進階IGP重分發
内容:1、通過管理工具實作對重分發的控制;
2、發現和解決重分發易出現的問題。
3、PBR(政策路由)
1、使用Route-map和Distribute-list對重分發的控制
1.1 Route-map(路由映射表)
—功能:
1、根據字首/長度以及其它因素識别要修改或過濾的路由;
(修改:路徑成本、外部路由類型、下一跳等)
2、設定路由标記(識别出同一類的路由),友善後續過濾或做其他修改等。
—配置:
1.全局:route-map *** permit/deny [序列号]
注:如果比對該規則,且為permit操作時:
—如果有set,則執行set指定的動作再放行該路由;
—如果沒有set,則直接放行。
如果比對動作為deny的規則,則直接丢棄該路由;
route-map預設拒絕,注意放行其他路由(最後設定:route-map *** permit [序列号最大],沒有match語句)。
match:
---ip address xx(ACL)
---ip address prefix-list &&&
---interface 接口類型/編号 (比對路由的出接口)
---length xx (比對封包長度)
---route-type ... (比對路由類型)
---tag xx (比對路由标記為多少的路由)
---metric xx [+- yy] (比對路由路徑成本,後面+-表示路徑成本範圍)
注:一個規則下可以有多個match語句,match之間為“與”的關系;
match語句後面跟多個比對條件,則此時為“或”的關系。
set:
---metric xx 設定比對條件路由的路徑成本;
(metric 1500 100 255 1 1500,設定EIGRP的路徑成本)
---metric-type ... 設定外部路由類型
---tag xx 設定路由标記
—應用route-map,協定視圖:redistribute … route-map ***
1.2 Distribute-list(分發清單)
—配置ACL或IP-prefix(預設最後拒絕,注意設定為放行);
—配置分發清單:
協定視圖:distribute-list xx/prefix *** out 協定(程序/AS)
注:協定之間(重分發)時隻能用out;将ACL/Prefix應用于從協定引入的路由。
2、多個重分發點導緻的問題
解決方法一:設定較高路徑成本來避免域間循環
将外部引入的路由的路徑成本設定的比域内大,避免域内誤認為外部路由花費更小(不能解決域邊界路由器問題,因為其可能有更優的管理距離)。
解決方法二:使用管理距離避免域間循環
直連--------0
靜态--------1
EIGRP彙總—5
EBGP--------20
EIGRP内部—90
OSPF--------110
RIP---------120
EIGRP外部—170
IBGP--------200
不可達------255
注:EIGRP預設就區分内部和外部路由的管理距離,是以一般與其他IGP路由協定互重分發(互引)不會出現域間循環問題。
是以,就采用EIGRP這種辦法設定域内和域外兩種管理距離:
RIP視圖:distance xx(隻能設定一種,建議預設)
OSPF視圖:distance ospf [external xx][intra-area xx][inter-area xx]
注:建議将外部路由管理距離設定170左右,域内保持預設。
EIGRP視圖:distance eigrp xx(内部)xx(外部)
注:EIGRP預設區分域内和域外,是以不需設定。
3、存在兩個以上的路由域時的域間循環問題
解決方法一:在EIGRP重分發到OSPF時過濾1.1.1.0/24
RT2:
ip prefix-list stop1 deny 1.1.1.0/24
ip prefix-list stop1 permit 0.0.0.0/0 ge 1
OSPF視圖:distribute-list prefix stop1 out eigrp 10
注:此解決方法導緻OSPF網絡内不能學習1.1.1.0/24!
解決方法二:使用路由标記(tag)避免域間循環
RT2:
route-map tag permit 10
set tag 100
OSPF視圖:redistribute eigrp 10 subnets route-map tag
RT3:
route-map denytag100 deny 10
match tag 100
route-map denytag100 permit 20
EIGRP視圖:redistribute ospf 1 metric 1500 100 255 1 1500 route-map denytag100
實驗目的:不讓RT3再将從EIGRP引入的路由(1.1.1.0/24)再次引入到EIGRP網絡。
access-list 1 deny 1.1.1.0 0.0.0.255
access-list 1 permit any
OSPF視圖:distribute-list 1 in(過濾RT3上關于1.1.1.0/24從OSPF學習的路由)
4、基于政策的路由(PBR)
路由器傳統轉發方式:檢查入站幀的幀校驗和(FCS),如果錯誤丢棄;通過FCS檢查則解封裝,此時為IP封包,依據IP頭部的目标IP查詢路由表,找出與目标IP比對且字首最長的路由。
Cisco快速轉發(CEF):當今大多數路由器都預設采用CEF轉發。路由器将IP封包的目标IP與CEF表進行比較。CEF表是IOS根據路由表資訊生成的,其查詢速度比路由表快得多(基于硬體的轉發)。
PBR:截獲在入站接口的解封裝的分組,然後比對上PBR的封包依據PBR的動作執行轉發(即PBR在查詢路由表/CEF表之前)。
PBR配置:
1、定義政策:[全局]route-map *** permit xx
2、設定match語句:
match ip address xx(ACL)
或 match length xx(min)xx(max)—封包長度(位元組)
3、設定動作:
set interface 接口類型/編号 (指定封包轉發出接口)
set ip next-hop x.x.x.x (指定封包轉發的下一跳)
set default interface 接口類型/編号
set default ip next-hop x.x.x.x
注:指定出接口和下一跳,其優先級高于路由表;其中出接口優于下一跳;
如果指定預設出接口和預設下一跳,則其優先級高于路由表中預設路由,但低于明細路由。
注:如果在PBR中沒有被比對,則PBR執行預設deny語句;将這類封包交路由表/ CEF表程序正常轉發。
4、應用PBR:
----應用在資料流的入接口:ip policy route-map ***
注:對進入該接口的資料有效。
----應用在全局:ip local policy route-map ***
注:對本地裝置生成的資料有效。
例:
RT1:
access-list 5 permit 5.5.5.5 0.0.0.0
route-map pbr permit 10
match ip address 5
set ip next-hop 13.1.1.3
E0/0:ip policy route-map pbr
測試:[RT5]traceroute 4.4.4.4 source 5.5.5.5
注:Route-map在路由協定充分發(互相引入)時應用,作用是過濾路由條目、修改路由條目的屬性;
Route-map在接口或全局應用,優先于路由表/CEF表執行(并不影響路由表)。