重发布和路由策略

重发布(重分布/重分发):

当一个网络内,存在多种路由协议时,或同一协议多个进程时;每种协议或进程,均独立运行,不共享数据;只能通过重发布技术实现全网可达;

条件:

  1. 只能在两种协议,或两个进程进行发布;不是说一个拓扑内只能存在两种协议或两个进程
  2. 必须存在ASBR --- 自治系统边界路由器(协议边界路由器);同时工作工作两种协议或两个进程中
  3. 必须考虑--种子度量(起始度量);从源协议协议进入新协议时,不携带源协议的度量值;而是人为定义个新的初始度量;

规则:

  1. 将A协议发布到B协议时,是在ASBR上的B协议中进行配置;
  2. 将A协议发布到B协议时,是将ASBR上所有通过A协议学习,以及ASBR上宣告在A协议的直连路由,全部共享到B协议中; (部分协议不共享缺省路由)

名词:

单点 双点 多点(点-- ASBR数量) 单向 双向

配置命令:

三部分

1.A-->B 将一种动态路由协议产生的路由共享到另一种动态路由协议中

2.静态-->B 将ASBR上的静态路由,重发布到一种动态路由协议中

3.直连-->B 将ASBR上未工作在B协议中的直连路由,重发布到B这种动态路由协议中

分别在RIP和OSPF上的配置

【1】RIP

1.A-->B

[r4]rip

[r4-rip-1]import-route ospf 1

[r4-rip-1]import-route ospf  1 cost 3     #默认的起始度量为0;可修改

2.静态-->B

[r4]rip 1

[r4-rip-1]import-route static

[r4-rip-1]import-route static cost 5    #缺省静态在华为设备不重发布,默认起始度量为0;

3.直连-->B

[r4]rip

[r4-rip-1]import-route direct 

注:若重发布动态和重发布直连携带了同一条路由时,优选重发布直连产生的路由;

【2】OSPF

1.A-->B

[r4]ospf 1

[r4-ospf-1]import-route  rip 1

默认进入的条目,种子度量为1;类型2;

类型2--仅显示种子度量;选路时依然基于总实际度量进行判断

[r4-ospf-1]import-route  rip 1 cost 5 type 1  修改类型和种子度量

类型1--显示实际总度量=种子度量+沿途累计度量 

类型1优于类型2

2.静态-->B

[r4]ospf 1

[r4-ospf-1]import-route  static

默认进入的条目,种子度量为1;类型2; 缺省路由不进入

3.直连-->B

[r4-ospf-1]import-route  direct

默认进入的条目,种子度量为1;类型2; 缺省路由不进入

注:若重发布动态和重发布直连携带了同一条路由时,优选重发布直连产生的路由;

多点双向重发布

由于单向双向重发布在两种协议或两个进程间仅存在一台ASBR,可靠性、选路性较差;故可以使用多台ASBR来进行保障;

多点双向重发布会出现的问题:

【1】不同路由协议使用不同的路由优先级,当大优先级协议的路由条目进入小优先级协议时,被导致其他的ASBR路由表被刷新,最终将这些路由传回源协议---路由回馈--选路不佳

解决方法:

cisco在它私有的EIGRP协议中,使用了双优先级;正常EIGRP协议内部路由优先级为90,重发布进入EIGRP的路由条目为150,大于其他协议;避免了第一台ASBR重发布协议后,刷新另一台ASBR-- 避免路由回馈

在华为等厂商设备中无EIGRP;故借鉴了eigrp的规则,在OSPF协议中,基于外部重发布进入的5/7类LSA,优先级也修改为150;

【2】由于重发布协议,将在重发布过程中,不携带源有协议的度量值,而是在重发布起始位置添加种子,故当多点(多台ASBR)重发布相同路由时,将导致选路不佳--需要路由策略来解决

【3】在距离矢量协议中存在接口水平分割,可能由于网络拓扑的变化而再次出现路由回馈问题---需要路由策略来解决

总结:由于重发布技术,仅实施了路由条目共享工作,且过程中刷新原有度量;故在多点双向重发布中,可能因为拓扑变化、度量值等导致选路不佳 ---- 人工干预

路由策略

控制层面:路由协议进行路由信息共享传递的流量(告知的流量,发出的方向就是出口,接收的方向就是入口); -- OSPF /RIP

数据层面:设备间正常的数据访问产生的流量(当学到路由后去ping,反向的数据包);--PING/TELNET/应用

路由策略-- 在控制层面流量进或出的接口上,抓取流量,进行修改动作后,直接影响路由器路由表的生成,最终实现干涉选路的效果;

【1】抓流量 -- 1.ACL 2.前缀列表

【2】改流量---路由策略 -- 1.偏移列表 2. 分发列表 3. router-map

抓取流量的技术:

  1. ACL ---访问控制列表设计初衷用于限制数据层面流量的进出;故在用于抓取控制层面流量时,可能无法精确匹配;(只看IP不看掩码)

  2. 前缀列表 -- 专门设计用于抓取控制层面流量

    [r1]ip ip-prefix aa permit 1.1.1.0 25

    [r1]ip ip-prefix aa permit 1.1.2.0 24

一个名字为一张表;一张表中可以配置多条内容;匹配规则为至上而下逐一匹配,上条匹配按上条执行,不再查看下一条;末尾隐含拒绝所有;

默认以10为步调,自动添加序列,便于插入和删除

[r1]ip ip-prefix aa index 15 permit 1.1.3.0 24

[r1]undo ip ip-prefix aa index 10


[r1]ip ip-prefix qq permit 2.2.2.0 24 less-equal  30

匹配网络号2.2.2.0 子网掩码长度24-30均可

[r1]ip ip-prefix qq permit 3.3.3.0 24 greater-equal  30

匹配网络号3.3.3.0 子网掩码长度为30-32

[r1]ip ip-prefix qq permit 4.4.4.0 24 greater-equal 26 less-equal  30

匹配网络号4.4.4.0 掩码长度26-30   

数值规则:length<=ge<=le

[r1]ip ip-prefix qq permit 0.0.0.0 0 less-equal 32 允许所有

偏移列表、分发列表、route-map

修改或删除流量 -- 路由策略(偏移列表、分发列表、route-map)

偏移列表---只能用于rip

cisco的偏移列表,在cisco体系中算一种路由策略,在华为体系中不是策略;而是RIP这样的距离矢量协议专用,修改度量的操作;在cisco中偏移列表也只能在RIP和eigrp这样的距离矢量协议中使用,华为也一样;在cisco下只能用ACL为其服务;华为下,acl和前缀列表都可以;

[r1]ip ip-prefix aa permit 2.2.2.0 24  使用前缀列表抓取;ACL也可

[r1]interface GigabitEthernet 0/0/1   控制层面流量传输的接口

[r1-GigabitEthernet0/0/1]rip metricin ip-prefix aa 2   流量入,匹配前缀列表aa,度量加2

                         metricout  2000 2      流量出,匹配acl 2000,度量加2

该策略为逐跳行为,意思可以叠加操作;整段路径中流量经过的多个接口均配置了度量增加,最终为总增加度量;

2)分发列表(不允许把路由传给别人)

cisco下的分发列表; 华为为过滤策略;

先使用ACL或前缀列表,匹配流量;然后在控制层面流量的入或出接口上限制路由条目的传递;

[r2]ip ip-prefix qq deny 2.2.2.0 24

[r2]ip ip-prefix qq permit 0.0.0.0 0 less-equal 32

[r2]rip  1  进入协议调用

 [r2-rip-1]filter-policy ip-prefix qq ?

        export   Specify an export policy  出方向

        import   Specify an import policy  入方向

         [r2-rip-1]filter-policy ip-prefix qq export GigabitEthernet 0/0/0

切记:若使用ACL定义流量,正常华为acl末尾允许所有,但在过滤策略中一定手工配置允许所有命令;

注:OSPF协议中正常无法在出方向调用,因为ospf使用的拓扑更新,在同一个区域内不可以限制拓扑的传递;正常只能在入方向调用,不影响数据库的同步,仅仅是不将LSA计算所得的路由加载到路由表;

若想出口调用,可以在ABR/ASBR上针对3/4/5/7类lsa进行(区域间);

3)route-map

cisco的route-map 华为路由策略

「1」抓流量---acl和前缀列表均可

[r2]acl 2000 ---acl抓

[r2-acl-basic-2000]rule 1  permit source 1.1.1.0 0.0.0.0

[r2-acl-basic-2000]q

[r2]acl 2001

[r2-acl-basic-2001]rule permit source 1.1.2.0 0.0.0.0

[r2-acl-basic-2001]q

[r2]ip ip-prefix a permit 1.1.3.0 24  ----前缀列表抓

[r2]ip ip-prefix b permit  1.1.4.0 24

「2」路由策略

[r2]route-policy huawei deny node 10  创建名为huawei的路由策略,大动作为拒绝,序号为10

[r2-route-policy]if-match acl 2000        匹配一张ACL

[r2-route-policy]q

[r2]route-policy huawei permit node 20     列表huawei序号20,大动作为允许

[r2-route-policy]if-match acl 2001         匹配一张ACL

[r2-route-policy]apply cost-type type-1    定义小动作为修改度量类型,为类型1;

[r2-route-policy]q

[r2]route-policy huawei permit node 30

[r2-route-policy]if-match ip-prefix a   匹配前缀列表

[r2-route-policy]apply cost 7         修改种子度量为7

[r2-route-policy]q

[r2]route-policy huawei permit node 40

[r2-route-policy]if-match ip-prefix b

 [r2-route-policy]apply cost-type type-1  修改度量类型,该为1

 [r2-route-policy]apply cost 8     修改种子度量为8

[r2-route-policy]q

 [r2]route-policy huawei permit  node 50   空表,允许所有;

 [r2-route-policy]q

「3」重发布时调用

[r2]ospf  1

 [r2-ospf-1]import-route rip 1 route-policy huawei

配置指南:

  1. 即便要拒绝一个流量,在抓取时也必须使用允许,之后在路由策略来拒绝;
  2. 至上而下逐一匹配,上条匹配按上条执行,不再查看下条,末尾隐含拒绝所有
  3. 在一条规则中,若没有进行流量匹配那就是匹配所有;若没有应用那么仅对匹配流量进行当大动作;

因此大动作为允许的空表代表允许所有;(不匹配即匹配所有,不做小动作就没有小动作只有大动作)

或 与 关系

或关系为每个站点(每个序号)间为或关系;

序号10没匹配到流量,再序号20;

[r3]ip ip-prefix a permit 1.1.1.0 24

[r3]acl 2000

[r3-acl-basic-2000]rule permit sou 12.1.1.2 0.0.0.0

route-policy huawei permit node 10

if-match ip-prefix a

if-match ip next-hop acl 2000 与关系---被匹配流量必须同时满足这两个条件;

apply cost 10

apply cost-type type-1 与关系,同时执行两种操作

以上为路由条目目标网络号1.1.1.0/24 同时该条目的下一跳为12.1.1.2;

总结或与关系:

或关系:条目基于站点号(序号)至上而下逐一匹配,上条匹配按上条执行,不查看下条--或关系

与关系:在每一个序号中,同时匹配所有流量,同时执行所有小动作---与关系

相关推荐
速盾cdn14 分钟前
速盾:CDN是否支持屏蔽IP?
网络·网络协议·tcp/ip
yaoxin52112314 分钟前
第二十七章 TCP 客户端 服务器通信 - 连接管理
服务器·网络·tcp/ip
内核程序员kevin17 分钟前
TCP Listen 队列详解与优化指南
linux·网络·tcp/ip
PersistJiao2 小时前
Spark 分布式计算中网络传输和序列化的关系(一)
大数据·网络·spark
黑客Ash4 小时前
【D01】网络安全概论
网络·安全·web安全·php
->yjy4 小时前
计算机网络(第一章)
网络·计算机网络·php
朝九晚五ฺ5 小时前
【Linux探索学习】第十四弹——进程优先级:深入理解操作系统中的进程优先级
linux·运维·学习
摘星星ʕ•̫͡•ʔ6 小时前
计算机网络 第三章:数据链路层(关于争用期的超详细内容)
网络·计算机网络
Kkooe6 小时前
GitLab|数据迁移
运维·服务器·git