华为路由策略和过滤策略
本篇文章给大家谈谈华为路由策略和过滤策略,以及华为策略路由和路由策略的区别对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文内容目录一览:
干货!详解路由策略与策略路由区别
在网络设备维护上,现在很多维护的资料上都讲到 “路由策略”与“策略路由” 这两个名词,但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻,无法准确把握这两者之间的联系与区别。
本文简单分析一下这两者之间的概念,并介绍一些事例,希望大家能从事例中得到更深的理解。
路由策略,是路由发布和接收的策略。其实,选择路由协议本身也是一种路由策略。
因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的。
通常我们所说的路由策略指的是,在正常的路由协议之上,我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果。
注意,改变的是结果(即路由表),规则并没有改变,而是应用这些规则。
下面给出一些事例来说明。
例如,A路由器和B路由器之间是双链路(分别为AB1和AB2)且带宽相同,运行是OSPF路由协议,但是两条链路的稳定性不一样。
公司想设置AB1为主用电路,当主用电路(AB1)出现故障的时候才采用备用电路(AB2),如果采取默认设置,则两条电路为负载均衡,这时就可以采取分别设置AB1和AB2电路的COST(开销)值,将AB1电路的COST值改小或将AB2电路的COST值设大,OSPF会产生两条开销不一样的路由,COST(开销)越小路由代价越低,所以优先级越高,路由器会优先采用AB1的电路。
还可以不改COST值,而将两条电路的带宽(BandWidth)设置为不一致,将AB1的带宽设置的比AB2的大,根据OSPF路由产生和发现规则,AB1的开销(COST)会比AB2低,路由器同样会优先采用AB1的电路。
基本就是使用路由过滤策略,通过路由策略对符合一点规则的路由进行一些操作,例如最普通操作的是拒绝(deny)和允许(Permit)。
其次是在允许的基础上调整这些路由的一些参数,例如COST值等等,通常使用的策略有ACL(Acess Control List访问控制列表)、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP协议配合使用中,属于路由接收和通告原则。
例如,AS1不向AS2发布19.1.1.1/32这个网段,可以设置ACL列表,在RTB上设置(以华为的路由器为例):
[RTB]acl number 1 match-order auto
[RTB-acl-basic-1]rule deny source 19.1.1.1 0
[RTB-acl-basic-1]rule permit source any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] peer 2.2.2.2 filter-policy 1 export
如果B向C发布了这条路由,但是C不想接收这条路由,则C可以设置:
[RTC]acl number 1 match-order auto
[RTC-acl-basic-1]rule deny source 19.1.1.1 0
[RTC-acl-basic-1]rule permit source any
[RTC]bgp 2
[RTC-bgp]peer 2.2.2.1 as-number 1
[RTC-bgp] peer 2.2.2.1 filter-policy 1 import
例如RTB不向RTC发布19.1.1.0/24这个网段的路由,则可以设置
[RTB]ip ip-prefix test index 10 deny 19.1.1.0 24
[RTB]ip ip-prefix test index 20 permit any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] import-route direct
[RTB-bgp]peer 2.2.2.2 ip-prefix test export
ip-prefix是精确匹配的,如果想实现模糊匹配,可以通过后面的参数less-equal或greater-equal来实现,例如ip ip-prefix test index 10 deny 19.1.1.0 24 less-equal 31就表示从19.1.1.0/24、19.1.1.0/25、19.1.1.0/26一直到19.1.1.0/31都能匹配上,
否则这仅仅表示只匹配目的网络是19.1.1.0/24这一条路由,而19.1.1.0/25不满足该条件,具体可以参考命令手册。
上面讲的都是路由的运行和禁止,下面讲更灵活的路由策略设置方式。
route-policy中if-match和apply的匹配,这里不仅能设置允许或禁止某些路由,还能对允许的路由设置其属性。
RTB与RTC之间跑的是IBGP协议,RTA与RTB、RTC之间跑的是EBGP协议。
Router_ID按A、B、C、D从小到大排序。正常情况下,RTA到RTD之间的通信会选择RTB做中转,RTD到RTA的通信也会选择RTB。在默认情况下,所有参数都相同,BGP会选择router_ID较小的一条路径。
现在想让RTD到RTA之间的通信都走RTB,而RTA到RTD之间的通信都通过RTC,即两台路由器中RTB专门负责自治域内路由器与域外路由器之间的出口通信,而RTC专门做自治域外路由器与域内路由器的进口通信。
我们可以用route-policy中的as-path来实现,在RTB上做:
[rtb]route-policy test permit node 10
[rtb-route-policy]apply as-path 300 400 //添加虚假的路径,使as-path增长
[rtb-bgp]peer 1.1.1.1 route-policy test export //向RTA发布路由信息的时候使用策略
这样B在向A发布BGP路由的时候,加大路由的AS-Path值,根据BGP路由选择规则,优先选用AS-Path较短的路由,这样RTA向RTD通信的时候,
优先选用AS-Path短的RTC这条路由,而RTD在选择到RTA路由的时候仍然选择的是RTB。因为对RTD来说,影响路由的参数什么都没有任何变化。
其实也可以使用改变Med值来设定,这里用路由策略来举例。
这种方法特别灵活在apply语句中能设置多种参数,除了as-path,还有ip next hop(设置下一跳)、local-preference(本地出口优先级)、cost(开销)、origin(起源,来自igp、egp还是incomplete)、tag(标记)。
策略路由是一种依据用户制定的策略进行路由选择的机制,与单纯依照IP报文的目的地址查找路由表进行转发不同,可应用于安全、负载分担等目的。
它是一个基于路由表的影响特定数据包的转发的一个方式,这个方式是应用于接口下的。
例如:让192.168.1.1的数据包都从s0/1走,让192.168.1.2的数据包都从s0/1走
access-list 1 permit host 192.168.1.1
access-list 2 permit host 192.168.1.2
route-map ccie permit 10
match ip address 1
set interface s0/1
router0map ccie permit 20
match ip address 2
set interface s0/2
int fa1/0
ip policy route-map ccie
注意:set interface s0/1 与 set default interface s0/1
set ip next-hip 与 set default ip next-hop 是有区别的,前者不查找路由直接进行了转发,而后者是先查找路由表,查找不到精确的路由表时才会转发到下一跳接口或IP。
PBR只有进方向方向,一定要注意!PBR优先于路由表查找。
策略路由PBR默认只对穿越流量生效。
(config)#(ip local policy route-map ccie) //这样写是策略理由也影响本地产生的流量
此外策略路由还可以通过改变IP报文的tos字段达到流量控制的目的。
联系:
双方都是为了转发数据包而进行路径选择的策略,都是根据某种规则改变某些参数或控制手段来设置不同的转发路径。
区别:
路由策略 是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果,最终改变的是路由表的内容。是在路由发现的时候产生作用。
策略路由 是尽管存在当前最优的路由,但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。
在数据包转发的时候发生作用、不改变路由表中任何内容。
策略路由的优先级比路由策略高 ,当路由器接收到数据包,并进行转发的时候,会优先根据策略路由的规则进行匹配,如果能匹配上,则根据策略路由来转发,否则按照路由表中转发路径来进行转发。
概括一点讲就是,
路由策略是路由发现规则,策略路由是数据包转发规则 。其实将“策略路由”理解为“转发策略”,这样更容易理解与区分。
由于转发在底层,路由在高层,所以转发的优先级比路由的优先级高,这点也能理解的通。其实路由器中存在两种类型和层次的表,一个是路由表(routing-table),另一个是转发表(forwording-table)。
转发表是由路由表映射过来的,策略路由直接作用于转发表,路由策略直接作用于路由表。
网络通信的规则是先有路由,才有转发。路由策略由于仅仅在路由发现的时候产生作用,在路由表产生且稳定之后,如果网络不发生变化,路由表通常都不会变化,这时候,路由策略没有应用就不会占用资源。
而策略路由是在转发的时候发生作用,路由器在初始产生路由表之后,基本工作量都在数据包转发上,如果没有策略路由,路由器只要分析每一个数据包的目的地址,再按路由表来匹配就可以决定下一跳;
但是如果有策略路由,策略路由就一直处于应用状态,如果策略路由特别复杂,路由器要根据规则来判断数据包的源地址、协议或应用等附加信息,这样就会一直占用大量的资源,所以除非不得已,尽量使用路由策略,而不要使用策略路由。
网络优化的时候需要考虑这一点,如果策略路由特别复杂,能通过将网络进行简单分解而达到取消策略路由的尽量进行分解,否则路由器负担很重。
华为路由器里面的5种过滤器详解 跪求啊!!!
这些都是不同命令行里的参数。
prefix-list:IP前缀列表。
# 定义if-match子句,设置匹配相关的IPv6路由信息。
HUAWEI system-view
[HUAWEI] route-policy policy permit node 10
[HUAWEI-route-policy] if-match ipv6 address prefix-list p1
[HUAWEI-route-policy] if-match ipv6 next-hop prefix-list p1
[HUAWEI-route-policy] if-match ipv6 route-source prefix-list p1
as-path-filter xxx:指定匹配的AS路径过滤器号。
# 创建序号为2的AS路径过滤器,允许AS路径中包含20的路由通过。
HUAWEI system-view[HUAWEI] ip as-path-filter 2 permit [ 20 ]
# 查看AS路径属性中包含65420的所有BGP VPNv6路由信息。
HUAWEI system-view
[HUAWEI] ip as-path-filter 1 permit 65420*
[HUAWEI] display bgp vpnv6 all routing-table as-path-filter 1
community-filter:用来显示匹配指定的BGP团体属性过滤器的路由信息。
# 查看本端指定团体列表的所有BGP VPNv6路由信息。
HUAWEI system-view
[HUAWEI] ip community-filter 1 permit internet
[HUAWEI] display bgp vpnv6 all routing-table community-filter 1 whole-match
route-policy xxx:指定路由策略名称
显示名为policy1的Route-Policy信息。
HUAWEI display route-policy policy1
华为路由器的路由过滤问题
不太懂,从网上搜了一段看看有没有帮助。
OSPF协议测试分析
l OSPF等cost双链路情况下,不论是到单一不还是随机目的地址的数据流,均无法实现
负载均衡。
l 不支持对virtual-link进行OSPF的MD5认证。
l 在3680平台作rip向OSPF再发布,当对由rip进入的多条路由粘贴不同tag标记时,368
0无法将大于一个以上的tag向外advertise。
l OSPF无法使用filter-policy(类似distribute-list)对进入路由作过滤。OSPF下,fi
lter-policy 仅能控制全局入方向路由,即无法对指定(接口)neighbour作in方向发布控
制。
l Ospf下,几乎所有策略只能在import点作(router-policy无法在OSPF下使用),路由器
无法对其它路由器发布的out方向的路由实施策略。
l Ospf下,在im点为不同路由添加的tag,无法传递到远端,严重问题。
l 在对同一名字route-policy定义了多个seq时,虽然命令提示可以,但实际上不能单独
删除指定seq下的策略,即只能一次删除全部,严重问题。
BGP协议测试分析
l 改变Cisco端BGP AS number 时,QuidwayR3680对应端口通信中断,而端口显示信息正
常,严重问题。
l 改变2630 BGP AS number时,26随机死机。
l 在对同一名字route-policy定义了多个seq时,虽然命令提示可以,但实际上不能单独
删除指定seq下的策略,即只能一次删除全部,严重问题。
l EBGP在作AS number prepend时,严重不正常。如:单一名称多seq 的route-policy被
应用时,若作as number prepending的seq不在第一项,则无法prepending(在远端路由
器看不到被prepending 的as number,如果作as number prepending的seq在第一项,则
所有应该用该route-policy import 入BGP的路由,都会被prepend同样的AS numbers。
l 3680平台,用origin-policy、route-policy对aggregate route 作origin修改,不生
效。
l 3680,bgp,OSPF等动态协议相关统计信息太简单,甚至无neighbour uptime、last
update time之类基本统计信息,维护、排错极不便。
l 3680与2630作IBGP时,2630开启synchronization时,2630所显示的BGP表中,来自36
80的路由next hop显示为null,且无法向另一远端EBGP发布3680的路由,即不向外AS发
布。
l 在无数据流量,起单一BGP进程的情况下,QuidwayR2630 cpu达到27%左右,不正常。
l 3680平台,用suppress-policy、route-policy对aggregate route 作单个major net
单元的supress,结果显示,所有参与aggregation的major net均被suppress。
l 3680平台,BGP(E or I)环境下,无法使用update-source 命令。在两bgp neighbour
存在冗余物理链路时,BGP connection将只能在单一链路上建立,该链路中断则BGPcon
nection中断,无法起到冗余的作用。
l AS100内运行OSPF area 1,在各路由器interface loopback 1 1.0.0.x可互通的情况
下,quidway路由器无法通过对端路由器的1.0.0.x进行IBGP连接。
l AS100内运行OSPF area 1,在各路由器全部自物理接口可互通的情况下,作五个路由
器全IBGP连接时,quidway路由器无法与部分非直接路由器(one of the opposites)的物
理接口进行IBGP连接。
l 在定义多个peer group后,3680会把对其中一个peer group制定的attribute如next-
hop-local(类似cisco的next-hope-self),origin,as prepending等向其它未制定att
riute的peer group传递,严重问题。。
l ACL、route-policy协作问题。
当acl后加deny any 项时,且route-policy启用时,所有外出路由将在本地路由器的ou
t方向被filte掉,严重不正常。
l Router-reflector工作不正常。在分别用3680、2630b作router-reflector时,各自所
下连client学不到其它client的路由。如72学不到2630b的路由,3680学不到2630a的路
由等,严重问题。若去掉两client对应端口IGP配置,则可以reflect,工作不正常。
l 测试bgp confederation 时,发现如下情况:
1. 每个路由器分别不能看到两个非直接路由器之一的loop段。如3680上看不到26a的in
terface loopback 1 的ip address所属网段。此时该loopback1接口开启OSPF。
2. 在26a loopback1接口关启ospf时,3680可以学到该loopback1所属网段,但同时,两
Cisco路由器之间bgp connection不能建立。
l 无BGP backdoor功能。
vrrp运行分析
l 0105版本下,在3680E、3640平台上对E口作vrrp,下连PC及路由器本身无法ping通浮
动地址。即vrrp工作不正常。
l 升级后至0108版本后,3680VRRP virtual ip可以被VRRPgroup所在segment 的Pcping
通,virtual MAC地址显示正常,符合RFC3678 00-00-5e-00-01-vrid定义,但在路由器
上ping不能,且显示mac空,经查验RFC3768,此行为该标准并未作过多说明,但实际运
行中,这一点将给监控、排错造成诸多不便。
l Display命令对VRRP的显示将显示所有VRRP组信息,无法显示单个组,且统计信息过于
简单。
l
NAT运行分析
l 华为路由器3680在作NAT时,fe-inside,serial-outside,以proxyhunter发包,当流
量增至200k/bps时,华为路由器CPU增至100%利用率,极不正常。
l 部分语法提示有问题,如nat server global等。
l 在3640平台上无法用nat server 语句实现global outside--àlocal inside 的stat
ic nat。
低端接入交换机试用结果
l 华为quidwayS3026同时在access int、trunk int运行同等优先级STP,当access int
位于小端口(priority 较优先)时,stp算法将block trunk int,造成trunk线路中断。
l quidwayS3026交换机不自动开启STP,默认情况下冗余TOPO将引起流量风暴。
华为RIP路由如何配置 华为RIP路由配置教程【详解】
一、RIP基础配置
1 、配置RIP进程
全局进程
[Huawei]rip 10
VPN下的RIP进程
[Huawei]rip vpn-instance 1
RIP只在指定网段上的接口运行。对于不在指定网段上的接口,RIP既不在它上面接收和发送路由,也不将它的接口路由转发出去。因此,RIP启动后必须指定其工作网段。
2 、配置RIP进程描述(可选)
[Huawei-rip-10]description test
3 、禁止对RIP报文源地址检查(可选)
[Huawei-rip-10]undo verify-source
缺省情况下,使能了对收到的RIP路由更新报文进行源IP地址的检测,即检查发送报文的接口IP跟接收报文的IP地址是否在同一网段。如果不同,则该RIP报文不被设备处理。
但当在P2P网络中链路两端的IP地址属于不同网络时,只有取消报文的源地址检查,才能建立起正常的邻居关系。
4 、指定RIP生效的网段(即宣告网络)。
[Huawei-rip-10]network 172.16.0.0
宣告时不带子网掩码,因为该地址必须是自然网段,不能是子网地址(与OSPF等不一样),如果路由器连接了一个自然段的多个子网,也只需用一条对应自然网段的命令使能RIP。一个接口只能与一个RIP进程相关联。
5 、指定RIP邻居的IP地址(可选,仅用于NBMA网络)
[Huawei-rip-10]peer 172.16.0.1
通常情况下,RIP使用广播或组播地址发送报文。如果在不支持广播或组播报文的链路上运行RIP,则必须在链路两端手工相互指定RIP的邻居,这样报文就会以单播形式发送到对端。
通常情况下不推荐使用该命令,因为会造成对端同时收到同一报文的组播(或广播)和单播两种形式。因此在配置该命令时,通常使用silent-interface 命令将相关接口改为被动(silent)模式。
6 、配置RIP版本号(可选)
全局版本
[Huawei-rip-10]version 2
接口下的版本号
[Huawei-GigabitEthernet0/0/2]rip version ?
1 RIP version 1 on interface
2 RIP version 2 on interface
接口版本与全局版本号不同时以接口版本号为准。
7 、rip-2路由聚合配置
RIP-2是RIP version 2的简称,它与RIP-1的不同点在于,RIP-2支持可变长子网掩码VLSM(Variable Length Subnet Mask)和无类别域间路由CIDR(Classless Inter-Domain Routing),并支持验证功能,从而功能更加完善,安全性更高。
在RIP网络规模很大时,RIP路由表会变得十分庞大,存储路由表占用大量的设备内存资源,传输和处理路由信息需要占用大量的网络资源。
使用路由聚合可以大大减小路由表的规模;另外通过对路由进行聚合,隐藏一些具体的路由,可以减少路由震荡对网络带来的影响。
RIP支持两种聚合方式:自动路由聚合和手动路由聚合。自动聚合的路由优先级低于手动指定聚合的路由优先级。当需要将所有子网路由发布出去时,可关闭RIP-2的自动路由聚合功能。
缺省情况下,如果配置了水平分割或毒性反转,有类聚合将失效。因此在向自然网段边界外发送聚合路由时,相关视图下的水平分割和毒性反转功能都应关闭。
具体配置
7.1、配置RIPV2
[Huawei-rip-10]version 2
7.2、使能RIP有类自动路由聚合
[Huawei-rip-10]summary ?
always Route summarization always(总是、永远、一直)
Please press ENTER to execute command
执行命令 summary always ,不论水平分割和毒性反转是否使能,都可以使能RIP-2自动路由聚合,不使用此参数,则在配置水平分割或毒性反转后,有类聚合功能将失效。
7.3、配置接口下的RIP聚合路由(手动聚合)
[Huawei-GigabitEthernet0/0/2]rip summary-address 172.16.0.0 255.255.255.0 ?
avoid-feedback Avoid learning this summary route
Please press ENTER to execute command
avoid-feedback,表示禁止从此接口学习到相同的聚合路由,以免形成路由环路。
8 、配置RIPv2报文认证方式
[Huawei-GigabitEthernet0/0/2]rip authentication-mode ?
hmac-sha256 hmac-sha256 authentication
md5 MD5 authentication
simple Simple authentication
可以配ripv2报文的认证方式来提高rip网络的安全性。Ripv2支持对协议的认证分为简单认证和MD5认证。
Ripv2报文认证需要在具体的rip路由器接口上配置(两端密码需一致)。
二、RIP高级功能配置
1 、配置rip防止路由环路(水平分割)。
[Huawei-GigabitEthernet0/0/2]rip split-horizon
只能在路由接口下配置,如果接口配置了从IP地址且使能了水平分割功能,则rip报文可能不会从每一个从IP发送出去,除非禁水平分割功能。如果接口与NBMA网络相连,缺省是水平分割功能被禁止。
2 、配置rip防止路由环路(毒性反转)。
[Huawei-GigabitEthernet0/0/1]rip poison-reverse
只能在路由接口下配置。同时配了水平分割和毒性反转功能后,只有毒性反转功能生效。
3 、rip协议优先级(可选) 。
[Huawei-rip-10]preference 2
当多个路由协议发现目的地相同的路由时,通过配置RIP的协议优先级来改变路由协议的优先顺序。
4 、配置接口的附近度量值
4.1、配置接口 接收 RIP路由更新报文时要给对应路由增加的度量值(可选)。
[Huawei-GigabitEthernet0/0/2]rip metricout 5
[Huawei-GigabitEthernet0/0/2]rip metricout acl-name test 10(度量值)
是指在rip路由原来的度量值基础上增加的度量值(跳数)。通过调整rip接口的附加度量值来影响路由的选择(值越小越优先)
配置该功能后,当该接口收到一条路由时,rip将接口接收权值附加到该路由上,再加入路由表中。所以,增加一个接口的的接收rip权值,该接口收到的rip路由权值也会相应增加。
acl-name命令用于指定用于接收路由信息过滤的acl号(仅支持基本acl)或名称或地址前缀(ip-prefix)列表名,用于对要接收的rip路由的目的IP地址过滤
4.2、配置接口 发送 RIP路由更新报文时要给对应路由增加的度量值(可选)
[Huawei-GigabitEthernet0/0/2]rip metricin ip-prefix test 1
rip metricin 用于在接收到路由后,给其增加一个附加度量值,再加入路由表中,使得路由表中的度量值发生变化。运行该命令 会影响到本地设备和其他设备的路由选择 。
rip metricout 用于自身路由的发布,发布时增加一个附加的度量值,但路由表中的度量值不会发生变化。运行该命令 不会影响本地设备的路由选择,但是会影响其他设备的路由选择 。
5 、配置进行负载分担的最大等价路由条数(可选)
[Huawei-rip-10]maximum load-balancing 2
通过配置RIP最大等价路由条数,可以调整进行负载分担的路由数目。
6 、配置当前设备生成一条缺省路由或将路由表中存在的缺省路由发送给邻居路由器。(可选-即配置发布缺省路由)
[Huawei-rip-1]default-route originate ?
cost 指定缺省路由的度量值
match 当当前路由表存在缺省路由或其他路由协议时,则向邻居发布该缺省路由
[avoid-learning] 当前路由中存在缺省路由时,则不引入其他缺省路由
route-policy Apply the specified route policy to filter route
Please press ENTER to execute command
在路由表中,缺省路由以到网络0.0.0.0(掩码也为0.0.0.0)的路由形式出现。当报文的目的地址不能与路由表的任何目的地址相匹配时,设备将选取缺省路由转发该报文。
7 、禁止接口发送更新报文
通过配置禁止接口发送更新报文,可以 防止路由环路 。
禁止接口发送更新报文有两种实现方式:
在RIP进程下配置接口为抑制状态
在接口视图下禁止接口发送RIP报文
其中在RIP进程下配置接口为抑制状态的优先级要高于在接口视图下禁止接口发送RIP报文。
7.1、在RIP进程视图下配置
[Huawei-rip-1]silent-interface ?
GigabitEthernet GigabitEthernet interface #禁止一个接口发送更新报文
all All the interfaces
disable Override silent-interface configuration and make the interface active
该命令可以与peer ip-address命令协同使用,使抑制的接口仍可向指定的邻居路由器发布路由
7.2、在接口视图下配置
[Huawei-GigabitEthernet0/0/2]undo rip output
8 、引入外部路由信息(可选)
8.1、配置引入路由的默认开销(可选)
[Huawei-rip-1]default-cost 2
如果在引入路由时没有指定度量值,则使用缺省度量值。
8.2、设置需要引入的外部路由
[Huawei-rip-1]import-route ?
bgp Border Gateway Protocol (BGP) routes
direct Direct routes
isis Intermediate System to Intermediate System (ISIS) routes
ospf Open Shortest Path First (OSPF) routes
rip Routing Information Protocol (RIP) routes
static Static routes
unr User Network Route
[permit-ibgp] 指定公网实例下的rip进程可以引入IBGP路由
[Huawei-rip-2]import-route ospf ?
INTEGER1-65535 Process ID # 引入路由的进程号 cost
Cost of the import route
route-policy Apply the specified route policy to filter route
Please press ENTER to execute command
RIP进程引入IBGP路由容易造成路由环路,请配置该功能前仔细确认。
8.3、在向外发布路由更新时对引入的路由信息进行过滤(可选)
[Huawei-rip-1]filter-policy ?
INTEGER2000-2999 Apply basic ACL
acl-name Specify IP Access Control List (ACL) name for filtering routes
gateway Filter routes based on the distributing gateway
ip-prefix Specify IP prefix for filtering route
[Huawei-rip-1]filter-policy ip-prefix test ?
export Specify an export policy
gateway Filter routes based on the distributing gateway
import Specify an import policy
由于RIP要发布的路由信息中,有可能是引入的其他路由协议的路由信息,所以可通过指定protocol参数来对这些特定的路由信息进行过滤。如果没有指定protocol参数,则对所有要发布的路由信息进行过滤,包括引入的路由和本地RIP路由(相当于直连路由)。
RIP-2规定的Tag字段长度为16bits,其他路由协议的Tag字段长度为32bits。如果在引入其他路由协议时,应用的路由策略中使用Tag,则应确保Tag值不超过65535,否则将导致路由策略失效或者产生错误的匹配结果。
9 、禁止接口接收rip报文
[Huawei-GigabitEthernet0/0/2]undo rip input
通过配置禁止接口接收更新报文,可以防止路由环路。
10 、禁止接收主机路由
在某些特殊情况下,交换机会收到大量来自同一网段的RIP的32位主机路由,这些路由对于路由寻址没有多少作用,却占用了大量网络资源。配置了禁止主机路由功能后,交换机能够拒绝它所收到的主机路由。
[Huawei-rip-1]undo host-route
11 、配置RIP对接收路由进行过滤
基于acl
[Huawei-rip-1]filter-policy 2010 import GigabitEthernet 0/0/2
基于发布网关(发布对应流入路由的网关)
[Huawei-rip-1]filter-policy gateway test import
基于目的地址前缀和基于邻居的过滤
[Huawei-rip-1]filter-policy ip-prefix test gateway test1 import GigabitEthernet 0/0/2
如果不指定接口,则所有符合地址前缀列表条件或同时符合网关地址前缀列表条件的路由都将接收。
12 、调整rip三个定时器
有三个定时器,update、age、garbage-collect。这个三个定时器需遵循updateage、 /age、
RIP定时器的值在更改后立即生效。
如果这三个定时器的值配置不当,会引起路由不稳定。它们的配置值关系是: update age , update garbage-collect 。
例如,如果更新时间大于失效时间,那么在更新时间内,如果RIP路由发生变化,交换机将无法及时通知邻居。
定时器值的调整应考虑网络的性能,并在所有运行RIP的设备上进行统一配置,以免增加不必要的网络流量或引起网络路由震荡。
缺省情况下,Update定时器是30秒,Age定时器是180秒,Garbage-collect定时器则是Update定时器的4倍,即120秒。
在实际应用中,Garbage-collect定时器的超时时间并不是固定的,当Update定时器设为30秒时,Garbage-collect定时器可能在90到120秒之间。
这是因为:RIP在将不可达路由从路由表中彻底删除前,将通过发送4次定时更新报文对外发布这条路由(发送时权值设为16),从而使所有邻居了解这条路由已经处于不可达状态。由于路由变为不可达状态并不总是恰好在一个更新周期的开始,因此,Garbage-collect定时器的实际时长是Update定时器的3~4倍。
具体配置
[Huawei-rip-1]timers rip 10 20 40
13 、配置rip报文发送间隔和最大报文发送数量
[Huawei-GigabitEthernet0/0/2]rip pkt-transmit interval 60 number 100
通过设置RIP发送更新报文的时间间隔和每次发送报文的最大数量,可以很好的控制交换机用于处理RIP更新报文的内存资源。
14 、配置ripv2报文验证模式
[Huawei-GigabitEthernet0/0/2]rip authentication-mode ?
hmac-sha256
md5 MD5 authentication
simple Simple authentication
15 、在接口使能replay-protect(默认不使能,配置本功能需要在14步中配位MD5验证模式)
通过使能Replay-protect(保护)功能,可以得到接口Down之前所发送RIP报文的Identification(标识符),避免双方的RIP路由信息不同步、丢失。其中Identification是IP数据报中的标识字段。
假设运行RIP的接口状态变为Down之前发送的最后的RIP报文的Identification为X,该接口状态变为Up后,再次发送RIP报文的Identification会变为0。
如果对方没有收到这个Identification为0的RIP报文,那么后续的RIP报文都将被丢弃,直到收到Identification为X+1的RIP报文。这样就会导致双方的RIP路由信息不同步、丢失。
通过使能Replay-protect功能,当接口从Down变为Up之后,再次发送RIP报文的Identification会顺次加一,从而避免了上述情况的发生。
具体配置
[Huawei-GigabitEthernet0/0/2]rip replay-protect
16 、设置RIP对更新报文进行有效性检查
通过RIP对更新报文进行有效性检查,可以提高网络安全性。该有效性检查包括RIP-1报文的零域检查和RIP更新报文的源地址检查两种。
RIP-1报文中的有些字段必须为零,称之为零域。RIP-1在接收报文时将对零域进行检查,若RIP-1报文中零域的值不为零,该报文将不被处理。
RIP在接收报文时将对源IP地址进行检查,即检查发送报文的接口IP地址与接收报文接口的IP地址是否在同一网段。如果没有通过检查,则该RIP报文将不被交换机处理。
16.1、使能对ripv1报文中的零域进行检查(默认使能)
[Huawei-rip-1]checkzero
16.2、使能对rip收到的更新报文进行源IP检查(默认使能)
[Huawei-rip-1]verify-source
17 、RIP与动态BFD联动配置
配置RIP与动态BFD联动有两种方式:
RIP进程下使能BFD,当网络中大部分RIP接口需要使能RIP与动态BFD联动时,建议选择此方式。
RIP接口下使能BFD,当网络中只有小部分RIP接口需要使能RIP与动态BFD联动时,建议选择此方式。
具体配置
RIP进程下配置:
[Huawei]bfd
[Huawei-bfd]q
[Huawei-rip-1]bfd all-interfaces enable
[Huawei-rip-1]bfd all-interfaces ?
detect-multiplier 配置探测乘法器次数
enable 在这个进程上使能BFD
min-rx-interval 配置最小接收间隔时间
min-tx-interval 配置最小发送间隔时间
[Huawei-rip-1]bfd all-interfaces min-rx-interval ?
INTEGER100-1000 最小接收间隔时间(毫秒)
[Huawei-rip-1]bfd all-interfaces min-rx-interval 200 ?
detect-multiplier 配置探测乘法器次数
min-tx-interval 配置最小发送间隔时间
[Huawei-rip-1]bfd all-interfaces min-rx-interval 200 detect-multiplier 5 ?
min-tx-interval 配置最小发送间隔时间
对于网络可靠性要求较高的链路,可以通过配置减小BFD报文实际发送时间间隔;
对于网络可靠性要求较低的链路,可以通过配置增大BFD报文实际发送时间间隔。
RIP接口下配置:
[Huawei-GigabitEthernet0/0/1]rip bfd enable
[Huawei-GigabitEthernet0/0/1]rip bfd ?
block 在这个接口上屏蔽BFD
detect-multiplier 配置探测乘法器次数
enable 在接口上使能BFD
min-rx-interval 配置最小接收间隔时间
min-tx-interval 配置最小发送间隔时间
static 使能静态双向转发检测功能
18 、阻塞接口创建BFD会话
[Huawei-GigabitEthernet0/0/1]rip bfd block
19 、RIP与静态BFD联动
静态BFD可以实现以下两种功能:
单臂BFD:
在现网中存在大量设备不支持BFD功能,当支持BFD的设备与不支持BFD的设备对接时,可以通过配置静态BFD来实现单臂BFD检功能。
普通BFD:
在某些对故障响应速度要求高且两端设备都支持BFD的链路上,可以在两端配置静态BFD来实现普通BFD检测功能。
具体配置
19.1、单臂BFD检测配置
[Huawei]bfd 1 bind peer-ip 10.1.1.2 interface GigabitEthernet 0/0/1 source-ip 10.0.0.1 one-arm-echo
[Huawei-bfd-session-1] discriminator local 1
#指定了对端IP和本端接口,表示检测单跳链路,即检测以该接口为出接口、以 peer-ip 为下一跳地址的一条固定路由。
在配置单臂ECHO功能时,必须配置 source-ip source-ip , source-ip source-ip 为合法的IP地址,建议配置的 source-ip source-ip 与出接口IP不同。
19.2、普通BFD检测配置
[Huawei]bfd 1 bind peer-ip 10.1.1.2 interface GigabitEthernet 0/0/1 source-ip 10.0.0.1
[Huawei-bfd-session-1] discriminator local 12
[Huawei-bfd-session-1] discriminator remote 21
19.3、打开接口静态BFD功能
[Huawei-GigabitEthernet0/0/1]rip bfd static
20 、RIP网管功能配置(RIP和MIB绑定,)
Huawei]rip mib-binding ?
INTEGER1-65535 进程号
#该命令用来设置MIB和RIP进程号的绑定关系,指定接收SNMP请求的RIP进程号。可以通过网管的环境来查看和配置RIP。
21 、复位RIP
复位RIP特定进程的系统配置参数。当RIP进程启动时,所有配置参数将采用缺省值。复位RIP连接会导致交换机之间的RIP邻接关系中断。务必仔细确认是否必须执行复位RIP连接的操作。
reset rip 2 configuration
22 、清除RIP统计信息
reset rip 2 statistics ?
interface 接口信息
关于华为路由策略和过滤策略和华为策略路由和路由策略的区别的文章,就是上面的全部内容了,不知道有没有是您需要的内容。如果可以帮到您,记得收藏本站
