华为BGP路由发布及过滤配置说明
配置BGP过滤器
充分利用BGP过滤器,可以灵活地对发布的路由进行过滤。
背景信息
目前提供以下六种过滤器供BGP使用:
?访问控制列表ACL(Access Control List)
?地址前缀列表(IP-Prefix List)
?AS路径过滤器(AS-Path-Filter)
?团体属性过滤器(Community-Filter)
?扩展团体属性过滤器(Extcommunity-Filter)
?Route-Policy
操作步骤
?配置访问控制列表ACL
访问控制列表ACL是由permit和deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
ACL的有关配置请参见《HUAWEI NetEngine5000E 核心路由器配置指南-IP业务》中的描述。
访问控制列表ACL可以做为Route-policy的一个匹配条件,也可以在
filter-policy{ acl-number| acl-name acl-name} export[protocol[ process-id] ]或
peer{ group-name| ipv4-address} filter-policy{ acl-number| acl-name acl-name} export命令中直接使用。
?配置地址前缀列表
地址前缀列表是一种针对路由目的地址信息做过滤的工具,它使用名字作为地址前缀列表的标识。地址前缀列表比较灵活,可以实现精确过滤,比如,可以对某一条路由或某一网段的路由进行过滤。但是当需要过滤的路由数量较大,且没有相同的前缀时,配置地址前缀列表会比较繁琐。
地址前缀列表可以做为Route-policy的一个匹配条件,也可以在
filter-policy ip-prefix ip-prefix-name export[ protocol[process-id] ]或peer{ group-name| ipv4-address} ip-prefix ip-prefix-name export 命令中直接使用。
1.执行命令system-view,进入系统视图。
2.执行命令ip ip-prefix ip-prefix-name[ index index-number]
{ permit| deny} ip-address mask-length[greater-equal greater-
equal-value] [ less-equal less-equal-value],配置IPv4地址前缀列表。
掩码长度范围可以表示为
mask-length<= greater-equal-value<= less-equal-value<= 32。如果只
指定了greater-equal,前缀范围为[greater-equal-value,32];如果只指定了
less-equal,前缀范围为[mask-length,less-equal-value]。
IPv4地址前缀列表由列表名标识,每个前缀列表可以包含多个表项。各表项可以独
立指定一个网络前缀形式的匹配范围,并使用索引号标识。比如下面这个名称为abcd
的IPv4地址前缀列表:
#
ip ip-prefix abcd index 10 permit 1.0.0.0 8
ip ip-prefix abcd index 20 permit 10.0.0.0 8
在匹配过程中,系统按索引号升序依次检查各个表项,只要有一个表项满足条件,
就认为通过该过滤列表,不再去匹配其他表项。
NE5000E默认所有未匹配的路由将被拒绝通过过滤列表。如果所有表项都配置成
deny模式,则任何路由都不能通过该过滤列表。因此,需要在多条deny模式的表
项后定义一条permit 0.0.0.0 0 less-equal 32表项,允许其它所有IPv4路由信
息通过。
说明:
如果定义了多于一个的前缀列表表项,则至少应该有一个表项的匹配模式为permit
模式。
3.执行命令commit,提交配置。
配置AS路径过滤器
AS路径过滤器是利用BGP路由携带的AS-Path列表对路由进行过滤,在不希望流量从某些AS穿过,可以利用AS路径过滤器对携带这些AS号的路由进行过滤。另外,利用ACL或者地址前缀列表过滤BGP路由,一方面有可能配置比较繁琐(需要定义多个ACL或者前缀列表),另一方面有新的路由加入不好维护,这时也可以使用AS路径过滤器。
说明:
路由聚合后,如果路由的AS路径信息丢失,AS路径过滤器就不能对这些聚合路由进行过滤,但是对于AS路径信息没有丢失的源路由仍旧可以过滤。
AS路径过滤器可以做为Route-policy的一个匹配条件,也可以在peer as-path-filter 命令中直接使用。
1.执行命令system-view,进入系统视图。
2.执行命令ip
as-path-filter{ as-path-filter-number| as-path-filter-name}
{ permit| deny} regular-expression,配置AS路径过滤器。
AS路径过滤器使用正则表达式来定义匹配规则。正则表达式由元字符和数值两部分组成:
?元字符定义了匹配的规则
?数值定义了匹配的对象
例如,^10表示只匹配第一个值为10的AS_Path属性。其中符号^表示匹配一个字符串的开始。
在同一个过滤器编号下,可以定义多条过滤规则(permit或deny)。在匹配过程中,这些规则之间是“或”的关系,即只要路由信息通过其中一项规则,就认为通过由该过滤器编号标识的这组AS路径过滤器。
说明:
正则表达式的使用,请参见《HUAWEI NetEngine5000E 核心路由器配置指南-基
础配置》。
3.执行命令commit,提交配置。
?配置团体属性过滤器
BGP的团体属性是用来标识一组具有共同性质的路由。利用团体属性可以人为的对路由进行分类,方便对路由进行管理。
实际应用中,部分AS内路由可能不需要发布到其他的外部AS,而AS外路由需要发布到其他的外部AS,这些路由前缀不同(不便于使用地址前缀列表),可能来自不同AS(不便于使用AS路径过滤器),这时可以在AS边缘给这些AS内路由设置相同的团体属性值,给AS外路由设置另外一个团体属性值,这样就可以利用团体属性值去控制和过滤路由。
1.执行命令system-view,进入系统视图。
2.执行命令ip community-filter,配置团体属性过滤器。
?配置标准团体属性过滤器:执行命令ip
community-filter basic comm-filter-name{ permit| deny}
[community-number| aa:nn| internet| no-export-subconfed| no-advertise| no-export] &<1-20>,或执行命令ip
community-filter basic-comm-filter-num{ permit| deny}
[ community-number| aa:nn|internet| no-export-subconfed| no-advertise| no-export] &<1-20>。
?配置高级团体属性过滤器:执行命令ip
community-filter{ advanced comm-filter-name| adv-comm-filter
-num} { permit| deny} regular-expression。
3.执行命令commit,提交配置。
?配置扩展团体属性过滤器
BGP的扩展团体属性过滤器类似于团体属性过滤器,主要用于对私网路由的过滤。
1.执行命令system-view,进入系统视图。
2.选择执行如下命令,配置扩展团体属性过滤器。
?配置基本扩展团体属性过滤器:执行命令ip
extcommunity-filter{ basic-extcomm-filter-num| basic basic-e
xtcomm-filter-name} { deny| permit}
{ rt{ as-number:nn| 4as-number:nn| ipv4-address:nn} }
&<1-16>。
?配置高级扩展团体属性过滤器:执行命令ip
extcommunity-filter{ advanced-extcomm-filter-num| advanced adv
anced-extcomm-filter-name}
{ deny| permit} regular-expression。
对于相同的扩展团体属性过滤器号或名称,用户可以定义多个表项。在匹配过程中,
各表项之间是“或”的关系,即只要路由信息通过这组过滤器中的一条,就认为通
过由该过滤器号标识的扩展团体属性过滤器。
3.执行命令commit,提交配置。
?配置Route-Policy
Route-Policy用来匹配给定的路由信息或者路由信息的某些属性,并在条件满足时改变这些路由信息的属性。匹配条件可以使用上面几种过滤器,所以Route-Policy的使用非常灵活,功能也非常强大。
1.执行命令system-view,进入系统视图。
2.执行命令
route-policy route-policy-name{ permit| deny} node node,创建
路由策略的节点,并进入路由策略视图。
一个Route-Policy由多个节点构成,例如,route-policy route-policy-example
permit node 10和route-policyroute-policy-example deny node 20,它们定义
了两个节点10和20,但是它们都属于一个Route-Policy,即route-policy-example。
Route-Policy节点间的过滤关系是“或”,有以下两种情况:
?如果一条路由通过了一个节点的过滤,就可通过该Route-Policy,不再使用其他节点进行过滤。例如,route-policyroute-policy-example permit node 10
和route-policy route-policy-example deny node 20,如果路由通过了
route-policy route-policy-example permit node 10的过滤,就不再匹配
route-policy route-policy-example deny node 20。
?如果一条路由没有通过任何一个节点的过滤,路由信息将无法通过该
Route-Policy。
当引用该Route-Policy进行路由信息过滤时,node的值小的节点先进行测试。例如,
route-policy route-policy-example permit node 10和
route-policy route-policy-example deny node 20,
route-policy route-policy-example permit node 10因为节点值较小,所以先
进行测试。
说明:
NE5000E默认所有未匹配的路由将被拒绝通过Route-Policy。如果Route-Policy中
定义了一个以上的节点,则各节点中至少应该有一个节点的匹配模式是permit。
3.(可选)执行下列命令,配置当前节点的路由策略中的if-match子句。
执行if-match子句对路由进行过滤。如不指定if-match子句,则所有路由信息都
会通过该节点的过滤。
?匹配访问控制列表ACL:if-match acl{ acl-number| acl-name}
?匹配地址前缀列表:if-match ip-prefix ip-prefix-name
说明:
?匹配BGP路由信息的AS路径信息:if-match
as-path-filter as-path-filter-number&<1-16>
?匹配BGP路由信息的团体属性:
?if-match
community-filter{ basic-comm-filter-num[ whole-match]
| adv-comm-filter-num} *&<1-16>
?if-match community-filter comm-filter-name[ whole-match]
?匹配BGP路由信息的VPN-Target扩展团体属性:if-match
extcommunity-filter{ { basic-extcomm-filter-num|adv-extcomm-fi
lter-num} &<1-16> | extcomm-filter-name}
步骤3各命令之间没有顺序关系。在一个节点中,可以没有if-match子句,也可以有多个if-match子句。
说明:
对于同一个Route-policy节点,在匹配的过程中,各个if-match子句间是“与”
的关系,即路由信息必须同时满足所有匹配条件,才可以执行apply子句的动作。
例如,route-policy route-policy-example permit node 10定义了两个if-match 子句,分别是if-match acl 2003和if-match as-path-filter 100,则只有路由同时匹配这两个条件,才算通过节点10的过滤。
4.(可选)执行下列命令,配置当前节点中路由策略的apply子句。
执行apply子句可以为通过if-match子句过滤的路由设置路由属性。如果不执行该步骤,则不会修改通过if-match子句过滤的路由的属性。
?在BGP的AS_Path属性中替换或加入指定的AS号:apply as-path as-number
?删除指定的BGP团体属性:apply
comm-filter{ comm-filter-number| comm-filter-name} delete 说明:
apply comm-filter delete命令用来根据团体属性过滤器中指定的值删除团体
属性,所引用的ip community-filter命令每条只能包含一个团体属性,如果
要删除多个团体属性,则可通过配置多条命令来解决。如果在同一个列表号下
配置了多个团体属性,则这几个属性都无法删除。举例请参见《HUAWEI
NetEngine5000E 核心路由器命令参考》。
?删除BGP路由信息的团体属性:apply community none
?设置BGP路由信息的团体属性:apply
community{ { community-number| aa:nn} &<1-32> | internet | no-advertise| no-export| no-export-subconfed} *[ a dditive]
?设置BGP VPN-Target扩展团体属性:apply
extcommunity{ rt{ as-number:nn| ipv4-address:nn} } &<1-16>
[ additive]
?设置BGP路由信息的本地优先级:apply local-preference preference
?设置BGP路由信息的Origin属性:apply
origin{ egp{ as-number-plain| as-number-dot}
| igp|incomplete}
?设置BGP路由信息的首选值:apply preferred-value preferred-value
?设置EBGP路由的衰减参数:apply
dampening half-life-reach reuse suppress ceiling
步骤4各命令之间没有顺序关系,在一个节点中,可以没有apply子句,也可以有
多个apply子句。
5.执行命令commit,提交配置。
配置控制BGP路由信息的发布
配置路由的发布策略后,只有符合条件的路由信息才会发布给BGP对等体。
操作步骤
?配置BGP向全局发布路由
在发布路由时,可以对路由信息进行过滤。请在运行BGP协议的路由器上进行下列配置。
1.执行命令system-view,进入系统视图。
2.执行命令bgp as-number,进入BGP视图。
3.执行命令ipv4-family unicast,进入IPv4单播地址族视图。
4.选择执行下列命令,配置BGP对全局发布的路由信息进行过滤。
?基于基本ACL,请执行以下步骤:
a.执行命令
filter-policy{ acl-number| acl-name acl-name} expor
t[ protocol[ process-id] ],配置对发布的路由信息进行过
滤。
b.执行命令quit,返回BGP视图。
c.执行命令quit,返回系统视图。
d.执行命令
acl{ [ number] acl-number1| name acl-name{ [ num
ber] acl-number1| basic} }
[ match-order{ auto| config} ],进入ACL视图。
e.执行命令rule[ rule-id] { deny| permit}
[ fragment-type fragment-type-name| source{source-ip-a
ddress source-wildcard| any}
| time-range time-name| vpn-instance vpn-instance-name
] *,配置ACL规则。
对于命名型ACL,使用rule命令配置过滤规则时,只有source参数指
定的源地址范围和time-range参数指定的时间段对配置规则有效。
使用路由协议下的Filter-Policy策略过滤路由时:
?如果ACL规则的动作是permit时,则该路由被系统接收或发布;
?如果ACL规则的动作是deny时,则该路由不会被系统接收或发布;
?如果路由的网段不在ACL规则指定的范围内,则该路由默认不被系统接收或发布;
?如果ACL中不存在规则,那么引用该ACL的路由策略中涉及的所有路由不被系统接收或发布;
?如果路由策略引用的ACL不存在,则所有路由被系统接收或发布;
?路由过滤可分为黑名单和白名单方式:
当ACL规则的匹配顺序为配置方式时,系统根据规则编号从小到大
的顺序进行匹配。
黑名单方式可以在同一个ACL中先配置动作是deny的编号较小的
规则,用于过滤掉不希望被系统接收或发布的路由,然后再配置动
作是permit的编号较大的规则,用于接收或发布其他路由。
白名单方式可以在同一个ACL中先配置动作是permit的编号较小
的规则,用于允许希望被系统接收或发布的路由,然后再配置动作
是deny的编号较大的规则,用于过滤掉其他不希望被系统接收或
发布的路由。
基于高级ACL,请执行以下步骤:
a.执行命令
filter-policy acl-name acl-name export[ protocol[ pr
ocess-id] ],配置对发布的路由信息进行过滤。
b.执行命令quit,返回BGP视图。
c.执行命令quit,返回系统视图。
d.执行命令
acl name acl-name{ number acl-number1| advance} m
atch-order{ auto| config},进入ACL视图。
e.执行命令rule[ rule-id]
{ deny| permit} protocol[ source{ source-ip-addr
ess source-wildcard| any} | time-range time-name] *,
配置ACL规则。
使用路由协议下的Filter-Policy策略过滤路由时:
?如果ACL规则的动作是permit时,则该路由被系统接收或发布;
?如果ACL规则的动作是deny时,则该路由不会被系统接收或发布;
?如果路由的网段不在ACL规则指定的范围内,则该路由默认不被系
统接收或发布;
?如果ACL中不存在规则,那么引用该ACL的路由策略中涉及的所有
路由不被系统接收或发布;
?如果路由策略引用的ACL不存在,则所有路由被系统接收或发布;
?路由过滤可分为黑名单和白名单方式:
当ACL规则的匹配顺序为配置方式时,系统根据规则编号从小到大
的顺序进行匹配。
黑名单方式可以在同一个ACL中先配置动作是deny的编号较小的
规则,用于过滤掉不希望被系统接收或发布的路由,然后再配置动
作是permit的编号较大的规则,用于接收或发布其他路由。
白名单方式可以在同一个ACL中先配置动作是permit的编号较小
的规则,用于允许希望被系统接收或发布的路由,然后再配置动作
是deny的编号较大的规则,用于过滤掉其他不希望被系统接收或
发布的路由。
基于地址前缀列表:
filter-policy ip-prefix ip-prefix-name export[ protocol[ p
rocess-id] ]
指定protocol参数可以只对特定路由协议的信息进行过滤;如果没有指定此参数,则对所有要发布的BGP路由信息进行过滤,包括通过import-route (BGP)命令引入的路由和使用network (BGP)命令引入的本地路由。
说明:
在filter-policy命令中,如果使用了ACL且ACL过滤规则中没有指定某个VPN实例,则BGP是对所有地址族下的路由信息进行过滤,包括来自公网和私网的路由信息。如果ACL过滤规则中指定了VPN实例,则仅对来自该VPN的数据流量进行过滤,而不是对路由信息进行过滤。
5.执行命令commit,提交配置。
?配置BGP向特定对等体(组)发布路由
1.执行命令system-view,进入系统视图。
2.执行命令bgp as-number,进入BGP视图。
3.执行命令ipv4-family unicast,进入IPv4单播地址族视图。
4.选择执行如下命令,配置对特定对等体(组)发布的路由信息进行过滤。
?基于基本ACL,请执行以下步骤:
a.执行命令
peer{ ipv4-address| group-name} filter-policy{ ac
l-number| acl-name acl-name} export,配置对特定对等体(组)
发布的路由信息进行过滤。
b.执行命令quit,返回BGP视图。
c.执行命令quit,返回系统视图。
d.执行命令
acl{ [ number] acl-number1| name acl-name{ [ num
ber] acl-number1| basic} }
[ match-order{ auto| config} ],进入ACL视图。
e.执行命令rule[ rule-id] { deny| permit}
[ fragment-type fragment-type-name| source{source-ip-a
ddress source-wildcard| any}
| time-range time-name| vpn-instance vpn-instance-name
] *,配置ACL规则。
对于命名型ACL,使用rule命令配置过滤规则时,只有source参数指
定的源地址范围和time-range参数指定的时间段对配置规则有效。
使用路由协议下的Filter-Policy策略过滤路由时:
?如果ACL规则的动作是permit时,则该路由被系统接收或发布;
?如果ACL规则的动作是deny时,则该路由不会被系统接收或发布;
?如果路由的网段不在ACL规则指定的范围内,则该路由默认不被系
统接收或发布;
?如果ACL中不存在规则,那么引用该ACL的路由策略中涉及的所有
路由不被系统接收或发布;
?如果路由策略引用的ACL不存在,则所有路由被系统接收或发布;
?路由过滤可分为黑名单和白名单方式:
当ACL规则的匹配顺序为配置方式时,系统根据规则编号从小到大
的顺序进行匹配。
黑名单方式可以在同一个ACL中先配置动作是deny的编号较小的
规则,用于过滤掉不希望被系统接收或发布的路由,然后再配置动
作是permit的编号较大的规则,用于接收或发布其他路由。
白名单方式可以在同一个ACL中先配置动作是permit的编号较小
的规则,用于允许希望被系统接收或发布的路由,然后再配置动作
是deny的编号较大的规则,用于过滤掉其他不希望被系统接收或
发布的路由。
基于高级ACL,请执行以下步骤:
a.执行命令
peer{ ipv4-address| group-name} filter-policy{ ac
l-number| acl-name acl-name} export,配置对特定对等体(组)
发布的路由信息进行过滤。
b.执行命令quit,返回BGP视图。
c.执行命令quit,返回系统视图。
d.执行命令
acl name acl-name{ number acl-number1| advance} m
atch-order{ auto| config},进入ACL视图。
e.执行命令rule[ rule-id]
{ deny| permit} protocol[ source{ source-ip-addr
ess source-wildcard| any} | time-range time-name] *,
配置ACL规则。
使用路由协议下的Filter-Policy策略过滤路由时:
?如果ACL规则的动作是permit时,则该路由被系统接收或发布;
?如果ACL规则的动作是deny时,则该路由不会被系统接收或发布;
?如果路由的网段不在ACL规则指定的范围内,则该路由默认不被系统接收或发布;
?如果ACL中不存在规则,那么引用该ACL的路由策略中涉及的所有路由不被系统接收或发布;
?如果路由策略引用的ACL不存在,则所有路由被系统接收或发布;
?路由过滤可分为黑名单和白名单方式:
当ACL规则的匹配顺序为配置方式时,系统根据规则编号从小到大
的顺序进行匹配。
黑名单方式可以在同一个ACL中先配置动作是deny的编号较小的
规则,用于过滤掉不希望被系统接收或发布的路由,然后再配置动
作是permit的编号较大的规则,用于接收或发布其他路由。
白名单方式可以在同一个ACL中先配置动作是permit的编号较小
的规则,用于允许希望被系统接收或发布的路由,然后再配置动作
是deny的编号较大的规则,用于过滤掉其他不希望被系统接收或
发布的路由。
?基于前缀列表:
peer{ ipv4-address| group-name} ip-prefix ip-prefix-name export
?基于AS路径过滤器:
peer{ ipv4-address| group-name} as-path-filter{ as-path
-filter-number| as-path-filter-name} export
?基于Route-Policy:
peer{ ipv4-address| group-name} route-policy route-policy
-name export
说明:
命令peer route-policy export中所应用的路由策略不支持将特定接口作为匹配
条件,即不支持在路由策略中使用if-match interface命令。
对等体组的成员可以与所在的组使用不同的出方向路由策略,即对外发布路由时,
对等体组的各个成员可以选择自己的策略。
5.执行命令commit,提交配置。
当BGP的出口策略改变后,通过配置出方向的BGP软复位,可以在不中断BGP连接的情况下使BGP立即应用新的出口策略。
背景信息
配置BGP软复位要求对等体支持Route-refresh功能。
操作步骤
?(可选)使能Route-refresh功能
1.执行命令system-view,进入系统视图。
2.执行命令bgp as-number,进入BGP视图。
3.执行命令
peer{ ipv4-address| group-name} capability-advertise route-ref
resh,使能Route-refresh功能。
缺省情况下,Route-refresh功能是使能的。
4.执行命令commit,提交配置。
?配置BGP软复位
1.在用户视图下,执行命令refresh
bgp[ vpn-instance vpn-instance-name ipv4-family| vpnv4]
{ all| ipv4-address| group group-name| external| internal } export,可以立即触发出方向的BGP软复位。
参数external和internal分别表示软复位EBGP连接和IBGP连接。
检查配置结果
控制BGP发布路由配置成功后,可以查看配置的过滤器信息、与指定过滤器匹配的路由信息和BGP向对等体发布的路由信息。
前提条件
已经完成控制BGP发布路由的所有配置。
操作步骤
?使用display ip
as-path-filter[ as-path-filter-number| as-path-filter-name]命令查看已配置的AS路径过滤器信息。
?使用display ip
community-filter[ basic-comm-filter-num| adv-comm-filter-num| comm-fi lter-name]命令查看已配置的团体属性过滤器信息。
?使用display ip
extcommunity-filter[ basic-extcomm-filter-num| advanced-extcomm-filter-n um| extcomm-filter-name]命令查看已配置的VPN-Target扩展团体属性过滤器信息。
?使用display bgp routing-table as-path-filter as-path-filter-number命令查看与指定AS路径过滤器匹配的路由信息。
?使用display bgp
routing-table community-filter{ { community-filter-name| basic-communit y-filter-number} [ whole-match] | advanced-community-filter-number}命令查看匹配指定BGP团体属性过滤器的路由。
?使用display bgp
routing-table peer ipv4-address advertised-routes[ statistics]命令查
看BGP向对等体发布的路由信息。
任务示例
AS路径过滤器配置完成后,在系统视图下,执行display ip
as-path-filter[ as-path-filter-number| as-path-filter-name]命令查看已配置
的AS路径过滤器信息。还可以执行display bgp
routing-table as-path-filter as-path-filter-number命令查看与指定AS路径过滤器匹配的路由信息。
# 查看序号为3的AS路径过滤器信息。
As path filter number: 1
permit 1.1 100,200
As path filter name: abc
deny 2.2 200,400
# 查看与序号为3的AS路径过滤器匹配的路由信息。
Total Number of Routes: 12
BGP Local router ID is 192.168.1.121
Status codes: * - valid, > - best, d - damped, x - best external,
h - history, i - internal, s - suppressed, S - Stale
Origin : i - IGP, e - EGP, ? - incomplete
Network NextHop MED LocPrf PrefVal Path/Ogn
*>i 1.1.1.1/32 10.1.1.2 0 100 0 ?
*> 10.1.1.0/24 0.0.0.0 0 0 ?
i 10.1.1.2 0 100 0 ?
*> 10.1.1.1/32 0.0.0.0 0 0 ?
*> 10.3.1.0/24 0.0.0.0 0 0 ?
*> 10.3.1.1/32 0.0.0.0 0 0 ?
*> 127.0.0.0 0.0.0.0 0 0 ?
*> 127.0.0.1/32 0.0.0.0 0 0 ?
*> 192.168.1.0 0.0.0.0 0 0 ?
* i 10.1.1.2 0 100 0 ?
*> 192.168.1.121/32 0.0.0.0 0 0 ?
*>i 192.168.3.0 10.1.1.2 0 100 0 ?
父主题:控制BGP发布路由
华为路由器路由策略和策略路由
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
BGP路由黑洞
案例精解:BGP路由黑洞 2008-10-19 15:05:37 标签:路由反射器路由黑洞同步BGP联邦 什么是路由黑洞?简单的说,它会默默的将数据包丢弃,使所有数据包有去无回,下面来看一个案例: 如图所示: R1和R2建立EBGP邻居关系 R2和R5建立IBGP邻居关系 R5和R7建立EBGP邻居关系 R2、R3、R5之间运行RIPv2 首先看配置: hostname r1 interface Loopback0 ip address 1.1.1.1 255.255.255.0 interface Serial1/0 ip address 192.168.12.1 255.255.255.0
serial restart-delay 0 router bgp 100 no synchronization bgp router-id 1.1.1.1 bgp log-neighbor-changes network 1.1.1.0 mask 255.255.255.0 network 192.168.12.0 neighbor 2.2.2.2 remote-as 200 neighbor 2.2.2.2 ebgp-multihop 255 neighbor 2.2.2.2 update-source Loopback0 no auto-summary ! ip route 2.2.2.0 255.255.255.0 192.168.12.2 hostname r2 interface Loopback0 ip address 2.2.2.2 255.255.255.0 ! interface Serial1/0 ip address 192.168.23.2 255.255.255.0 serial restart-delay 0 ! interface Serial1/1 ip address 192.168.12.2 255.255.255.0 serial restart-delay 0 ! interface Serial1/2 ip address 192.168.24.2 255.255.255.0 serial restart-delay 0 !
华为路由器路由策略和策略路由配置与管理
路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
华为路由器静态路由配置命令
华为路由器静态路由配置命令 4.6.1 ip route 配置或删除静态路由。 [ no ] ip route ip-address { mask | mask-length } { interfacce-name | gateway-address } [ preference preference-value ] [ reject | blackhole ] 【参数说明】 ip-address和mask为目的IP地址和掩码,点分十进制格式,由于要求掩码32位中‘1’必须是连续的,因此点分十进制格式的掩码可以用掩码长度mask-length来代替,掩码长度为掩码中连续‘1’的位数。 interfacce-name指定该路由的发送接口名,gateway-address为该路由的下一跳IP地址(点分十进制格式)。 preference-value为该路由的优先级别,范围0~255。 reject指明为不可达路由。 blackhole指明为黑洞路由。 【缺省情况】 系统缺省可以获取到去往与路由器相连子网的子网路由。在配置静态路由时如果不指定优先级,则缺省为60。如果没有指明reject或blackhole,则缺省为可达路由。 【命令模式】 全局配置模式 【使用指南】 配置静态路由的注意事项: 当目的IP地址和掩码均为0.0.0.0时,配置的缺省路由,即当查找路由表失败后,根据缺省路由进行包的转发。 对优先级的不同配置,可以灵活应用路由管理策略,如配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份。 在配置静态路由时,既可指定发送接口,也可指定下一跳地址,到底采用哪种方法,需要根据实际情况而定:对于支持网络地址到链路层地址解析的接口或点到点接口,指定发送接口即可;对于NBMA接口,如封装X.25或帧中继的接口、拨号口等,支持点到多点,这时除了配置IP路由外,还需在链路层建立二次路
H3C IPV6之IBGP一级RR路由反射器典型组网配置案例
组网说明: 本案例采用H3C HCL模拟器来模拟IPV6 IBGP一级RR路由反射器典型组网配置!R1与R2属于AS100,R3属于AS200。R1是R2的RR路由反射器的客户端。R2与R3为EBGP邻居关系。要求R1、R2、R3的loopback0能够互通。 配置思路: 1、按照网络拓扑图正确配置IP地址 2、R1与R2建立IBGP邻居关系,R2配置RR路由反射器客户端,指向R1 3、R2与R3建立EBGP邻居关系 配置过程: R1:
华为AR1220路由器配置参数实际应用实例解说一
华为AR1220路由器配置参数实际应用实例解说一 1. 配置参数 [GZ]dis cu [V200R001C00SPC200] //路由器软件版本,可从官方网站下载 # sysname GZ //路由器名字GZ ftp server enable //ftp 服务开通以便拷贝出配置文件备份 # voice # http server port 1025 //http undo http server enable # drop illegal-mac alarm # l2tp aging 0 # vlan batch 10 20 30 40 50 //本路由器设置的VLAN ID # igmp global limit 256 # multicast routing-enable //开启组播 #
dhcp enable //全局下开启DHCP服务然后在各VLAN上开启单独的DHCP # ip vpn-instance 1 ipv4-family # acl number 2000 rule 10 permit # acl number 2001 //以太网访问规则列表。 rule 6 permit source 172.23.68.0 0.0.0.255 //允许此网段访问外网 rule 7 permit source 172.23.69.0 0.0.0.255 //允许此网段访问外网 rule 8 permit source 172.23.65.0 0.0.0.3 //允许此网段的前三个IP访问外网rule 9 deny //不允许其他网段访问外网 # acl number 3000 //此规则并未应用 rule 40 permit ip source 172.23.65.0 0.0.0.255 destination 172.23.69.0 0.0.0.25 5 # acl number 3001//定义两个网段主机互不访问,学生不能访问65网段。 rule 5 deny ip source 172.23.65.0 0.0.0.255 destination 172.23.68.0 0.0.0.255 rule 10 deny ip source 172.23.68.0 0.0.0.255 destination 172.23.65.0 0.0.0.255 # aaa //默认视图窗口定义本地登录帐号和密码
华为策略路由配置实例
华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。
[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2
华为路由器dhcp简单配置实例
华为路由器dhcp简单配置实例 session 1 DHCP的工作原理 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP 服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。 DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口,DHCP的IP地址自动获取工作原理及详细步骤如下: 1、DHCP Client以广播的方式发出DHCP Discover报文。 2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server 能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client 区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。 3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。 4、DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK 报文,并在选项字段中增加IP地址的使用租期信息。 5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client 开始新的地址申请过程。 6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。
华为AR1200 路由器策略路由配置
华为AR1200 路由器策略路由配置 [Huawei]display current-configuration [V200R007C00SPC900] # drop illegal-mac alarm # l2tp enable # ipv6 # ip load-balance hash src-ip # dns resolve dns server 219.141.136.10 dns server 219.141.140.10 dns proxy enable # vlan batch 2 # dhcp enable #
pki realm default enrollment self-signed # ssl policy default_policy type server pki-realm default # aclnumber 2999 rule 5 permit source 172.16.10.0 0.0.1.255 # acl number 3000 1;创建用于策略路由的ACL rule 5 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 用于策略路由及默认路由两个网段之间互通的ACL rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255 # traffic classifier 2 operator or 2;创建traffic classifier 匹配acl两个网段互通 if-match acl 3001 traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由 if-match acl 3000 # traffic behavior 2 3创建流行为网段互通不做任何行为
华为 浮动静态路由路径备份配置实例
华为浮动静态路由路径备份配置实例 作者:救世主220 实验日期:2015.7.3 实验拓扑如下: AR1配置: [AR1]dis current-configuration [V200R003C00] # sysname AR1 # interface GigabitEthernet0/0/0 ip address 100.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.0.21.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.0 ospf network-type broadcast # ospf 1 router-id 1.1.1.1 import-route direct area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 10.0.21.1 0.0.0.0 # ip route-static 3.3.3.0 255.255.255.0 100.1.1.2 preference 10 ip route-static 10.0.23.0 255.255.255.0 100.1.1.2 preference 10
注意:AR1上g0/0/0 断开前后AR1路由表变化 AR2配置: [AR2]dis current-configuration [V200R003C00] # sysname AR2 # interface GigabitEthernet0/0/0 ip address 100.1.1.2 255.255.255.0 #
案例精解:BGP路由黑洞
案例精解:BGP路由黑洞 什么是路由黑洞?简单的说,它会默默的将数据包丢弃,使所有数据包有去无回,下面来看一个案 如图所示: R1和R2建立EBGP邻居关系 R2和R5建立IBGP邻居关系 R5和R7建立EBGP邻居关系 R2、R3、R5之间运行RIPv2 首先看配置: sysname route-1 # router id 1.1.1.1 # interface Ethernet0/0 ip address 192.168.12.1 255.255.255.252 # interface Ethernet0/1 ip address dhcp-alloc # interface LoopBack0 ip address 1.1.1.1 255.255.255.255 # bgp 100 undo synchronization group 1 external peer 192.168.12.2 group 1 as-number 200 # ip route-static 2.2.2.2 255.255.255.255 192.168.12.2 preference 60
# sysname route-2 # router id 2.2.2.2 # interface Ethernet0/0 ip address 192.168.12.2 255.255.255.252 # interface Ethernet0/1 ip address 192.168.23.1 255.255.255.252 # interface LoopBack0 ip address 2.2.2.2 255.255.255.255 # bgp 200 undo synchronization group 1 external peer 192.168.12.1 group 1 as-number 100 group 2 internal peer 192.168.35.2 group 2 # ospf 1 import-route direct import-route static area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 192.168.23.0 0.0.0.3 # ip route-static 1.1.1.1 255.255.255.255 192.168.12.1 preference 60 # sysname route-3 # router id 3.3.3.3 # interface Ethernet0/0 ip address 192.168.35.1 255.255.255.252 # interface Ethernet0/1 ip address 192.168.23.2 255.255.255.252 # interface LoopBack0 ip address 3.3.3.3 255.255.255.255 # ospf 1 import-route direct import-route static area 0.0.0.0 network 3.3.3.3 0.0.0.0 network 192.168.23.0 0.0.0.3 network 192.168.35.0 0.0.0.3 # sysname route-5 # router id 5.5.5.5 # interface Ethernet0/0 ip address 192.168.35.2 255.255.255.252 #
华为三层交换机配置方法、命令及实例
华为三层交换机配置方法(1) (2008-07-21 11:27:34) 转载 标签: 分类:工作汇报 杂谈 本文以河南平临高速所使用的华为华三通信的H3C S3600-28P-SI为例,配置前首先要确定型号后缀是SI还是EI,EI的支持所有协议,SI的不支持OSPS动态协议,因此SI配置路由时可以使用静态协议和RIP协议,具体配置如下:
description Uplink-to-Putian vlan 9 description link-to-pingxicentre //第二步:给VLAN 划网关 interface Vlan-interface2 description link to wenquan ip address 10.41.77.41 255.255.255.192 interface Vlan-interface3 description link to ruzhou ip address 10.41.77.105 255.255.255.192 interface Vlan-interface4 description link to xiaotun ip address 10.41.77.169 255.255.255.192 interface Vlan-interface5 description link to baofeng ip address 10.41.77.233 255.255.255.192 interface Vlan-interface6 description link to pingxi ip address 10.41.78.41 255.255.255.192 interface Vlan-interface7 description link to pingnan ip address 10.41.78.105 255.255.255.192 interface Vlan-interface8 description uplink to putian ip address 10.41.244.102 255.255.255.252 interface Vlan-interface9 description link to pingxicentre ip address 10.41.80.233 255.255.255.192
华为路由器路由策略和策略路由
! 路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 " 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 % 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 . deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 @ 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。
华为高端路由器配置及维护实践(个人总结)
目录 1、硬件系统 (3) 1.1、NE40E、NE80E、NE5000E的满配功率是多少? (3) 1.2、如何正确热插拔NE5000E/80E/40E产品主控板? (3) 1.3、拔出正常运行NE80E主控板与其它单板的差别? (3) 1.5、NE5000ENE80E由于系统结构复杂,导致单板的组成较为复杂,本FAQ详 细说明这两款产品单板的组合。 (3) 1.6、是否可以使用并联电流给NE设备供电? (4) 1.8、如何查看设备中的Netstream板? (4) 1.9、NE5000系统上电时是否电源功率等于或稍大于所有单板的功率和,整机即 可正常完成注册? (5) 2、系统管理 (5) 2.1、telnet用户的最大数是多少? (5) 2.2、NE40E、NE80E 是否支持ETH-Trunk? (5) 2.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少个Eth-trunk? (5) 2.4、NE40E、NE80E、NE5000E VRP 5.30一个trunk接口下最多可以有多少个成 员端口? (6) 3、系统管理:telnet、SNMP、日志采集、SSH等 (6) 3.1、如何修改设备的时区? (6) 3.2、如何转换命令行的语言模式? (6) 3.3、如何把telnet用户强制下线? (6) 3.4、如何取消分屏显示? (6) 3.5、如何能够使NE40E level0能够查看logbuffer? (7) 3.6、怎样配置NE40E的登录用户先radius认证再本地认证? (7) 3.7、华为有哪些产品支持TACACS? (7) 3.8、使用TELNET登录NE80E/40E/80/40是否支持TACACS方式认证? (8) 3.9、怎样修改NE40E的日志文件记录路径 (8) 3.10、如何正确的配置NE40ENE80ENE5000E的防病毒访问控制列表? (8) 4、网络协议 (9) 4.4、什么是NE80E的ping保护机制呢? (9) 5、路由协议 (10) 5.1、如何进行OSPF外部路由的聚合? (10) 5.2、反射器反射路由时对路由属性的处理原则是什么? (10) 5.3、如何修改邦定VPN实例OSPF进程的Router id (10) 5.5、为什么在OSPF路由中不建议引入直连路由? (10) 5.6、如何部署OSPF的内部路由聚合? (10) 5.8、在IGP是ISIS的网络中如何查找设备? (11) 5.9、如何设置NE80E只启用MBGP而不启用普通BGP? (11) 5.11、在8090产品中,通过命令display ip routing-table verbose能看到NextHop、 RelyNextHop,他们的区别是什么? (11) 5.12、BGP协议的故障诊断命令有哪些? (12) 6、VPN应用 (13) 6.1、华为路由器是否支持VPN下安全套接层? (13)
IBGP水平分割:从一个IBGP学到的BGP路由不会传到另一个IBGP
IBGP水平分割:从一个IBGP学到的BGP路由不会传到另一个IBGP 解决办法RR(路由反射器)可以指定他的客户 1、如果一条路由通过客户学习到,那么会反射到客户、非客户、EBGP邻居 2、如果一条路由通过EBGP邻居学习到,那么会反射给客户、非客户、EBGP邻居 3、如果一条路由通过非客户学习到,那么会反射给客户和EBGP邻居,不会反射给非客户R1(config)#int s2/1 R1(config-if)#ip add 12.0.0.1 255.255.255.0 R1(config-if)#no shu R1(config-if)#int lo0 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#do ping 12.0.0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 12.0.0.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 24/58/96 ms R1(config-if)#router bgp 100 R1(config-router)#bgp router-id 1.1.1.1 R1(config-router)#nei 12.0.0.2 remote-as 234 R1(config-router)#net 1.1.1.0 mask 255.255.255.0 R1(config-router)# *Sep 12 19:39:51.659: %BGP-5-ADJCHANGE: neighbor 12.0.0.2 Up R1(config-router)#do sh ip bgp BGP table version is 3, local router ID is 1.1.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 1.1.1.0/24 0.0.0.0 0 32768 i *> 5.5.5.0/24 12.0.0.2 0 234 500 i R1(config-router)#do sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
BGP路由黑洞及IBGP全连接
BGP路由黑洞及IBGP全连接 组网需求: 1.AS65000边界网段发布:RT1、RT2重发布直连路由至OSPF(metric 1000 type 1) 2.BGP配置要求: no synchronization no auto-summary IBGP使用LOOPBACK建立邻居,下一跳指向自己 3.RT1,RT2发布AS65000的汇总路由至BGP:10.0.0.0/16、10.3.0.0/16 4.RT5发布AS65001的汇总路由至BGP:10. 5.0.0/16 5.RT6发布AS65001的汇总路由至BGP:10. 6.0.0/16 6.分析路由黑洞的形成及解决方法 IGP路由的配置: R1: router ospf 1 router-id 10.0.0.1 redistribute connected metric 1000 metric-type 1 subnets //重发布直连网络到OSPF中passive-interface Serial0/1//与EBGP相连的接口必须配置为被动接口,以免形成邻居network 10.0.0.1 0.0.0.0 area 0 network 10.0.1.4 0.0.0.3 area 0
router ospf 1 router-id 10.0.0.3 passive-interface default no passive-interface Serial0/0 no passive-interface FastEthernet1/0 network 10.0.0.3 0.0.0.0 area 0 network 10.0.1.0 0.0.0.3 area 0 network 10.0.1.4 0.0.0.3 area 0 network 10.3.3.0 0.0.0.255 area 0 interface FastEthernet1/0 ip address 10.0.1.1 255.255.255.252 ip ospf network point-to-point //配置网络类型为点对点(不需选举DR或BDR) R4: router ospf 1 router-id 10.0.0.4 passive-interface default no passive-interface Serial0/0 no passive-interface FastEthernet1/0 network 10.0.0.4 0.0.0.0 area 0 network 10.0.1.0 0.0.0.3 area 0 network 10.0.1.8 0.0.0.3 area 0 network 10.3.4.0 0.0.0.255 area 0 interface FastEthernet1/0 ip address 10.0.1.1 255.255.255.252 ip ospf network point-to-point //配置网络类型为点对点(不需选举DR或BDR) R2: router ospf 1 router-id 10.0.0.2 redistribute connected metric 1000 metric-type 1 subnets//重发布直连网络到OSPF中passive-interface default//与EBGP相连的接口必须配置为被动接口,以免形成邻居no passive-interface Serial0/0 network 10.0.1.8 0.0.0.3 area 0 IBGP的配置: R1: router bgp 65000 no synchronization//关闭同步 neighbor 10.0.0.2 remote-as 65000//指定IBGP邻居和AS neighbor 10.0.0.2 update-source Loopback0//指定更新源为LOOPBACK0 neighbor 10.0.0.2 next-hop-self//把下跳改为自己(EBGP默认)neighbor 10.0.15.2 remote-as 65001 //指定EBGP邻居和AS network 10.0.0.0 mask 255.255.0.0 /静态发布路由到BGP no auto-summary//关闭自动汇总 ip route 10.0.0.0 255.255.0.0 null 0 //添加一条静态汇总路由,用来发布
- 华为交换机策略路由配置
- 华为交换机的策略路由配置
- 华为路由器路由策略和策略路由配置与管理
- 华为路由器路由策略和策略路由配置与管理
- 华为策略路由配置实例
- 华为策略路由配置实例
- 华为路由器路由策略和策略路由.doc
- 策略路由和NAT实现负载均衡实例(华为防火墙)
- 华为路由器交换机配置实例
- 华为交换机策略路由配置
- 华为交换机策略路由配置
- 华为路由器配置实例
- 华为防火墙web配置教程,华为防火墙典型案例
- 华为交换机的策略路由配置
- 华为路由器路由策略和策略路由
- 华为路由器简单配置及VLAN配置实例.
- 华为路由器路由策略和策略路由
- 策略路由和NAT实现负载均衡实例(华为防火墙)
- (完整word版)策略路由和NAT实现负载均衡实例(华为防火墙)
- 华为AR路由器配置参数实际应用实例解说一