boxmoe_header_banner_img

⋅無⋅限⋅進⋅步⋅

加载中

POST
文章导读
[Huawei]HCIP-Datacom

路由策略与路由控制

avatar
yuhui 2025年10月22日 46
0 评论

路由策略与路由控制

实施一些路由策略对路由信息进行过滤、属性设置等操作,通过对德鲁伊的控制,可以影响数据流量转发。

路由策略并非单一的技术或者协议,而是一个技术专题或方法论,包含多种工具及方法

路由控制概述:

需要工具在引入路由时进行限制


路由控制可以通过路由策略(Route-Policy)实现,应用灵活广泛

1、控制路由的发布:对发布的路由进行过滤,只发布满足条件的路由

2、控制路由的接受:对接受的路由进行过滤,只接受满足条件的路由

3、控制路由的引入:控制从其他路由协议引入的路由条目,职业满足条件的路由才会被引入

1741833257824-adf6b7cf-83b9-498a-b3ce-3739d461f7e9.png

路由控制工具:

路由匹配工具:

1、访问控制列表ACL(Acess Control List):一个匹配工具,能够对报文及路由进行匹配和区分

ACL由若干条permit和deny语句组成,每条语句都是一条规则,进行相应的处理动作

1741833257942-a8463be5-f098-4bf9-b622-88ae2e5052fe.png

1741833258044-a62606f4-37dd-4cbd-a2ab-bf9a02a2d2df.png

通配符:

当进行IP地址匹配的时候,后面会跟着32位掩码位,这32位称为通配符

点分十进制格式,换算成二进制后 0表示匹配 1表示不匹配 1或者0可以不连续

1741833257859-351c6372-c91c-4ba4-a3e2-4ac89d6b3091.png

ACL的分类与基本ACL:

1741833257900-7873a401-af1c-4051-bf8b-c3201767ca1e.png

1741833261171-1f259c76-8195-4d23-a86e-dd13239a7304.png

对于使用ACL进行路由匹配的场景,用户只能使用ACL


ACL的匹配机制:

配置ACL的设备接受报文后 会将该报文与ACL中的规则逐条进行匹配,如果不能匹配上,就会继续尝试去匹配下一条规则

一旦匹配上 则 设备会对该报文执行 这条规则中定义的处理动作,并且不再继续尝试与后续规则匹配

流程:

1、系统会查找设备上是否配置了ACL

2、如果ACL不存在 则返回ACL结果为不匹配

3、如果ACL存在 则查找设备是否配置ACL

4、如果规则不存在,则返回不匹配

5、如果规则存在,则系统会从ACL中编号最小的规则开始查找

6、如果匹配上了permit规则,停止查找规则,返回ACL结果为匹配(允许)

6-1、如果匹配上了deny规则,停止查找规则,返回ACL结果为匹配(拒绝)

6-2、如果未匹配上规则,继续查找下一条,以此循环,如果到最后一条规则仍未匹配上,则返回ACL为不匹配

1741833261221-07a1e55a-05cd-4876-84f2-2f81b7e2db3f.png

1741833261229-0f3b2ee8-f875-4396-9f66-1013915c3192.png

ACL的匹配顺序及匹配结果:

配置顺序:

系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配

一条ACL可以由多条deny和permit组成,每一条语句描述一条规则,这些规则可能存在包含关系,也可能重复或矛盾,因此顺序十分重要

华为设备支持两种顺序:自动排序和配置顺序。缺省为配置顺序

auto自动:系统使用深度优先原则,将规则按照精确度从高到低排序,按照精确度的顺序进行报文匹配

config配置:按照ACL规则编号从小到大进行报文匹配

1741833261194-0a01d668-1eac-4c81-af3b-519012ad8a49.png

1741833261186-047ee272-37c7-4034-8536-1560f405fbed.png

ACL的基本配置:

1741833261771-fbb966ef-d539-49ae-9eda-f57719e5a090.png

1741833261829-6e600484-c51e-4d60-ab4a-6d59b82ef039.png

2、IP前缀列表:将路由条目的网络地址、掩码长度作为匹配条件的过滤器,可在各路由协议发布和接收路由时使用。

IP-Prefix list能够同时匹配IP地址前缀长度和掩码长度,增强了匹配的精确度

1741833261768-3157b4f3-8acb-4bc8-ad9d-b78064dd6dd5.png

IP-Prefix匹配机制:

1741833261764-ad915e1c-d902-4523-b749-21fb687e0f67.png

1741833261726-e1e999ec-f9c4-4980-9e5f-566b236efded.png

IP-Prefix基础配置:

1741833263121-2bfd73d8-ad51-4af8-b234-abde1c742925.png

1741833263220-8d1e7e6c-f768-4955-a2de-a32c10326668.png

路由策略工具:

1、Filter-Policy(过滤-策略):常用的路由信息过滤工具,能够对接收、发布、引入的路由进行过滤,可应用于ISIS、OSPF、BGP等协议

1741833263059-7dfe03b6-f7cf-4c5f-94a3-3e06e0562ff3.png

Filter-Policy在距离矢量路由协议的应用:

距离矢量路由协议是基于路由表生成路由的,因此过滤器会影响从邻居接受的路由和向邻居发布的路由

如果要过滤掉上游设备到下游设备的路由,只需要在上游设备配置filter-policy export或者在下游设备配置filter-policy import

1741833263072-163e843c-d2a5-4c32-b42c-028537a87898.png

Filter-Policy在链路状态路由协议的应用:

OSPF把网络中泛洪的LSA存储在自己LSDB中,并且运行SPF算法计算出以自己为根无环的最短路径树,Fliter-Policy对OSPF计算出来的路由(加载到路由表之前)进行过滤,而不对LSA进行过滤

1741833263102-8b1738a3-ae6b-4282-a1b4-c72e41cfd4dc.png

Filter-Policy基础配置:

1741833264260-fb60e062-f76f-461e-ab42-696222666739.png

1741833264303-0b045273-25bd-419e-bd2e-048116dbee8e.png

1741833264327-419008e5-8782-4e83-a755-67f2a0151a98.png

1741833264428-dc2b4573-b9dd-48df-9592-c53c619d9dc9.png

2、Route-Policy(路由-策略):用于过滤路由信息,以及为过滤后的路由信息设置路由属性

以下简称RP。一个RP由一个或多个节点构成,每个节点都可以是一系列条件语句以及执行语句的集合,集合编号按照从小到大顺序排列

当使用RP时,Node的值小的节点先匹配,一个节点匹配成功后路由不在匹配其他节点,全部节点匹配失败后 路由被过滤

1741833264272-79d52a1b-2f23-4519-9afa-c7219c84d24c.png

Route-Policy的组成:

一个Route-Policy由一个节点或多个节点构成,每个节点包括多个if-match和apply子句

1741833266428-ce466bd8-3187-431b-9bde-fccf110b7947.png

Route-Policy的匹配顺序:路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性

一个路由策略中包含>=1个节点 路由进入路由策略后,按节点序号从小到大一次检查各个节点是否匹配。匹配条件由if-match子句定义

当路由与该节点的所有if-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点,匹配模式分为permit和deny两种

当路由与该节点的任意一个if-match子句匹配失败后,进入下一节点,如果和所有节点都匹配失败,路由信息被拒绝通过

1741833266195-8c20ae3a-4480-48b3-aa6a-db58b840d97e.png

Route-Policy基础配置:

1741833266194-d91347d1-e460-4a19-9912-1d1cf2ea3bf6.png

1741833266220-06ce3ef4-0920-454f-ab0f-d5c66e85421c.png

1741833266253-98505b7d-9124-4d3e-a5cb-3404430078aa.png

1741833268165-e0d531f3-b7d5-4d62-a3a5-ec407da04c36.png

路由控制案例:

对接收的路由进行过滤:

1741833268220-2d663b6a-9d69-4c67-bce5-741f423ac964.png

1741833268187-6a4a53f4-03d1-44a2-a602-0de91fa31511.png

对发布的路由进行过滤:

1741833268242-b2eaf601-1860-450b-b56a-f2346e78f0c9.png

修改路由属性:

1741833268226-54b1823c-d7e9-4f41-b561-eeff16c731b0.png

双点双向路由重发布:

1741833270511-b0796899-3b3f-43d5-98e5-0288e46695a3.png

次优路径问题:

1741833270596-8d30ff8f-bc49-4bc0-a369-84a2306a1649.png

1741833270513-4ac146bc-7183-4ad3-ba5d-e407dbc32b98.png

1741833270562-6e38e9e7-aa53-469e-b62b-bf214a246de9.png

路由环路问题:

1741833270569-49e2cc15-335f-4891-9858-5dc35e44a235.png

1741833272394-874945f5-da35-4c26-b23f-e8e7fe680dfb.png

1741833272487-6c196d65-4057-4ccd-acb7-18ae5fd7edd6.png

1741833272386-19e6aeda-e908-4b3c-a092-b3a8dc9529bb.png

更新: 2025-03-13 10:34:39
原文: https://www.yuque.com/yuhui.net/network/vncx2wo76fw8bc7o

Post Views: 47
HCIP 路由

评论(0)

查看评论列表

暂无评论

发表评论

表情 颜文字

插入代码