito
Quando o protocolo de roteamento publica, recebe e importa informações de roteamento, ele implementa algumas estratégias de acordo com os requisitos de rede reais para filtrar as informações de roteamento e alterar os atributos das informações de roteamento, como:
-
Controle de recebimento e publicação de rotas
Publique e receba apenas as informações de roteamento necessárias e legais para controlar a capacidade da tabela de roteamento e melhorar a segurança da rede.
-
Importando rotas de controle
Quando um protocolo de roteamento importa informações de roteamento descobertas por outros protocolos de roteamento para enriquecer suas próprias informações de roteamento, apenas uma parte das informações de roteamento que atende às condições é importada.
-
Definir propriedades para uma rota específica
Modifique os atributos das rotas filtradas pela política de roteamento para atender às suas próprias necessidades.
Vantagem
-
Economize recursos do sistema controlando o tamanho da tabela de roteamento do roteador
-
Melhore a segurança da rede controlando o recebimento, publicação e importação de rotas
-
Ao modificar os atributos de roteamento, o fluxo de dados da rede pode ser razoavelmente planejado para melhorar o desempenho da rede
-
-
Princípios básicos das políticas de roteamento
-
Princípio da política de roteamento
Princípio da política de roteamento
As políticas de roteamento usam diferentes condições de correspondência e modos de correspondência para selecionar rotas e alterar atributos de rota. Em cenários específicos, os seis filtros da política de roteamento também podem ser usados independentemente para implementar a filtragem de roteamento. Se o dispositivo suportar a função BGP para IGP, ele também pode usar atributos privados BGP como condições de correspondência quando o IGP importa rotas BGP.
Diagrama esquemático da política de roteamento
Uma política de roteamento contém N≥1 nós (Node). Depois que a rota entra na política de roteamento, ela verifica se cada nó corresponde de acordo com o número de sequência do nó de pequeno a grande. As condições de correspondência são definidas por cláusulas if-match. Design de roteamento política de informação e roteamento 6 tipo de filtro
Quando a rota corresponde com sucesso a todas as cláusulas If-match do nó , ela entra na seleção do modo de correspondência e não corresponde mais a outros nós. Existem dois modos de correspondência : permitir e negar :
-
Permissão: A rota terá permissão para passar e executar a cláusula Apply do nó para definir alguns atributos das informações da rota
-
Negar: a rota será rejeitada
-
-
filtro
Os seis tipos de filtros na cláusula if-match na política de roteamento incluem ACL, lista de prefixos, filtro de caminho AS, filtro de atributo de comunidade, filtro de atributo de comunidade estendida e filtro de atributo RD
-
ACL
ACL é um filtro que usa a interface de entrada, endereço de origem ou destino, tipo de protocolo e número de porta de origem ou destino em um pacote como uma condição de correspondência.É usado independentemente quando cada protocolo de roteamento publica e recebe rotas. Apenas ACLs básicas são suportadas na cláusula If-match de Route-Policy .
-
lista de prefixos de endereços
lista de prefixos de endereços
-
A lista de prefixos de endereço usa o endereço original, o endereço de destino e o endereço do próximo salto como um filtro para condições de correspondência e é usado independentemente quando cada protocolo de roteamento publica e recebe rotas.
-
Cada lista de prefixos de endereço contém vários índices (índice), cada índice corresponde a um nó e os números do índice de roteamento são verificados em ordem de pequeno a grande para ver se cada nó corresponde. Se algum nó corresponder com sucesso, o nó KIA não será verificado novamente. Se todos os nós corresponderem a falha, Lu yo será filtrado
-
Dependendo dos prefixos correspondentes, a lista de prefixos pode corresponder exatamente ou dentro de um determinado intervalo de campos de máscara
-
Quando o endereço IP é 0.0.0.0, significa um endereço curinga, o que significa que todas as rotas dentro do intervalo de comprimento da máscara são permitidas ou negadas.
-
-
filtro de caminho AS
O filtro de caminho AS é um filtro que usa o atributo AS_Path no BGP como uma condição de correspondência e é usado sozinho quando o BGP anuncia e recebe rotas.
O atributo AS_Path registra todos os números AS pelos quais as rotas BGP passam.
-
filtro de atributo da comunidade
O filtro de atributo de comunidade estendida é um filtro que usa o atributo de comunidade estendida no BGP como a condição de correspondência e é usado sozinho quando o BGP anuncia e recebe rotas. O atributo community do BGP é usado para identificar um grupo de rotas com propriedades comuns
-
Filtro de atributo de comunidade estendido
O filtro de atributo de comunidade estendida é um filtro que usa o atributo de comunidade estendida no BGP como a condição de correspondência e pode ser usado sozinho ao usar o VPN Target para distinguir rotas na configuração de VPN.
Atualmente, o filtro de atributo de comunidade estendido é aplicado apenas para corresponder ao atributo de destino da VPN na VPN. O atributo Alvo VPN controla a distribuição e recepção de informações de roteamento VPN entre sites em uma rede VPN IP BGP/MPLS.
-
filtro de atributo RD
O filtro de atributo de comunidade RD é um filtro que usa o atributo RD na VPN como condição de correspondência, podendo ser usado sozinho ao usar o atributo RD para distinguir rotas na configuração VPN.
A instância VPN implementa a independência do espaço de endereço por meio do identificador de roteamento RD e distingue os prefixos usando o mesmo espaço de endereço.
-
-
BGP para IGP
-
A função BGP para IGP permite que o IGP identifique atributos privados como Comunidade, Extcommunity e AS-Path de rotas BGP.
-
As políticas de roteamento podem ser aplicadas quando o IGP importa rotas BGP. Somente quando o dispositivo suporta a função BGP para IGP, o atributo privado BGP pode ser usado como a condição correspondente na política de roteamento. Se o dispositivo não suportar a função BGP para IGP, o IGP não poderá reconhecer o atributo privado da rota BGP, o que fará com que a condição de correspondência falhe.
-
-
-
Exemplo de configuração de política de roteamento
-
Exemplo de filtragem de rotas recebidas e anunciadas
Requisitos de rede
Em uma rede executando OSPF, R1 recebe rotas da Internet e fornece rotas da Internet para a rede OSPF.
Exigir
-
Na rede OSPF, somente as redes dos três segmentos de rede 172.16.17.0/24, 172.16.18.0/24 e 172.16.19.0/24 podem ser acessadas.
-
A rede conectada ao R3 só pode acessar a rede no segmento de rede 172.16.18.0/24.
Ideias de configuração
-
Configure uma política de roteamento em R1 e use a política de roteamento ao anunciar rotas, para que R1 forneça apenas as rotas 172.16.17.0/24, 172.16.18.0/24 e 172.16.19.0/24 para R2, para que apenas 172.16.17.0 possa ser acessado na rede OSPF /24, 172.16.18.0/24 e 172.16.19.0/24 três segmentos de rede.
-
Configure uma política de roteamento em R3 e use a política de roteamento ao importar rotas para que R3 receba apenas a rota 172.16.18.0/24 e a rede conectada a R3 possa acessar apenas a rede no segmento de rede 172.16.18.0/24.
Configuração:
Configurando funções OSPF básicas
Configure 5 rotas estáticas no RouterA e importe essas rotas estáticas para o OSPF
[AR1]ip route-static 172.16.16.0 24 NULL 0 [AR1]ip route-static 172.16.17.0 24 NULL 0 [AR1]ip route-static 172.16.18.0 24 NULL 0 [AR1]ip route-static 172.16.19.0 24 NULL 0 [AR1]ip route-static 172.16.20.0 24 NULL 0-
Estratégia de publicação de rota
Configurar política de anúncio de rota
[AR1]ip ip-prefix 789 permit 172.16.17.0 24 [AR1]ip ip-prefix 789 permit 172.16.18.0 24 [AR1]ip ip-prefix 789 permit 172.16.19.0 24 [AR1]dis ip ip-prefix 789 Prefix-list 789 Permitted 0 Denied 0 index: 10 permit 172.16.17.0/24 index: 20 permit 172.16.18.0/24 index: 30 permit 172.16.19.0/24Configure a política de liberação em R1, consulte a lista de prefixos de endereço 789 para filtragem
[R1-ospf-1] filter-policy ip-prefix a2b export staticVerifique a tabela de roteamento IP em outros roteadores para ver se apenas os definidos na lista 789 são aceitos
Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 16 Routes : 16 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 172.16.17.0/24 O_ASE 150 1 D 192.168.12.1 GigabitEthernet 0/0/1 172.16.18.0/24 O_ASE 150 1 D 192.168.12.1 GigabitEthernet 0/0/1 172.16.19.0/24 O_ASE 150 1 D 192.168.12.1 GigabitEthernet 0/0/1 192.168.12.0/24 Direct 0 0 D 192.168.12.2 GigabitEthernet 0/0/1 192.168.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.23.0/24 Direc -
Configurar política de recebimento de rota
Quando nenhuma política de recebimento está configurada
[AR3-ospf-1]dis ip routing-table Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 12 Routes : 12 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 172.16.17.0/24 O_ASE 150 1 D 192.168.23.2 GigabitEthernet 0/0/1 172.16.18.0/24 O_ASE 150 1 D 192.168.23.2 GigabitEthernet 0/0/1 172.16.19.0/24 O_ASE 150 1 D 192.168.23.2 GigabitEthernet 0/0/1 192.168.12.0/24 OSPF 10 2 D 192.168.23.2 GigabitEthernet 0/0/1 192.168.23.0/24 Direct 0 0 D 192.168.23.3 GigabitEthernet 0/0/1 192.168.23.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.24.0/24 OSPF 10 2 D 192.168.23.2 GigabitEthernet 0/0/1 255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0Configurar a lista de prefixos de endereço em R3
[AR3]ospf 1 [AR3-ospf-1]filter-policy ip-prefix 18 import 查看路由表 [AR3-ospf-1]dis ip routing-table Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 8 Routes : 8 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 172.16.18.0/24 O_ASE 150 1 D 192.168.23.2 GigabitEthernet 0/0/1 192.168.23.0/24 Direct 0 0 D 192.168.23.3 GigabitEthernet 0/0/1 192.168.23.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 192.168.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 [AR3-ospf-1] -
importação de política de filtro
Pode-se ver que três rotas definidas na lista 789 são recebidas na tabela de roteamento OSPF
O comando filter-policy import é usado para filtrar as rotas adicionadas à tabela de roteamento de núcleo local da tabela de roteamento de protocolo.
Visualize a tabela de roteamento OSPF de R3
[AR3-ospf-1]dis ospf routing OSPF Process 1 with Router ID 3.3.3.3 Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 192.168.23.0/24 1 Transit 192.168.23.3 3.3.3.3 0.0.0.0 192.168.12.0/24 2 Transit 192.168.23.2 1.1.1.1 0.0.0.0 192.168.24.0/24 2 Transit 192.168.23.2 2.2.2.2 0.0.0.0 Routing for ASEs Destination Cost Type Tag NextHop AdvRouter 172.16.17.0/24 1 Type2 1 192.168.23.2 1.1.1.1 172.16.18.0/24 1 Type2 1 192.168.23.2 1.1.1.1 172.16.19.0/24 1 Type2 1 192.168.23.2 1.1.1.1 Total Nets: 6 Intra Area: 3 Inter Area: 0 ASE: 3 NSSA: 0
-
-
Aplicar políticas de roteamento ao importar rotas
R1 e R2 trocam informações de roteamento por meio do protocolo OSPF, e R2 e R3 trocam informações de roteamento por meio do protocolo IS-IS. É necessário que, após as rotas na rede IS-IS serem importadas para a rede OSPF em R2, a prioridade de seleção de rota da rota 172.17.1.0/24 na rede OSPF seja menor; a rota 172.17.2.0/24 tem um identificador para facilitar o uso de políticas de roteamento no futuro
Requisitos de rede
Ideias de configuração
Use as seguintes ideias para configurar a política de roteamento ao importar rotas:
-
Configure uma política de roteamento no RouterB, defina o custo da rota 172.17.1.0/24 para 100 e aplique a política de roteamento quando o OSPF importar rotas IS-IS.
-
Configure uma política de roteamento no RouterB, defina o atributo Tag da rota 172.17.2.0/24 como 20 e aplique a política de roteamento quando o OSPF importar rotas IS-IS, para que a rota 172.17.2.0/24 tenha um identificador, que é conveniente para usar a política de roteamento no futuro
Configuração:
-
AR1
# sysname AR1 # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 192.168.12.1 255.255.255.0 # interface GigabitEthernet0/0/1 # interface GigabitEthernet0/0/2 # interface NULL0 # ospf 1 router-id 1.1.1.1 area 0.0.0.0 network 192.168.12.0 0.0.0.255 # user-interface con 0 authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return -
AR2
# sysname AR2 # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # isis 1 is-level level-2 network-entity 49.0000.0000.0002.00 # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 192.168.23.2 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.12.2 255.255.255.0 # interface GigabitEthernet0/0/2 # interface NULL0 # ospf 1 router-id 2.2.2.2 import-route isis 1 area 0.0.0.0 network 192.168.12.0 0.0.0.255 # user-interface con 0 authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return -
AR3
# sysname AR3 # board add 0/4 4GET # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # isis 1 is-level level-2 network-entity 49.0000.0000.0003.00 # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 # interface GigabitEthernet0/0/1 ip address 192.168.23.3 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/2 # interface GigabitEthernet4/0/0 # interface GigabitEthernet4/0/1 ip address 172.17.1.1 255.255.255.0 isis enable 1 # interface GigabitEthernet4/0/2 ip address 172.17.2.1 255.255.255.0 isis enable 1 # interface GigabitEthernet4/0/3 ip address 172.17.3.1 255.255.255.0 isis enable 1 # interface NULL0 # user-interface con 0 authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return -
Verifique a tabela de roteamento OSPF de AR1
Verifique a tabela de roteamento OSPF de R1 e você poderá ver as rotas importadas.
<AR1>dis ospf routing OSPF Process 1 with Router ID 1.1.1.1 Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 192.168.12.0/24 1 Transit 192.168.12.1 1.1.1.1 0.0.0.0 Routing for ASEs Destination Cost Type Tag NextHop AdvRouter 172.17.1.0/24 1 Type2 1 192.168.12.2 2.2.2.2 172.17.2.0/24 1 Type2 1 192.168.12.2 2.2.2.2 172.17.3.0/24 1 Type2 1 192.168.12.2 2.2.2.2 192.168.23.0/24 1 Type2 1 192.168.12.2 2.2.2.2 Total Nets: 5 Intra Area: 1 Inter Area: 0 ASE: 4 NSSA: 0 <AR1> -
Configurar lista de filtros
AR2
Princípio das regras de correspondência
[AR2]ip ip-prefix 171 index 10 permit 172.17.1.0 24 [AR2]ip ip-prefix 172 index 10 permit 172.17.2.0 24 #匹配172.17.1.0 24 修改cost为100 [AR2]route-policy isisospf permit node 10 [AR2-route-policy]if-match ip-prefix 171 [AR2-route-policy]apply cost 100 #匹配172.17.2.0 24 修改tag为20 [AR2]route-policy isisospf permit node 20 [AR2-route-policy]if-match ip-prefix 172 [AR2-route-policy]apply tag 20 也可用访问控制列表匹配 acl 2002 rule permit source 172.17.2.0 0.0.0.255 acl 2001 rule permit source 172.17.1.0 0.0.0.255 route-policy isisospf permit node 20 if-match acl 2001 apply cost 100 route-policy isisospf permit node 20 if-match acl 2002 apply tag 20 #匹配其它路由 不修改属性 [AR2]route-policy isisospf permit node 30 [AR2-ospf-1]import-route isis 1 route-policy isisospf -
Visualize a tabela de roteamento OSPF do AR
<AR1>dis ospf routing OSPF Process 1 with Router ID 1.1.1.1 Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 192.168.12.0/24 1 Transit 192.168.12.1 1.1.1.1 0.0.0.0 Routing for ASEs Destination Cost Type Tag NextHop AdvRouter 172.17.1.0/24 100 Type2 1 192.168.12.2 2.2.2.2 172.17.2.0/24 1 Type2 20 192.168.12.2 2.2.2.2 172.17.3.0/24 1 Type2 1 192.168.12.2 2.2.2.2 192.168.23.0/24 1 Type2 1 192.168.12.2 2.2.2.2 Total Nets: 5 Intra Area: 1 Inter Area: 0 ASE: 4 NSSA: 0
-
-