資源描述:
《策略路由與路由策略原理》由會員上傳分享��,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、策略路由與路由策略原理Page1如何對報文轉(zhuǎn)發(fā)的路徑進行有效控制?如何對發(fā)布��、接收�、引入的路由信息進行有效控制,提高網(wǎng)絡(luò)安全性?學(xué)完本課程之后您將會找到滿意的答案���。前言Page2參考資料《操作手冊》��、《命令手冊》Page3目標學(xué)習完此課程��,您將會:掌握策略路由基本原理掌握路由策略基本原理Page4內(nèi)容介紹第1章策略路由原理第2章路由策略原理Page5策略路由的引入普通的報文轉(zhuǎn)發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的���。displayiprouting-tableRoutingTable:publicnetDestination/MaskProtocolPreCostNext
2、hopInterface0.0.0.0/0RIP1001200.200.203.2GE11/1/00.0.0.0/32RIP1001200.200.203.2GE11/1/01.0.0.0/8STATIC60011.110.0.1Ethernet12/2/04.4.4.0/24DIRECT004.4.4.4Ethernet12/2/0.2004.4.4.4/32DIRECT00127.0.0.1InLoopBack05.0.0.0/8RIP1001200.200.203.2GE11/1/0PC1PC2RTARTBRTCRTDS1/0/0E1/2/0Page6策略路由的引入(續(xù))普通的報文轉(zhuǎn)
3����、發(fā)是依據(jù)報文的目的地址查詢轉(zhuǎn)發(fā)表來實現(xiàn)的�����。但是遇到如下情況如何解決��?1�����、根據(jù)源IP來控制報文轉(zhuǎn)發(fā)。即控制來自PC1的報文通過接口S1/0/0轉(zhuǎn)發(fā)�����,來自PC2的報文通過接口E1/2/0轉(zhuǎn)發(fā)口�����?2�、根據(jù)報文的長度來控制報文轉(zhuǎn)發(fā)。3�����、根據(jù)報文的其他屬性來控制報文轉(zhuǎn)發(fā)��。PC1PC2RTARTBRTCRTDS1/0/0E1/2/0Page7策略路由概念策略路由是一種依據(jù)用戶制定的策略進行路由選擇的機制,與單純依照IP報文的目的地址查找路由表進行轉(zhuǎn)發(fā)不同�,可應(yīng)用于安全、負載分擔等目的���。VRP策略路由支持基于acl包過濾�、地址長度等信息��,靈活地指定路由����。而acl報文過濾則可以根據(jù)報文的源ip、目的ip����、
4、協(xié)議���、端口號���、優(yōu)先級、tos��、時間段����、vpn等各種豐富的信息將報文分類�����,然后控制將這些報文按照不同的路由轉(zhuǎn)發(fā)出去����。Page8策略路由的分類按報文分類:分為單播策略路由(針對單播報文進行控制)和組播策略路由(只對組播報文進行控制)����。單播報文RTARTBRTCRTDRTFRTE我是組播策略,組播報文聽我指揮��,該報文從接口e1/0和s0/0轉(zhuǎn)發(fā)我是單播策略����,單播報文聽我指揮�����,該報文從接口e0/0轉(zhuǎn)發(fā)組播報文Page9策略路由的分類(續(xù))策略路由既可以應(yīng)用于被轉(zhuǎn)發(fā)的報文�,又可以應(yīng)用于路由器本地產(chǎn)生的報文。前者稱為接口策略路由�����,后者稱為本地策略路由。接口策略路由只對轉(zhuǎn)發(fā)的報文起作用�,對本地產(chǎn)生的報文
5、(比如本地的ping報文)不起作用��。而本地策略路由只對本地產(chǎn)生的報文起作用���,對轉(zhuǎn)發(fā)的報文不起作用����。接口策略路由配置在接口視圖下�����。本地產(chǎn)生的報文的策略路由配置在系統(tǒng)視圖下�。注意:組播策略路由只支持轉(zhuǎn)發(fā)的報文,不對路由器本機產(chǎn)生的報文進行策略路由����。Page10匹配原則概述Route-policy:route_policy_namepermit10:if-matchacl3000if-matchpacket-length100500applyoutput-interfaceEthernet1/1/0//有多個匹配項deny20:if-matchacl2000//只有匹配項permit30:if-
6、matchacl3100permit40:applyoutput-interfaceEthernet1/1/0//只有操作項permit50:applyoutput-interfaceEthernet1/1/0deny60://匹配項和操作項都沒有permit70:permit80:if-matchacl3000applyoutput-interfaceEthernet1/1/0serial1/0/0applyip-addressnext-hop1.1.1.1//有多個操作項Page11匹配項匹配項就是if-match語句���,根據(jù)這些匹配項將報文按照某個規(guī)則進行分類��,分為滿足規(guī)則和不滿足規(guī)則
7��、兩類�����。定義什么節(jié)點���?匹配否��?PermitDenyMatch(所有條件都滿足)執(zhí)行退出不執(zhí)行退出Notmatch(任意一個不滿足)不執(zhí)行繼續(xù)不執(zhí)行繼續(xù)注意:1��、只有滿足所有的if-match��,才算匹配��,即各匹配條件是與的關(guān)系。2����、“匹配退出,不匹配繼續(xù)”的原則���。即只要任意一個節(jié)點滿足匹配�,則不再繼續(xù)往下匹配,如果不匹配則繼續(xù)匹配下一個節(jié)點�����。Page12操作項操作項就是apply語句�,也就是滿足匹配項的報文將怎么處理、從哪個
