所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

ME60 V800R010C10SPC500 特性描述 - 广域网接入 01

本文档是ME60 V800R010C10SPC500 特性描述 - 广域网接入
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
基本原理

基本原理

路由策略的实现

路由策略的实现分为两个步骤:
  1. 定义规则:定义将要实施路由策略的路由信息的特征,即定义一组匹配规则。可以用路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。
  2. 应用规则:将匹配规则应用于路由的发布、接收和引入等过程的路由策略中。

过滤器

路由策略的核心内容是过滤器,通过使用过滤器,可以定义一组匹配规则。在ME60中,提供了以下几种过滤器供路由策略使用。表10-2给出各种过滤器的应用范围和匹配条件的对比。

表10-2 过滤器的比较

过滤器

应用范围

匹配条件

访问控制列表(ACL)

各动态路由协议

入接口、源或目的地址、协议类型、源或目的端口号

地址前缀列表(IP-Prefix List)

各动态路由协议

源地址、目的地址、下一跳

AS路径过滤器(AS-Path-Filter)

BGP协议

AS路径属性

团体属性过滤器(Community-Filter)

BGP协议

团体属性

扩展团体属性过滤器(Extcommunity-Filter)

VPN

扩展团体属性

RD属性过滤器(Route Distinguisher-Filter)

VPN

RD属性

Route-Policy

各动态路由协议

目的地址、下一跳、度量值、接口信息、路由类型、ACL、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器等。

其中,ACL、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器只能对路由进行过滤,不能修改通过过滤的路由的属性。而Route-Policy是一种综合过滤器,它可以使用ACL、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器这六种过滤器作为匹配条件来对路由进行过滤,并且可以修改通过过滤的路由的属性。下面对过滤器一一介绍。

访问控制列表(ACL)

访问控制列表ACL(Access Control List)是一系列过滤规则的集合,可以称之为规则组。在每个规则组中,所有过滤规则是具有前后顺序的。用户在定义过滤规则时,根据报文的入接口、源或目的地址、协议类型、源或目的端口号等属性描述过滤规则,同时指定了拒绝或接收报文。之后,系统根据过滤规则对到达路由器的报文进行分类,并判断报文被拒绝或者接收。

ACL本身只是一组规则的集合,它只是通过过滤规则对报文进行了分类,因此ACL需要与路由策略配合使用,才能实现过滤报文的功能。

ACL包括针对IPv4路由的ACL和针对IPv6路由的ACL。按照ACL用途,ACL可以分为3种类型:基于接口的ACL(Interface-based ACL)、基本ACL(Basic ACL)和高级ACL(Advanced ACL)。用户在ACL中指定IP地址和子网范围,用于匹配路由信息的源地址、目的网段地址或下一跳地址。

在网络设备中(可以是接入设备、核心设备等)部署ACL特性,可以保障网络的安全性与稳定性。例如:
  • 防止对网络的攻击,例如防止针对IP报文、TCP报文、ICMP(Internet Control Message Protocol)报文的攻击。
  • 对网络访问行为进行控制,例如控制企业网中内网和外网的通信,用户访问特定网络资源,特定时间段内允许对网络的访问。
  • 限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。

ACL的特性描述请参见ACL。

地址前缀列表(IP-Prefix List)

地址前缀列表是一种包含一组路由信息过滤规则的过滤器,用户可以在规则中定义前缀和掩码范围,用于匹配路由信息的目的网段地址或下一跳地址。地址前缀列表可以应用在各种动态路由协议中,对路由协议发布和接收的路由信息进行过滤。

地址前缀列表和ACL相比,配置简单,应用灵活。但是当需要过滤的路由数量较大,且没有相同的前缀时,配置地址前缀列表会比较繁琐。

地址前缀列表包括针对IPv4路由的IPv4地址前缀列表和针对IPv6路由的IPv6地址前缀列表,IPv6地址前缀列表与IPv4地址前缀列表的实现相同。地址前缀列表进行匹配的依据有两个:掩码长度和掩码范围。
  • 掩码长度:地址前缀列表匹配的对象是IP地址前缀,前缀由IP地址和掩码长度共同定义。例如,10.1.1.1/16这条路由,掩码长度是16,这个地址的有效前缀为16位,即10.1.0.0。
  • 掩码范围:对于前缀相同,掩码不同的路由,可以指定待匹配的前缀掩码长度范围来实现精确匹配或者在一定掩码长度范围内匹配。
说明:
0.0.0.0为通配地址。当前缀为0.0.0.0时,可以在其后指定掩码以及掩码范围:
  • 若指定掩码,则表示具有该掩码的所有路由都被允许通过(Permit)或拒绝通过(Deny)。
  • 若指定掩码范围,则表示掩码长度范围内的所有路由都被允许通过或拒绝通过。

AS路径过滤器(AS_Path-Filter)

AS路径过滤器是一组针对BGP路由的AS_Path属性进行过滤的规则。在BGP的路由信息中,包含有AS_Path属性,AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号,因此基于AS_Path属性定义一些过滤规则,就可以实现对BGP路由信息的过滤。

AS路径过滤器的匹配条件使用正则表达式指定,如^30表示只匹配第一个值是30的AS路径属性。使用正则表达式可以简化配置,正则表达式的使用请参见《配置指南-基础配置》的命令行介绍。

说明:

由于AS_Path属性是BGP协议的私有属性,因此AS路径过滤器也仅应用于BGP协议。AS_Path属性的详细内容请参见BGP基本原理

团体属性过滤器(Community-Filter)

团体属性过滤器是一组针对BGP路由的团体属性进行过滤的规则。在BGP的路由信息中,携带有团体属性(Community),团体属性是一组有相同特征的目的地址的集合,因此基于团体属性定义一些过滤规则,就可以实现对BGP路由信息的过滤。

除了使用公认的团体属性外,用户还可以自行定义数字型的团体属性。团体属性过滤器的匹配条件可以使用团体号或者正则表达式。

说明:

和AS_Path属性一样,团体属性也是BGP协议的私有属性,团体属性过滤器同样仅用于BGP协议。团体属性的详细内容请参见团体属性

扩展团体属性过滤器(Extcommunity-Filter)

扩展团体属性过滤器是一组针对BGP的扩展团体属性进行过滤的规则。BGP的扩展团体属性常用的有两种。
  • VPN-Target扩展团体属性:VPN Target属性主要用来控制VPN实例之间的路由学习,实现不同VPN实例之间的隔离。VPN Target属性分为出方向和入方向,PE在发布VPNv4(Virtual Private Network version 4)或VPNv6(Virtual Private Network version 6)路由到远端的MP-BGP(Multi-protocol Extensions for Border Gateway Protocol)对等体时,会携带出方向VPN Target属性。远端MP-BGP对等体收到VPNv4或VPNv6路由后,会根据本地VPN实例的入方向VPN Target属性是否与路由所携带的VPN Target匹配,来决定哪些路由能被复制到本地VPN实例的路由表中。

  • SoO(Source of Origin)扩展团体属性:VPN某站点(Site)有多个CE接入不同的PE时,从CE发往PE的路由可能经过VPN骨干网又回到了该站点,这样很可能会引起VPN站点内路由循环。此时,针对VPN站点配置SoO属性可以区分来自不同VPN站点的路由,避免路由循环。

VPN-Target扩展团体属性和SoO扩展团体属性在格式上是一致的。扩展团体属性过滤器的匹配条件可以使用扩展团体号或者正则表达式。

说明:

扩展团体属性也是BGP协议的私有属性,扩展团体属性过滤器同样仅用于BGP协议。扩展团体属性的详细内容请参见基本BGP/MPLS IP VPN。

RD属性过滤器(Route Distinguisher-Filter)

RD属性过滤器是一组针对VPN路由的RD属性进行过滤的规则。VPN实例通过路由标识符RD(Route Distinguisher)实现地址空间独立,区分使用相同地址空间的IPv4和IPv6前缀。RD属性过滤器针对不同RD指定匹配条件。

RD属性过滤器的配置请参见《HUAWEI ME60 多业务控制网关 配置指南-VPN》。

Route-Policy

Route-Policy是一种比较复杂的过滤器,它不仅可以匹配给定路由信息的某些属性,还可以在条件满足时改变路由信息的属性。Route-Policy可以使用前面6种过滤器定义自己的匹配规则。

  • Route-Policy的组成

    图10-1所示,Route-Policy由节点号、匹配模式、if-match子句、apply子句goto next-node子句组成。
    图10-1 Route-Policy的组成

    • 节点号

      一个Route-Policy可以由多个节点(node)构成,节点号的指定方法与地址前缀列表的索引号相同。路由匹配Route-Policy时遵循以下两个规则:
      • 顺序匹配:在匹配过程中,系统按节点号从小到大的顺序依次检查各个表项,因此在指定节点号时,要注意符合期望的匹配顺序。
      • 唯一匹配:Route-Policy各节点号之间是“或”的关系,只要通过一个节点的匹配,就认为通过该过滤器,不再进行其它节点的匹配。
    • 匹配模式

      节点的匹配模式有两种:permitdeny
      • permit指定节点的匹配模式为允许。当路由项通过该节点的过滤后,将执行该节点的apply子句,不进入下一个节点;如果路由项没有通过该节点过滤,将进入下一个节点继续匹配。
      • deny指定节点的匹配模式为拒绝,这时apply子句不会被执行。当路由项满足该节点的所有if-match子句时,将被拒绝通过该节点,不进入下一个节点;如果路由项不满足该节点的if-match子句,将进入下一个节点继续匹配。
      说明:
      通常在多个deny节点后设置一个不含if-match子句和apply子句的permit模式的Route-Policy,用于允许其它的路由通过。
    • if-match子句

      if-match子句定义一些匹配条件。

      Route-Policy的每一个节点可以含有多个if-match子句,也可以不含if-match子句。如果某个permit节点没有配置任何if-match子句,则该节点匹配所有的IPv4和IPv6路由;如果某个permit节点只配置了匹配IPv4路由的if-match子句,则该节点会匹配满足if-match子句条件的IPv4路由,同时也会匹配所有的IPv6路由如果某个permit节点只配置了匹配IPv6路由的if-match子句,则该节点会匹配满足if-match子句条件的IPv6路由,同时也会匹配所有的IPv4路由。

    • apply子句

      apply子句用来指定动作。路由通过Route-Policy过滤时,系统按照apply子句指定的动作对路由信息的一些属性进行设置。

      Route-Policy的每一个节点可以含有多个apply子句,也可以不含apply子句。如果只需要过滤路由,不需要设置路由的属性,则不使用apply子句。

    • goto next-node子句

      goto next-node子句用来设置路由通过当前节点匹配后,跳转到指定的节点继续匹配。

  • Route-Policy的匹配结果

    路由匹配Route-Policy的最终结果要综合以下两点:
    • 节点的匹配模式(permitdeny
    • if-match子句(如引用的地址前缀列表或者访问控制列表)中包含的匹配条件(permitdeny
    匹配的结果如表10-3所示:
    表10-3 Route-Policy的匹配结果
    Rule(if-match子句中包含的匹配条件) Mode(节点的匹配模式) 匹配结果
    permit permit
    • 匹配该节点if-match子句的路由允许通过Route-Policy,匹配结束。
    • 不匹配if-match子句的路由进行Route-Policy下一个节点的匹配。
    deny
    • 匹配该节点if-match子句的路由不允许通过Route-Policy,匹配结束。
    • 不匹配if-match子句的路由进行Route-Policy下一个节点的匹配。
    deny permit
    • 匹配该节点if-match子句的路由不允许通过Route-Policy,继续进行Route-Policy下一个节点的匹配。
    • 不匹配if-match子句的路由进行Route-Policy下一个节点的匹配。
    deny
    • 匹配该节点if-match子句的路由不允许通过Route-Policy,继续进行Route-Policy下一个节点的匹配。
    • 不匹配if-match子句的路由进行Route-Policy下一个节点的匹配。
    说明:

    如果所有if-match子句和Route-Policy的所有节点都是deny模式,则没有路由能通过Route-Policy。

    说明:
    HUAWEI ME60默认所有未匹配的路由将被拒绝通过Route-Policy。如果Route-Policy中定义了一个以上的节点,应保证各节点中至少有一个节点的匹配模式是permit。因为Route-Policy用于路由信息过滤时:
    • 如果某路由信息没有通过任一节点,则认为该路由信息没有通过该Route-Policy。
    • 如果Route-Policy的所有节点都是deny模式,则没有路由信息能通过该Route-Policy。

其他功能

除了以上提到的功能之外,路由策略还有一个增强特性:BGP to IGP特性。

在一些特定场景下,例如IGP在引入BGP路由时,希望能根据BGP路由的Community等私有属性,来为引入路由设置路由属性,例如cost值等。但是在未实现BGP to IGP特性前,IGP通过策略引入BGP路由时,因IGP无法识别BGP路由的Community等私有属性,则在BGP路由通过路由策略时,始终认为BGP路由不匹配过滤条件而被拒绝,导致设置路由属性的apply子句不生效。

实现BGP to IGP特性之后,当IGP通过路由策略引入BGP路由时,可以根据BGP路由的Community、Extcommunity、AS_Path等私有属性,来重新为路由设置路由属性。BGP to IGP的实现过程如下:

  • 当IGP通过路由策略引入BGP路由时,根据BGP路由的Community等私有属性设置路由的属性。

  • 若BGP路由携带Community等私有属性,系统会获取这些私有属性来进行策略过滤:若符合匹配条件,允许该路由通过路由策略,而且apply子句生效。

  • 若BGP路由未携带Community等私有属性,系统就会认为不符合匹配条件,拒绝该路由通过路由策略,而且apply子句不生效。

翻译
下载文档
更新时间:2019-01-04

文档编号:EDOC1100059511

浏览量:1221

下载量:20

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页