文档介绍:DP500027 路由控制和路由选择
ISSUE
如何对报文转发的路径进行有效控制?如何对发布、接收、引入的路由信息进行有效控制,提高网络安全性?学完本课程之后您将会找到满意的答案。
前言
Page 2
参考资料
VRP 操作手册
Page 3
学****完此课程,您将会:
理解过滤的各种工具及其作用
学会路由策略的各种应用
学会应用策略路由
目标
Page 4
第1章过滤的工具
第2章路由策略
第3章策略路由
内容介绍
Page 5
第1章过滤工具
过滤的工具
内容介绍
Page 6
过滤的工具
访问控制列表(access-list)
用于匹配路由信息或者数据包的地址,过滤不符合条件的路由信息或数据包
前缀列表(prefix-list)
匹配对象为路由信息的目的地址或直接作用于路由器对象(gateway)
自治系统路径信息访问列表( as-path-filter)
仅用于BGP协议,匹配BGP路由信息的自治系统路径域
团体属性列表( community-filter)
仅用于BGP协议,匹配BGP路由信息的自治系统团体域
路由策略(route-policy)
设定匹配条件,属性匹配后进行设置,由if-match和apply子句组成
五种过滤工具
Page 7
过滤的工具
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据源地址、目的地址、端口号等来描述。
按照访问控制列表的用途,可以分为三类:
基本的访问控制列表(basic acl)
高级的访问控制列表(advanced acl)
基于接口的访问控制列表(interface-based acl)
访问控制列表的使用用途是依靠数字的范围来指定的
2000~2999:基本的访问控制列表
3000~3999:高级的访问控制列表
1000~1999:基于接口的访问控制列表
访问控制列表
Page 8
过滤的工具
有两种匹配顺序:
配置顺序
配置顺序,是指按照用户配置ACL的规则的先后进行匹配
自动排序
自动排序使用“深度优先”的原则
“深度优先”规则是把指定范围最小的语句排在最前面
访问控制列表(续)
Page 9
过滤的工具
前缀列表用来过滤IP前缀,能同时匹配前缀号和前缀长度
前缀列表的性能比访问控制列表高
前缀列表不能用于数据包的过滤
例:ip ip-prefix test index 10 permit 16 greater-equal 24 less-equal 28
24<=前缀长度<=28
, ,
前缀列表
Page 10