ACL管理规则
每个ACL可以包含多个规则 规则通过规则ID来标识 规则ID之间会留下一定的间隔
ACL规则匹配
命中规则 未命中规则
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
7
原理
命令
排障
案例
建议
路由选择工具—ACL分类
ACL类型根据不同的划分规则可以有不同的分类
按照创建ACL 时的命名方式分
• • • • • • 数字型ACL 命令型ACL 基于接口的ACL（编号范围1000-1999） 基本ACL（编号范围2000-2999） 高级ACL（编号范围3000-3999） 二层ACL（编号范围4000-4999）
按照ACL的功能分类
HUAWEI TECHNOLOGIES CO., LTD.
包括本地策略路由、接口策略路由和智能策略路由
类型 本地策略路由 接口策略路由 智能策略路由 匹配原则 对本地发送的报文有效。比如，ICMP、BGP 对转发报文生效 基于链路质量信息为业务数据流选择最佳链路， 需要特定的license支持
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
1.带VPN实例的规则优先 2.源IP地址范围小的优先 3.rule ID小的优先
1.带VPN实例的规则优先 2.指定了IP 协议承载的协议类型的规则优先 3.源IP地址范围小的优先 4.目的IP地址范围小的优先 5.四层端口号范围小的规则优先 6. rule-id 小的优
高级ACL
HUAWEI TECHNOLOGIES CO., LTD.
排障
案例
建议
目 录
路由策略和策略路由原理描述
路由策略和策略路由配置命令 路由策略和策略路由故障诊断 路由策略和策略路由案例分析 路由策略和策略路由备考建议
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
4
原理
命令
排障
案例
建议
BGP原理描述
路由策略和策略路由原理描述
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
12
原理
命令
排障
案例
建议
路由选择工具—as-path-filter
as-path-filter
用于过滤BGP中的AS_Path属性 使用正则表达式进行定义
示例
ip as-path-filter 10 permit .*
10
原理
命令
排障
案例
建议
路由选择工具—ip-prefix
ip-prefix
用于过滤IP前缀，能同时匹配前缀号和掩码长度 不能用于数据包过滤 缺省情况下，存在最后一条默认匹配模式为deny
当引用的前缀过滤列表不存在时，默认匹配模式为permit
HUAWEI TECHNOLOGIES CO., LTD.
•
•
掩码范围在24-32之间的网络1.1.1.0才能permit
掩码范围在26-32之间的网络1.1.1.0才能permit
ip ip-prefix FILTER index 10 permit 1.1.1.0 24 greater-equal 26 ip ip-prefix FILTER index 10 permit 1.1.1.0 24 greater-equal 26 less-
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
13
原理
命令
排障
案例
建议
路由选择工具—community-filter
community-filter
用于过滤BGP中的community属性
示例
ip community-filter 1 permit 100:1
Huawei Confidential
9
原理
命令
排障
案例
建议
路由选择工具—ACL其他特性
ACL对分片报文的支持
检查首片报文 检查非首片报文 检查所有报文（包括分片）
ACL生效时间段
使ACL在特定时间内有效
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
20
原理
命令
排障
案例
建议
策略路由—本地策略路由
本地策略路由
本地策略路由是仅对本机下发的报文进行处理的策略路由，对转发的报文 不起作用 可配置多个本地策略路由，每个本地策略路由称为一个节点，报文按照本
地策略路由节点顺序进行匹配
匹配顺序如下
本地下 发报文 是否匹 配策略 点？ 将报文从缺省下 一跳发送出去 是否设 置缺省 下一跳？
R1
10.0.0.0/24 10.0.1.0/24
OSPF
接收全部路由 R4 10.0.0.0/24 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24
接收部分路由
接收部分路由 R3 10.0.2.0/24 10.0.3.0/24 10.0.0.0/24 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24
R2
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
17
原理
命令
排障
案例
建议
路由策略—filter-policy
filter-policy
出方向过滤
• • • • 只过滤路由信息，不能过滤链路状态信息 在OSPF中的ABR/ASBR上，可以过滤LSA3、LSA5和LSA7 对于链路状态路由协议，仅仅是不把路由加入到路由表中 只在出方向上过滤
R2
Area 200
10.0.0.0/24 R4
R1
Area 100
Local_Pref 200 NLRI 10.0.0.0/24
R3
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
19
原理
命令
排障
案例
建议
策略路由
策略路由
依据用户制定的策略进行路由选择的机制 能够根据报文的源地址、报文大小和链路质量等属性，来改变数据包转发 路径
否
是
是否设 置报文 优先级？ 将报文从缺省出 接口发送出去 是否设 置缺省 出接口？
是
根据用户 的设置修 改报文的 优先级 根据查找到的路 由表项转发报文 是否查 找到路 由表项？
是否设 置出接 口？ 将报文从接口 发送出去
否
丢弃报文
否
否
否
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Huawei Confidential
2
培训目标
理解路由策略和策略路由基本原理
掌握路由策略和策略路由配置命令 提升路由策略和策略路由排错能力 加强B路由策略和策略路由综合运用能力 增强应试能力
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
3
原理
命令
equal 32
• • • 掩码范围在26-32之间的网络1.1.1.0才能permit 所有掩码长度在8到32的路由都被permit 所有路由均被permit
ip ip-prefix FILTER index 10 permit 0.0.0.0 8 less-equal 32
ip ip-prefix aa index 20 permit 0.0.0.0 0 less-equal 32
路由选择工具 路由策略 策略路由
路由策略和策略路由比较
路由策略和策略路由配置命令 路由策略和策略路由故障诊断
路由策略和策略路由案例分析
路由策略和策略路由备考建议
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
5
原理
命令
排障
案例
建议
路由选择工具
•
•
匹配community属性为100:1
匹配community属性为no-export
ip community-filter 1 permit no-export
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
14
原理
命令
排障
案例
建议
路由策略
路由策略
主要用于路由过滤和路由属性设置等，从而影响流量所经过的路径。 主要通过route-policy实现
路由策略原理
Routepolicy Node 1 未全部匹配成功 ........ Node N If-match If-match ....... If-match If-match ....... 全部匹配 成功 匹配模式 Permit Apply Apply ....... 通过路由 策略
入方向过滤
过滤从其他协议引入的路由
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
18
原理
命令
排障
案例
建议
路由策略—设置特定路由的属性
设置特定路由的属性
为通过路由策略过滤的路由设置相应的属性