——————————————————————————————————————————————————
路由策略配置实验
——————————————————————————————————————————————————
1.1.使用路由策略过滤发布路由配置实验
如图:AR1、AR2、AR3路由器运行OSPF协议,AR2为ABR路由器,AR1连接3个网段,要求3.0网段不能发布给AREA1区域。通过在ABR上部署路由策略,控制在AREA1区域不接收3.0网段实现需求。
AR1:
[AR1]int lo 1
[AR1-LoopBack1]ip add 192.168.1.1 24
[AR1-LoopBack1]int lo 2
[AR1-LoopBack2]ip add 192.168.2.1 24
[AR1-LoopBack2]int lo 3
[AR1-LoopBack3]ip add 192.168.3.1 24
[AR1-LoopBack3]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.1.1.1 30
//配置OSPF
[AR1]ospf 100
[AR1-ospf-100]area 0
[AR1-ospf-100-area-0.0.0.0]net 10.1.1.0 0.0.0.3
[AR1-ospf-100-area-0.0.0.0]net 192.168.1.0 0.0.0.255
[AR1-ospf-100-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[AR1-ospf-100-area-0.0.0.0]net 192.168.3.0 0.0.0.255
AR2:
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 10.1.1.2 255.255.255.252
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 10.1.1.5 30
//配置OSPF
[AR2]ospf 100
[AR2-ospf-100]area 0
[AR2-ospf-100-area-0.0.0.0]net 10.1.1.0 0.0.0.3
[AR2-ospf-100]area 1
[AR2-ospf-100-area-0.0.0.1]net 10.1.1.4 0.0.0.3
//在ABR上配置路由策略,OSPF是链路状态协议,在ABR上配置。
配置ACL列表也行、配置Ip-prefix前缀也行,两者可选。
//配置ACL
[AR2]acl number 2000
[AR2-acl-basic-2000]rule deny source 192.168.3.0 0.0.0.255
[AR2-acl-basic-2000]rule permit source any
//配置前缀
[AR2]ip ip-prefix 3guolv deny 192.168.3.0 24
[AR2]ip ip-prefix 3guolv permit 192.168.2.0 24
[AR2]ip ip-prefix 3guolv permit 192.168.1.0 24
*****//也可以把后两条写成ip ip-prefix 3guolv permit 0.0.0.0 0 less-equal 32。允许任意网络及掩码。
[AR2]ip ip-prefix 3guolv permit 172.16.0.0 16
//配置策略并应用,以下两者和上面呼应即可。
[AR2]ospf 100
[AR2-ospf-100]area 1
[AR2-ospf-100-area-0.0.0.1]filter 2000 import //引用ACL进行路由策略的配置。注意这里是在区域1,区域0的路由进入区域1,所以方向也是import
[AR2]ospf 100
[AR2-ospf-100]area 0
[AR2-ospf-100-area-0.0.0.1]filter ip-prefix 3guolv import //引用地址前缀路由策略的配置。
AR3:
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 10.1.1.6 30
[AR3-GigabitEthernet0/0/0]ospf 100
[AR3-ospf-100]area 1
[AR3-ospf-100-area-0.0.0.1]net 10.1.1.6 0.0.0.3
验证下,首先看下引用ACL的路由策略过滤。过滤3.0网段,。已经过滤成功。
再看看引用前缀的路由过滤。过滤3.0网段。
发现使用了地址前缀,没有过滤成功。。。。这里注意有两个点:loopback0接口,OSPF区域学习过来的永远都是一个主机地址,32掩码。我们来看看。
所以,使用地址前缀过滤24掩码的3网段,是不匹配学习到的192.168.3.1/32所以,无法过滤。
这里还有个区别,为什么ACL就可以,而地址前缀就不行呢?
ACL:rule deny source 192.168.3.0 0.0.0.255
ip-prefixip:ip-prefix 3guolv deny 192.168.3.0 24
ACL不匹配掩码,只匹配网络号。ACL写0.0.0.255,他不是掩码,是通配符。0代表严格匹配,255代表不匹配。所以其实ACL识别这个192.168.3.0 0.0.0.255,它只是识别成192.168.3.0段。 那么192.168.3.1/32这个IP地址是包含在192.168.3.0段的。所以生效了。
ip-prefixip是不但识别网络号,还识别掩码。所以,ip-prefix deny 192.168.3.0 24,它只拒绝192.168.3.0 带24掩码的。。
AR2:
[AR2]ip ip-prefix 3guolv deny 192.168.3.1 32
[AR2]ip ip-prefix 3guolv permit 0.0.0.0 0 less-equal 32
[AR2-ospf-100-area-0.0.0.1]filter ip-prefix 3guolv import
所以在路由过滤的时候,如果ACL出现这样的192.168.1.0/24 和192.168.1.0/16就会出问题。 一个是192.168.1.0,一个是192.168.0.0。而0.0就包含了1.0。
增加了一个192.168.10.0/16网段。。我们使用ACL过滤。拒绝10网段,允许1/2/3网段。
很明显,我敲得192.168.10.0 0.0.255.255,显示的时候通配符做了运算,所以直接显示成0.0了。在看结果直接拒绝完了。
——————————————————————————————————————————————————
1.2.使用路由策略过滤并设置引入路由属性配置示例
如图:在AR1与AR2和AR3建立EBGP,AR2/3/4建立IBGP,AS200的IGP协议OSPF。192.168.1.1/24网段为路由器引入网段,配置不同的MED属性策略,使AR4优先学习到AR2的192.168.1.0/24路由。
AR1:
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
interface LoopBack1
ip address 192.168.1.1 255.255.255.0
interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.252
interface GigabitEthernet0/0/1
ip address 10.1.1.5 255.255.255.252
//配置EBGP。
bgp 100
group ex external
peer 10.1.1.2 as-number 200
peer 10.1.1.2 group ex
peer 10.1.1.6 as-number 200
peer 10.1.1.6 group ex
ipv4-family unicast
network 192.168.1.0
maximum load-balancing 2
AR2:
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
interface GigabitEthernet0/0/0
ip address 10.1.1.2 255.255.255.252
interface GigabitEthernet0/0/1
ip address 10.1.1.9 255.255.255.252
//配置OSPF
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.1.0 0.0.0.3
network 10.1.1.8 0.0.0.3
//配置BGP
bgp 200
peer 4.4.4.4 as-number 200
peer 4.4.4.4 connect-interface LoopBack0
group ex external
peer 10.1.1.1 as-number 100
peer 10.1.1.1 group ex
group in internal
ipv4-family unicast
import-route ospf 1
peer 4.4.4.4 next-hop-local
AR3:
interface GigabitEthernet0/0/0
ip address 10.1.1.13 255.255.255.252
interface GigabitEthernet0/0/1
ip address 10.1.1.6 255.255.255.252
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
//配置OSPF
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.1.4 0.0.0.3
network 10.1.1.12 0.0.0.3
//配置BGP
bgp 200
group ex external
peer 10.1.1.5 as-number 100
peer 10.1.1.5 group ex
group in internal
peer 4.4.4.4 as-number 200
peer 4.4.4.4 group in
peer 4.4.4.4 connect-interface LoopBack0
ipv4-family unicast
import-route ospf 1
peer 4.4.4.4 next-hop-local
AR4:
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
interface LoopBack1
ip address 192.168.100.1 255.255.255.0
interface GigabitEthernet0/0/0
ip address 10.1.1.10 255.255.255.252
interface GigabitEthernet0/0/1
ip address 10.1.1.14 255.255.255.252
//配置OSPF
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 10.1.1.8 0.0.0.3
network 10.1.1.12 0.0.0.3
network 192.168.100.0 0.0.0.255
//配置BGP
bgp 200
group ex external
group in internal
peer 2.2.2.2 as-number 200
peer 2.2.2.2 group in
peer 2.2.2.2 connect-interface LoopBack0
peer 3.3.3.3 as-number 200
peer 3.3.3.3 group in
peer 3.3.3.3 connect-interface LoopBack0
ipv4-family unicast
import-route ospf 1
maximum load-balancing 2
直接查看AR4的路由表。看看1段。
按照要求,配置不同的MED属性策略,使AR4优先学习到AR2的192.168.1.0/24路由。现在负载模式,2.2.2.2和3.3.3.3。
在来回顾下MED:MED则用来判断进入该自治系统的最佳路由,当一个运行BGP的自治系统得到目的地址相同、下一跳不同的多条路由时,在其他条件相同的情况下,MED值较小的路由会被优先选为进入该自治系统的外部路由。所以在AR1上配置。通告给AR2和AR3 AS200区域。
AR1:
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
route-policy med10 permit node 10
if-match acl 2000
apply cost 10
route-policy med20 permit node 10
if-match acl 2000
apply cost 20
bgp 200
ipv4-family unicast
peer 10.1.1.6 route-policy med10 export
peer 10.1.1.2 route-policy med20 export
现在优先走3.3.3.3了。负载的路由也就消失了。
记得还学了个Local-preference本地优先级:用来判断流量离开AS时最佳路由,当BGP路由器通过不同的IBGP对等体得到目的地址相同,但下一跳不同的多条路由时,将选择Local-preference值较高的路由。通过配置改变BGP路由向IBGP对等体发送的路由Local-preference值,而影响IBGP对等体的选路。
尝试下,192.168.100.1/24这个IP在AR1上查看理由表也是负载分担的。我们修改本地优先级,让AR1从2.2.2.2走。本地优先级是,离开AS时最佳路由。所以在AR4上配置。先看下AR1的路由表。
AR4:
acl number 2000
rule 5 permit source 192.168.100.0 0.0.0.255
route-policy local_pr200 permit node 10
if-match acl 2000
apply local-preference 200
route-policy local-pr100 permit node 10
if-match acl 2000
apply local-preference 100
bgp 200
peer 2.2.2.2 route-policy local_pr200 export
peer 3.3.3.3 route-policy local-pr100 export
——————————————————————————————————————————————————