路由与交换

2022-07-02

NetWork

Word count: 8.3k | Reading time≈ 31 min

交换机与路由器的连接这是必须掌握的
rip的环路引起的原因、避免方案也是必须的，还有一些细节一点的比如：跳数值，报文作用等
ospf是重点，大体的如：算法描述和计算过程，最后一个过程里要知道涉及到哪些些数据结构里的算法。还有报文类型，哪些报文是用来干什么的，LSA类型，每个LSA类型是用来干什么的。支持的网络类型，要知道哪些是需要选举DR BDR哪些不要，选举的好处是什么要会比较 IP地址路由器ID 区域ID的表示方法
需要知道BGP是用来干嘛的，AS内与AS间为什么会产生环路，解决环路的方法有哪些。
BGP的报文类型，作用，路由优选顺序(知道顺序即可)，水平分割等。
防火墙的分类，作用，安全区域等
前缀列表
路由策略和PBR，知道要知道他们的区别，应用范围

设备

交换机的作用

学习MAC地址
转发数据帧
连接不同网络
划分局域网

路由器的作用

路由功能：报文的路径决策、负载均衡、多媒体传输等
智能化网络服务：QoS、访问列表（防火墙）、验证、授权、计费、链路备份、调试和管理等

交换机与路由器的连接🐿️

将交换机的接口配置为access
将交换机的接口通过设置pvid剥离tag标
将交换机的接口 undo switchport ,直接配置ip地址

相当于关闭交换机的二层接口，只允许使用三层接口

将路由器的接口switchport ,在vlanif内配置ip地址

相当于启用路由器的二层接口，需要通过vlan来配置ip

网络地址的划分与优化

每个子网内有多少个主机号等基础知识

路由协议

RIP

典型的距离矢量路由协议,域间路由协议
Routing Information Protocols,路由信息协议，使用520端口，基于UDP

为什么只适用于小型网络？

为了防止RIP路由在网络中被无限泛洪从而跳数累加到无穷大，RIP规定：路由的最大跳数为15跳，也就是如果度量值大于等于16跳则被视为不可达；

最大跳数的设定虽然解决了度量值计数到无穷大的问题，但是却也极大地限制了RIP所能支持的网络的规模

报文类型

请求（Request）报文🐿️

用于向直连的路由器请求全部或者部分路由信息

响应（Response）报文🐿️

用于发送路由更新，或对请求报文的回应，也可由路由器自主发出

环路出现原因🤐

路由器接收到了从本地发出去的，对方路由认为可达的不可达路由，并错误认为通过对方可达

环路的解决方案🤐

定义最大度量以防止计数至无穷大

为了防止RIP路由在网络中被无限泛洪从而跳数累加到无穷大，RIP规定：路由的最大跳数为15跳，也就是如果度量值大于等于16跳则被视为不可达

水平分割

路由器的某个接口接收到的路由不能再从该接口通告出去

毒性逆转

毒性逆转（带毒性路由的水平分割）是指RIP从某个接口学到路由后，从原接口发回邻居路由器，并将该路由的开销设置为16（即指明该路由不可达）。利用这种方式，可以清除对方路由表中的无用路由。

毒性路由是指路由信息在路由表中失效时，先将度量值变为无穷大，而不是马上从路由表中删掉这条路由信息，再将其信息发布出去，这样相邻的路由器就得知这条路由己无效了。

抑制计时器

一条路由信息无效之后，一段时间内这条路由都处于抑制状态，即在一定时间内不再接收关于同一目的地址的路由更新

触发更新

当路由信息发生变化时，立即向邻居设备发送触发更新报文，而不用等待更新定时器超时，从而避免产生路由环路

RIP的计时器

更新计时器： 30s，路由器周期性泛洪路由表的时间间隔
老化计时器：180s，一条路由信息在路由表中的最大不被更新的时间
垃圾回收计时器：120s，老化的路由信息在被删除前的停留时间

RIP网络的故障排除

network :用于激活相应接口上的rip功能（或：宣告网络），由于rip的version 2能自动汇总路由，故其后必须是主类网络

如果接口启用水平分割、毒性逆转，则不进行汇总

若希望既开启水平分割或毒性逆转，又开启自动汇总，可在rip的配置视图下配置命令：

[R-rip-1]summary always

OSPF

Open Shortest Path First，开放式最短路径优先
链路状态类型协议，域内路由协议
适用于中大型网络

路由计算过程🦂

路由器之间发现并建立邻居关系
每台路由器产生并向邻居泛洪链路状态信息，同时接收来自其他路由器状态信息，完成LSDB（Link State Database：链路状态数据库）的同步
每台路由器基于LSDB通过SPF（Shortest Path First）算法，计算得到一棵以自己为根的SPT(Shortest Path Tree)，再以SPT为基础计算去往各邻居连接网络的最优路由，并形成路由表。

三张表💕

邻居表（Peer table）

display ospf peer
在路由器交互链路状态通告之前，直连路由器需要建立邻居关系。当接口激活OSPF后，该接口会周期性地发送hello报文用于发现直连链路上的邻居。当在接口上发现邻居后，邻居信息会被写入路由器的邻居表中。

链路状态数据库（Link-state database，简称LSDB）

display ospf lsdb
OSPF在网络中泛洪链路状态信息，这些信息即为LSA（Link State Advertisement，链路状态通告），用来描述网络拓扑信息。LSA被写入OSPF路由器的LSDB中。

OSPF路由表（Routing table）

display ospf routing
基于LSDB进行SPF计算得到一棵以自己为根、无环的最短路径树。基于最短路径树发现到达全网各个网段的最佳路径，并将最佳路径（即路由信息）写入得出OSPF路由表。

OSPF报文类型

Hello报文

周期性发送，用来发现和维持OSPF邻居关系

DD报文 Database Description packet

描述本地LSDB的摘要信息，用于两台设备进行数据库同步

LSR报文 Link State Request packet

向对方请求所需的LSA,设备只有在OSPF邻居双方成功交换DD报文后才会向对方发出LSR报文

LSU报文 Link State Update packet

用于向对方发送其所需要的LSA

LSAck报文 Link State Acknowledgment packet

用来对收到的LSA进行确认

LSA 链路状态通告🧠

链路状态

init (hello报文)
2-way(hello报文) （邻居关系）
fffexstart (DD报文)
exchange(DD报文)
loading(LSR,LSU,LSAck报文)
full (hello报文) （邻接关系）

设计LSA在区域里面可以减少链路资源消耗

1 Router LSA

每台OSPF路由器都会产生，用来描述本设备链接到该区域的直连接口状态以及COST等信息

2 Network LSA

由DR 路由器产生，用来描述在该MA 网络上DR直连的所有OSPF路由器的RouterID (包含自己)，以及该MA网络的网络掩码

没有COST字段

[ABR] 3 Network Summary LSA

归纳本区域信息汇总后交付到其他区域，用于OSPF区域间路由计算

[ABR] 4 ASBR summary LSA

用于描述ASBR : 使用重发布来描述两个不同协议的区域

实际是主机路由，用于描述到AS边界路由器的路由

使用32位掩码（RouterID）来匹配主机路由

[ASBR] 5 AS External LSA

描述外部路由的LSA

[ASBR] 7 NSSA LSA

外部路由标志O_ASE 即 OSPF AS External

内容与LSA5几乎相同，但NSSA LSA仅在始发此LSA的NSSA内泛洪，不能直接进入骨干网络，NSSA的ABR会将LSA7转换为5LSA注入骨干网络

[ASBR] NSSA External NSA

骨干网络里面不会有LSA 7，只存在于NSSA

OSPF支持的网络类型👁️

点到点网络（Point-to-Point，P2P）

[链路层协议]：PPP链路 HDLC链路

点到多点网络（Point-to-Multipoint， P2MP ）

[链路层协议]：手动设置

广播型多路访问网络（Broadcast-Multi-Access，BMA）

[链路层协议]：Ethernet以太网 FDDI光纤分布式数据接口

非广播型多路访问网路（Non- Broadcast-Multi-Access， NBMA ）

[链路层协议]：FR帧中继 ATM异步传输模式

虚链路（Virtual Link）

DR和BDR

DR的作用

减少MA网络中报文交互的数量，节省链路资源

BDR的作用

作为DR的备份，时刻监视DR的状态，一旦DR出现故障就成为新的DR

DR/BDR选取原则：

比较优先级 priority，优先级大的会被选举为DR（优先级默认都为1）
（注意：若将优先级设为0，则不参与DR、BDR的选举）
优先级相同的情况下，Router-id大路由器就会被选举成DR
先运行ospf协议的会被选举成DR
一旦DR、BDR确定，正常情况下很难被更改

为什么要选举DR和BDR？在什么样的网络里选

BMA和NBMA网络需要选举DR和BDR

好处

形成邻居状态，在没有选举之前，有$n *(n-1)/2$ 个邻居关系

选举之后，有$n-1$个邻居关系，通过邻居关系的数量来展开DR和BDR的好处

减少邻居关系，节约带宽资源

不想让某些路由器参与DR与BDR的选举的做法🦴

将DR优先级设置为0，它就不会参与这个网段上DR/BDR的选取了，它的角色永远就是DR Other

特殊区域

普通区域

缺省情况下，OSPF区域被定义为普通区域。包括标准区域和骨干区域(Area0)

存根区域 Stub区域

禁止LSA4 和LSA5泛洪，允许骨干网络进入的LSA3，同时ABR会自动下发LSA3的缺省路由

完全存根区域 Totally Stub区域

禁止LSA345泛洪，同时ABR会自动下发LSA3的缺省路由

非完全末梢区域 NSSA Not-so-stubbt Area

禁止从骨干网络进入的LSA45,但是允许本地区域注入AS外部的路由，外部路由在NSSA内以LSA7的方式泛洪。NSSA ABR下发一条LSA7缺省路由

完全非完全末梢区域 Totally NSSA

在NSSA基础上禁止从骨干网络进入的LSA3，同时NSSA ABR下发一条缺省的LSA3路由

# 设置区域类型为stub 无4 无5
[sw-ospf-1-0.0.0.1] stub 
# 设置区域类型为total stub 无3 无4 无5 
[sw-ospf-1-0.0.0.1] stub no-summary
# 设置区域类型为nssa  只有 3类 5类 和 7类 只适用于小型
[sw-ospf-1-0.0.0.1] total nssa
# 设置区域类型为nssa  只有 5类 和 7类 只适用于小型
[sw-ospf-1-0.0.0.1] nssa no-summary

| Area Type \
LSA类型 | 1&2 | 3 | 4 | 5 | 7 |
| — | — | — | — | — | — |
| 普通区域 | 1 | 1 | 1 | 1 | 0 |
| 存根区域 | 1 | 1 | 0 | 0 | 0 |
| 完全存根区域 | 1 | 0 | 0 | 0 | 0 |
| NSSA区域 | 1 | 1 | 0 | 0 | 1 |

路由重发布(路由引入)

将路由信息从一种路由协议发布到另一种路由协议的操作

作用

在网络中部署路由重发布，可以使得路由信息能够在多种路由协议之间实现传递，从而全网的数据能够实现互通

在RIP进程中import-route OSPF的路由进程
在OSPF进程中import-route RIP的路由进程

# 在边界路由R2中
[R2-rip-1]import-route ospf 1 cost 2

# 设置默认cost度量类型为2,指定从OSPF引入的路由条数为2，默认为0
[R2-ospf-1]import-route rip 1 cost 10 type 2

引入其他路由

# 引入静态路由
[R2-ospf-1]import-route static

# 引入直连路由
[R2-ospf-1]import-route direct

引入成功后，域间路由的路由表中可以看到路由协议为O_ASE的外部路由信息

BGP（Border Gateway Protocol 域间路由协议）

边界网关协议是一种实现自治系统AS之间的路由可达，并选择最佳路由的矢量性协议。

AS（Autonomous System）

自治系统：指的是同一个组织管理下，使用相同策略的设备的集合

类型

路径矢量路由协议，基于TCP协议运行(port:179)

特点

能够承载大批量的路由信息，能够支撑大规模网络。
提供了丰富的路由策略，能够灵活的进行路由选路，并能指导邻居按策略发布路由。
能够支撑MPLS/VPN的应用，传递客户VPN路由
提供了路由聚合和路由衰减功能用于防止路由振荡，有效提高了网络的稳定性
使用TCP作为其传输层协议（端口号为179），增强网络的可靠性。

特征

BGP使用TCP为传输层协议，TCP端口号179。路由器之间的BGP会话基于TCP连接而建立。
运行BGP的路由器被称为BGP发言者（BGP Speaker），或BGP路由器。
两个建立BGP会话的路由器互为对等体（Peer）。BGP对等体之间交换BGP路由表。
BGP路由器只发送增量的BGP路由更新，或进行触发更新（不会周期性更新）。
BGP具有丰富的路径属性和强大的路由策略工具。
BGP能够承载大批量的路由前缀，用于大规模的网络中。

对等体Peer

建立对等体的前提

路由可达，能建立TCP连接

EBGP 外部对等体

一般基于直连端口建立，若不是直连端口，则要修改EBGP报文中的TTL(TIME TO LIVE:到目的网段的剩余路由器(网段)跳数,若为0则目的地址不可达)字段，该字段默认为1，一般修改为2

俩路由器处于不同自治系统(AS号不同)，且可以互通(即TCP可达)

IBGP内部对等体

一般基于loopback接口建立，不要求设备必须直连

俩路由器处于相同自治系统(AS号相同)，且可以互通(即TCP可达)

如何建立对等体

基于非直连的接口建立的对等体需要的配置(静态路由等)

# 直连接口建立对等体
bgp 12
router-id 2.2.2.2
peer 10.1.12.1 as-number 12 
peer 10.1.23.3 as-number 300

# 非直连接口建立对等体
bgp 100
router-id 1.1.1.1
peer 2.2.2.2 as-number 200
peer 2.2.2.2 connect-interface loopback 0
peer 2.2.2.2 ebgp-max-hop 200

Origin源

IGP路由协议

incomplete 不完整

报文类型及作用🧐

Open

(TCP连接成功后发送)协商BGP邻居的各项参数，建立邻居关系

Update

(路由变化时发送)发送BGP路由信息

Notification

(运行中发现错误时发送)用于报告错误，中止对等体关系

Keepalive

(定时发送)用于维护对等体关系

Route-refresh

(路由策略发生变化时发送)请求对等体重新通告路由，只有支持路由刷新的BGP设备会发送和响应此报文

TTL(EBGP,联邦成员EBGP)

与OSPF中“邻居”概念类似，但不一定是临接关系

路由发布

可以将路由表中的直连路由、静态路由或通过IGP协议学习到的路由发布到BGP

network

一次只能发布一个网段

import-route

一次能引入多个网段

aggregate

手动路由汇总

通告汇总路由，明细路由也会被通告，且通告会丢失明细路由的路径属性，如as_path

自动路由汇总

summary automatic 开启自动汇总但不会通告明细路由

关键字

detail-suppressed

抑制明细路由

as-set

通告时继承明细路由的路径属性（如AS_PATH）

suppress-policy {policyname}

通告时选择性地抑制明细路由

atrribute-policy {policyname}

设置汇总路由属性

origin-policy {policyname}

将某条或多条明细路由作为触发产生汇总路由的条件

应用范围
对于多个网络如何进行汇总

AS内的环路和措施

BGP是距离矢量路由协议，因此会有环路问题，为了解决环路问题，设置了水平分割，在水平分割的情况下，如果要实现BGPAS内全互联，则需要IBGP全互联，这会导致路由器需要维护大量TCP和BGP连接，并且AS内BGP网络的可扩展性较差，因此有两种方案解决，一是实用路由反射器，二是BGP联邦。

IBGP水平分割

路由器不会将自己从IBGP对等体中学习到的路由条目再传递给其他IBGP对等体

产生原因
AS_Path属性仅在路由离开AS时才会被更改，而BGP路由在AS内部传递时，路由的AS_Path属性值不会发生改变，如此一来，IBGP路由的防环就无法依赖AS_Path了。

路由反射器（Route Reflector，RR）

角色：RR,Client

如果该路由学习自非Client IBGP对等体，则反射给自己所有的Client
如果路由学习自Client，则反射给所有非Client IBGP对等体和除了该Client之外的所有Client
如果路由学习自EBGP对等体，则发送给所有Client和非Client IBGP对等体

防环

源ID(Originator_ID)

如果路由为本地AS始发:则Originator_ID被设置为BGP路由宣告者的Router-ID
如果路由为非本地AS始发:则Originator_ID被设置为本地AS的边界路由器的Router-ID
如果AS内存在多个RR:则Originator_ID属性由第一个RR创建，并且不被后续的RR(若有) 所更改

路由反射簇列表(ClusterList）

路由反射簇包括反射器RR及其Client。一个AS内允许存在多个路由反射簇。

每一个簇都有唯一的簇ID（Cluster-ID，缺省时为RR的BGP Router-ID ）。

当一条路由被反射器反射后，该RR（该簇）的Cluster_ID就会被添加至路由的Cluster_list属性中。

# 配置本机为RR 并为Cluster指定Client
peer 1.1.1.1 reflect-client
# Client无需配置

#修改ClusterID
reflector cluster-id 22.22.22.22

BGP联邦（Confederation）

将IBGP变成联邦IBGP，不同联邦AS之间的IBGP变成特殊的联邦EBGP。联邦内的AS号是使用TYPE34的特殊AS_PATH存储，因此对于联邦AS外部而言，联邦成员AS是不可见的。

通告给联邦的BGP路由，Next_Hop，MED，Local_Preference属性在整个联邦范围内保持不变

# R3
confederation id 345

# R4
confederation id 345
confederation peer-as 64513 # 联邦IBGP
peer 5.5.5.5 ebgp-max-hop 2 # 联邦EBGP

# R5
confederation id 345
confederation peer-as 64512
peer 4.4.4.4 ebgp-max-hop 2

AS间的防环

通过AS_PATH来实现，如果某台BGP路由器从其外部对等体收到某条路由的AS_PATH中包含有自己的AS号那么该路由器就知道出现了环路，因而丢弃该路由

BGP路径属性

公认必遵

所有BGP路由器都能识别，并且Update报文中必须携带

如 Origins AS_Path Next-hop

公认自决

所有的BGP路由器都能识别，但不要求必须包含在Update报文中

如 Local-Preference Atomic_Aggregate

可选属性

可选传递

可以不支持但是应该转发给支持的路由如Community to

可选非传递

可以不支持也不转发如 MED Originator_ID Cluster_list *pre_value

属性解析 Preferred-value 优先值 华为私有的路径属性，取值范围：0~65535；该值越大，则路由越优先 Preferred-Value只能在路由器本地配置，而且只影响本设备的路由优选。该属性不会传播给任何BGP对等体路由器本地始发的BGP路由默认的Preferred-Value值为0，从其他BGP对等体学习到的路由默认 Preferred-Value也为0。
1
2
3
4
5
# 修改Preferrred-value
peer 5.5.5.5 preferred-value 10

# 使用route-policy修改Preferred-Value
apply preferred-value 10
Local-Preference 本地优先级 缺省为100，值越大越优只能传递给IBGP
1
2
3
4
5
# 修改Local_Preference
bgp default local-preference 10

# 通过route-policy修改Local_Preference
apply local-preference 200
本地生成的路由 包括network，import-route，手工汇总和自动汇总引入的路由 aggregate手动汇总路由>summary automatic自动汇总路由>network宣告的路由>import-route重引入的路由>从邻居学习的路由 AS_PATH 是一个序列，包含了经过了所有as的编号
- 路由在被通告给EBGP对等体时，路由器会在该路由的AS_Path中追加上本地的AS号
- 路由被通告给IBGP对等体时，AS-path不会发生改变
作用确保确保路由在EBGP对等体之间传递无环；另外也作为路由优选的衡量标准之一类型
- AS_Sequence
一个去往特定目的地所经路径上的有序AS号列表
- AS_confed_sequence
一个去往特定目的地所经路径上的有序AS号列表，此AS列表是本地联邦中的AS
- AS_Set
一个去往特定目的的所经路径上的无序AS号列表
- AS_confed_set
一个去往特定目的的所经路径上的无需AS号列表，此AS列表是本地联邦中的AS
1
2
# 通过route-policy修改AS_PATH
apply as-path 100 additive
Origin 标识了路由起源 IGP(network的路由)>EGP(重发布EGP的路由)>Incomplete(import的不完全的路由)
1
2
# 通过route-policy修改Origin
apply origin incomplete
MED (Multi Exit Discriminator) 是一种度量值，用于向外部对等体指出进入本AS的首选路径，即当进入本AS的入口有多个时，AS可以使用MED动态地影响其他AS选择进入的路径 MED属性值越小则BGP路由越优 MED主要用于在AS之间影响BGP的选路。MED被传递给EBGP对等体后，对等体在其AS内传递路由时，携带该MED值，但将路由传递给其EBGP对等体时，默认不会携带MED属性
⚠️ 如果路由没有MED属性，BGP选路时将该路由的MED值按缺省值0来处理；执行bestroute med-none-as-maximum命令后，BGP选路时将该路由的MED值按最大值4294967295来处理
1
2
# 通过route-policy修改MED
apply cost 999
Next_Hop 指定到达目标网络的下一跳地址
1
2
# 修改BGP路由下一条为自身
pper 10.1.12.1 next-hop-local
Community
- no-advertise 不再传递给其他任何BGPPeer
- no-export 不再传递给其他任何EBGPPeer(联邦EBGP除外)
- no-export-subconfed 不能再传递给其他任何EBGPPeer(包括联邦EBGP)
1
2
3
4
# 下发缺省路由
default-route originate

default-route-advertise always

BGP 路由优选规则

更大的Preferred-value
更大的Local-Preference
起源于本地
AS_Path更短
Origin(IGP>EGP>Incomplete)
MED更小
EBGP通告的路由
Next_Hop的IGP度量值更小的路由
BGP路由负载分担
Cluster_List更短
Router-ID更小的BGP对等体发来的路由
PeerID更小的对等体发来的路由

RP路由策略和PBR策略路由

RP和PBR的区别

RP作用于路由，PBR是在路由存在的基础上作用于数据包

路由策略

路由策略是一套用于对路由信息进行过滤、属性设置等操作的方法，通过对路由的控制从而影响数据流量的转发操作

作用

控制路由（引入，发布）
修改路由条目中的属性值

route-policy

路由策略工具主要实现路由过滤和路由属性设置等功能 隐含Deny

if-match

acl
cost
interface
ip ( next-hop | router-source | group-address )
ip-prefix
route-type
tag

apply

cost
cost-type { type-1 | type-2 }
ip-address next-hop
preference
tag

route-policy RP permit node 1
if-match x1
if-match x2
apply y1

只注入172.16.1.0/24,并设置cost = 20

# 使用ACL2000
acl 2000 
# 只能匹配IP地址 所以在这里 0.0.0.0 <=> 0.0.0.255
rule permit source 172.16.1.0 0.0.0.0 

route-policy RP permit node 10 # 创建route-policy RP  进入节点10
# 调用ACL2000 ACL中隐藏的条目(huawei是permit all) 不会被隐含
# 因此引入后，默认仍是使用
ospf中的deny all
if-match acl 2000 
apply cost 20 # 将路由cost设置为20

ospf 1 
import-route direct route-policy RP # 路由引用时应用route-policy RP

引入路由时保留cost值

# [R1] 
ip route-static 10.0.1.0 24 172.16.1.2
ip route-static 10.0.2.0 24 172.16.11.2

acl 2000

acl 2001

route-policy RP permit node 10
if-match acl 2000
apply cost 10

route-policy RP permit node 20
if-match acl 2001
apply cost 20

# [R2] 值相反设置

ACL

ip-prefix🌰

前缀列表匹配路由的可控性比ACL高可匹配路由条目中的网络号及掩码精确度高。隐含Deny

# 路由的网络地址的前22位必须有192.168.4.0前22位相同
# 且目标网络掩码必须大于等于24 greater-equal是大于等于 小于等于是less-equal 
ip ip-prefix abdc permit 192.168.4.0 22 greater-equal 24
# 等价于 （隐含了掩码>22）
ip ip-prefix abcd index 10 permit 192.168.4.0 22 greater-equal 24

filter-policy

用于控制路由更新，接受

只能过滤路由信息，无法过滤LSA，不能修改路由属性值

# 命令格式
filter-policy { acl-number | acl-name acl-name } import | export [ interface-type interface-number ]

filter-policy gateway ip-prefix-name import | export

filter-policy ip-prefix ip-prefix-name [ gateway ip-prefix-name ] import | export [ interface-type interface-number ]

# RIP 中对路由进行过滤
ip ip-prefix 1 deny 192.168.3.0 24
ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32
rip 1
filter-policy ip-prefix 1 export GigabitEthernet0/0/1 # 过滤发布路由

filter-policy ip-prefix 1 import GigabitEthernet0/0/1 # 过滤接收路由

# OSPF 中对路由进行过滤
ip ip-prefix 1 deny 192.168.3.0 24
ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32
ospf 1
filter-policy ip-prefix 1 import # 过滤接收路由

import-route direct
filter-policy ip-prefix 1 export # 过滤发布路由

策略路由

操作对象是数据包，在已有路由表的情况下，不按照路由进行转发，而是根据需要，按照某种策略改变数据包的转发路径

作用

改变数据包转发路径

MQC (Modular Qos Command-line Interface：模块化QoS命令行接口)

流分类traffic classifier

流行为traffic behavior

流策略traffic policy

配置流分类，定义报文匹配协议
配置流行为，确定处理动作
配置流策略，为流分类绑定流行为
应用流策略

重定向

在某些需要指定特定的数据流走特定的下一跳的场景下可以使用策略路由实现

例

# 10网段的用户通过高速链路访问外网
# 20网段的用户通过低速链路访问外网

# 1 配置ACL规则 
[Switch] acl 3001 # 高级ACL
[Switch-acl-adv-3001] rule permit ip source 192.168.10.0 0.0.0.255
[Switch] acl 3002
[Switch-acl-adv-3002] rule permit ip source 192.168.20.0 0.0.0.255

# 2 配置流分类 
[Switch] traffic classifier c1
[Switch-classifier-c1] if-match acl 3001
[Switch] traffic classifier c2
[Switch-classifier-c2] if-match acl 3002

# 3 配置流行为 
[Switch] traffic behavior b1
[Switch-behavior-b1] redirect ip-nexthop 10.1.10.1
[Switch] traffic behavior b2
[Switch-behavior-b2] redirect ip-nexthop 10.1.20.1

# 4 配置流策略
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] classifier c2 behavior b2

# 5 应用流策略
[Switch] interface gigabitethernet 6/1/10
[Switch-GigabitEthernet6/1/10] traffic-policy p1 inbound

网络限速

基于IP网段限速

可以实现多种限速，比如基于VLAN的限速、基于IP网段的限速等。
适用于需要对流量类型进行区分以保证某些应用得到充足带宽的场景。

基于端口限速

按照限速的方向，分为入方向的接口限速和出方向的接口限速。
适用于流量种类较单一或不需要对流量类型进行区分，但是网络带宽有限需要对流量限速的场景。

基于Vlan限速

汇总

将多个子网络汇总成一个大的主网络，也就是说在这个主网络中包括了多个子网络。

不同路由的默认优先级

路由协议或路由种类	华为默认优先级
DIRECT	0
OSPF	10
IS-IS	15
STATIC	60
RIP	100
OSPF ASE	150
OSPF NSSA	150
IBGP	255
EBGP	255

汇总原因

不进行路由汇总会产生的问题：

1 路由表体积太大，消耗内存资源，影响查表速度
2 硬件资源不足，当路由条目太多并且需要检索时会消耗很多资源

如何汇总

防火墙

是一个网络安全设备

作用

通过配置，进行访问控制并保护网络安全

配置

访问控制，身份验证，数据加密，VPN

迭代

1代每次连接都要查表太慢了
代理防火墙对每一个服务提供代理，成本高且升级困难
状态检测防火墙只对一串包的第一个包进行监测
统一威胁管理防火墙多了各种防护功能
下一代防火墙多更多功能

分类——基于业务

FW 内外(边界)防火墙
WAF防火墙 Web应用防火墙 (一般在DMZ隔离区)
VFW 虚拟防火墙
Anti-DDos 反DDoS防火墙

分类——基于软硬件

硬件防火墙
软件防火墙
芯片级防火墙(特殊系统中才应用)

防火墙的安全区域

同一区域的数据报文不使用安全策略，只有跨区域传输才使用

华为默认区域：

本地区域代表防火墙本身安全级别100 (可信度最高
信任区域一般用于定义内部网络安全级别85
非信任区域一般用于定义非内部网络或互联网安全级别5 (可信度最低
隔离区域一般用于定义内部服务器所在网络安全级别 50

数据流动：

入方向(inbound): 从低安全级别区域到高安全级别区域
出方向(outbound): 从高安全级别区域到低安全级别级别区域

缺点

防外不防内
无法防止全部安全威胁，特别是新型威胁
在提供深度检测与处理转发之间的性能平衡问题
使用p2p加密协议(如VPN)时，无法处理加密隧道

eNSP命令

display

# 显示所有端口状态
display interface brief

# 显示bgp路由表
display bgp routing-table

# 查询流分类配置信息
display traffic classifier user-defined c1

# 查询流策略配置信息
display traffic policy user-defined p1

interface

1
2
3

# 配置回环接口
interface loopback 1
## 接口号 1~1024

Donate

Copyright： Copyright is owned by the author. For commercial reprints, please contact the author for authorization. For non-commercial reprints, please indicate the source.