- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-路由管理
本章节下载 (1.14 MB)
目 录
静态路由是在设备中设置的固定的路由。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。
通过菜单“网络配置 > 路由管理 > 静态路由”,进入如图1-1所示页面。在该页面上,可以查看已经配置的静态路由信息。这些信息的详细说明如表1-1所示。
|
标题项 |
说明 |
|
目的地址 |
静态路由的目的IP地址 |
|
掩码 |
静态路由的网络掩码 |
|
下一跳 |
静态路由的下一跳的IP地址 |
|
出接口 |
静态路由的出接口,如果是null0,表示目的地址不可达 |
|
权重 |
静态路由的权重 |
|
距离 |
静态路由的管理距离 |
|
地址探测 |
和静态路由联动的地址探测,如果已经配置和探测联动,点击地址探测名称可以修改和路由联动的地址探测 |
|
状态 |
|
|
操作 |
可以执行删除操作 |
· 权重:在多下一跳负载均衡时,当距离值相同,根据源地址哈希值按照权重比值分摊流量。
· 距离:路由类型的优先级,该值越小,优先级越高。
通过点击图1-1中的“新建”,进入如图1-2所示页面。各配置项含义如表1-2所示。
|
标题项 |
说明 |
|
启用 |
静态路由启用或禁用开关,勾选表示启用,不勾选表示禁用。 |
|
目的网段 |
设置静态路由的目的网段 |
|
子网掩码 |
设置静态路由的网络掩码,可以输入掩码长度或者点分十进制格式的掩码 |
|
下一跳 |
设置静态路由的下一跳的IP地址 |
|
出接口 |
设置静态路由的出接口 下一跳和出接口只能二选一 |
|
权重 |
设置静态路由的权重,范围是1到255 |
|
距离 |
设置静态路由的管理距离,范围是是1到255 |
|
地址探测 |
设置路由和地址探测联动 |
· 权重:在多下一跳负载均衡时,权重越大,命中的概率就越大。
· 距离:路由类型的优先级,该值越小,优先级越高。
各设备接口及主机的IP地址和掩码如图1-3所示。要求采用静态路由的默认路由,把每个没有对应路由的报文转发到公网地址202.118.3.2。
(1) 按照组网图组网。
(2) 通过菜单“网络配置 > 路由管理> 静态路由表”,点击<新建>,按照如图1-4所示配置默认路由。
点击<提交>按钮,提交配置。
查看静态路由表,验证是否生效,如图1-5所示。
图1-5 验证配置
· RIP的工作机制
· RIP的版本
· 协议规范
RIP(Routing Information Protocol,路由信息协议)是一种较为简单的内部网关协议(Interior Gateway Protocol,IGP),主要用于规模较小的网络中,比如校园网以及结构较简单的地区性网络。对于更为复杂的环境和大型网络,一般不使用RIP。由于RIP的实现较为简单,在配置和维护管理方面也远比OSPF和IS-IS容易,因此在实际组网中仍有广泛的应用。
RIP协议是基于D-V算法(又称为Bellman-Ford算法)的内部动态路由协议,简称IGP(Interior Gateway Protocol),它通过UDP数据报交换路由信息。D-V算法又称为距离向量算法,这种算法在ARPARNET早期就用于计算机网络的路由的计算。RIP协议在目前已成为路由器、主机路由信息传递的标准之一,是最广泛使用的IGP之一,被大多数IP路由器商业卖主广泛使用。 RIP协议被设计用于使用同种技术的中型网络,因此适应于大多数的校园网和使用速率变化不是很大的地区性网络。对于更复杂的环境,一般不使用RIP协议。
RIP协议使用跳数来衡量到达信宿机的距离,并称为路由权, RIP协议使用两种形式的报文: 路径信息请求报文和路径信息响应报文。在路由器端口第一次启动时,将会发送请求报文。路径信息响应报文包含了实际的路由信息,以每30秒的间隔发送给相邻端口。在RIP协议中,还使用了水平分割、毒性逆转机制来防止路由环路的形成,并且使用触发更新和路由超时机制确保路由的正确性。
RIP启动和运行的整个过程可描述如下:
· 路由器启动RIP后,便会向相邻的路由器发送请求报文(Request message),相邻的RIP路由器收到请求报文后,响应该请求,回送包含本地路由表信息的响应报文(Response message)。
· 路由器收到响应报文后,修改本地路由表,同时向相邻路由器发送触发修改报文,广播路由修改信息。相邻路由器收到触发修改报文后,又向其各自的相邻路由器发送触发修改报文。在一连串的触发修改广播后,各路由器都能得到并保持最新的路由信息。
· RIP采用老化机制对超时的路由进行老化处理,以保证路由的实时性和有效性。因此,RIP每隔一定时间周期性的向邻居路由器发布本地的路由表,相邻路由器在收到报文后,对其本地路由进行更新。所有RIP路由器都会重复此过程。
RIP是一种基于D-V算法的路由协议,由于它向邻居通告的是自己的路由表,存在路由循环的可能性。
RIP通过以下机制来避免路由环路的产生:
· 水平分割(Split Horizon):RIP从某个接口学到的路由,不会从该接口再发回给邻居路由器。这样不但减少了带宽消耗,还可以防止路由循环。
· 毒性逆转(Poison Reverse):RIP从某个接口学到路由后,将该路由的开销设置为16(不可达),并从原接口发回邻居路由器。利用这种方式,可以清除对方路由表中的无用信息。
RIP有两个版本:RIP-1和RIP-2。
RIP-1是有类别路由协议(Classful Routing Protocol),它只支持以广播方式发布协议报文。RIP-1的协议报文中没有携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1无法支持路由聚合,也不支持不连续子网(Discontiguous Subnet)。
RIP-2是一种无分类路由协议(Classless Routing Protocol),与RIP-1相比,它有以下优势:
· 支持外部路由标记(Route Tag),可以在路由策略中根据Tag对路由进行灵活的控制。
· 报文中携带掩码信息,支持路由聚合和CIDR(Classless Inter-Domain Routing)。
· 支持指定下一跳,在广播网上可以选择到最优下一跳地址。
· 支持组播路由发送更新报文,减少资源消耗。
· 支持对协议报文进行验证,并提供明文验证和MD5验证两种方式,增强安全性。
RIP-2有两种报文传送方式:广播方式和组播方式,缺省将采用组播方式发送报文,使用的组播地址为224.0.0.9。当接口运行RIP-2广播方式时,也可接收RIP-1的报文。
与RIP相关的协议规范有:
· RFC1058:Routing Information Protocol
· RFC1723:RIP Version 2 - Carrying Additional Information
· RFC1721:RIP Version 2 Protocol Analysis
· RFC1722:RIP Version 2 Protocol Applicability Statement
· RFC1724:RIP Version 2 MIB Extension
· RFC2082:RIP-2 MD5 Authentication
· RFC2091:Triggered Extensions to RIP to Support Demand CircuitsRIP
通过菜单“网络配置 > 路由管理 > RIP信息”,进入如图2-1所示页面。在该页面上,可以配置RIP协议收发报文的版本、RIP定时器及路由重发布信息。这些信息的详细说明如表2-1所示。
图2-1 RIP全局设置
表2-1 RIP设定页面各配置项说明
|
标题项 |
说明 |
|
启用 |
RIP路由的启禁用,勾选启用该路由,不勾选则不启用。 |
|
RIP版本 |
设置要使用的RIP版本。 |
|
向外发布缺省路由 |
设置是否向外发布缺省路由。 |
|
更新 |
设置RIP更新定时器,缺省情况下为30s。 |
|
超时 |
设置RIP超时时间,缺省情况下为180s。 |
|
失效 |
设置RIP失效时间,缺省情况下为120s。 |
|
直连路由 |
设置是否重发布直连路由,并设置直连路由的跳数。 |
|
静态路由 |
设置是否重发布静态路由,并设置静态路由的跳数。 |
|
OSPF跳数 |
设置是否重发布OSPF路由,并设置OSPF路由的跳数 |
RIP会根据定时更新时间周期向外发布整个路由表,如果超时时间到达时还没有收到某条路由的更新,就把这条路由从内核路由表中删除,并把metric置为16向外发布,并设置失效定时器;失效时间到达时,把这条路由在RIP路由表中删除。
(1) 通过点击图2-1中的“RIP网络”,进入如图2-2所示页面。该页显示了已经配置的RIP网络,在该页也可以删除已经配置的RIP网络。
图2-2 RIP网络显示界面
(2) 点击图2-2中的<新建>按钮,进入如图2-3所示页面,在该页填入要发布的RIP网络,点击<提交>按钮,完成RIP网络的配置。
图2-3 RIP网络配置界面
选择“网络配置 > 路由管理 > RIP信息 > RIP Keychain”,单击“新建”按钮进入RIP Keychain配置页面,如图2-4所示。
图2-4 RIPKeychain配置界面
表2-2 RIPKeychain配置参数
|
参数 |
说明 |
|
名称 |
Keychain名称,在本地生效。 |
|
Key值 |
Key-ID值,在双方认证时需要保持一致。 |
|
密码 |
Keychain密码,在双方认证时需要保持一致。 |
(1) 点击图2-1中的“RIP扩展”,进入所示图2-5页面。该页面显示了已经配置的接口信息,具体信息说明如表2-3所示。
图2-5 RIP扩展
表2-3 RIP扩展各项含义
|
标题项 |
说明 |
|
接口名称 |
已经配置的接口名称 |
|
发送版本 |
该接口可发送RIP的版本 |
|
接收版本 |
该接口可接收RIP的版本 |
|
认证算法 |
接口所使用的加密方式,有明文、密文及不认证 |
|
操作 |
点击 |
(2) 点击<新建>按钮,进入如图2-6所示页面。该页面可以配置接口相关的RIP信息,具体信息说明如表2-4所示。
图2-6 RIP接口配置
表2-4 RIP接口各项配置含义
|
标题项 |
说明 |
|
接口 |
选择要配置接口 |
|
发送版本 |
设置该接口可发送RIP的版本 |
|
接收版本 |
设置该接口可接收RIP的版本 |
|
认证方式 |
选择认证方式:无、明文、密文,不进行认证时一般选择无。 |
|
认证标记 |
选择认证标记:Keychain、密码,进行认证时双方验证的参数。 |
按照图2-7所示,配置接口IP地址,要求设备 A在ge0和ge2接口上启用了RIP,设备 B在接口ge0和ge1上启用了RIP,两个设备的互连的接口收发报文的版本都设置为2。
图2-7 RIP配置案例组网图
(1) 按照组网图组网。
(2) 配置设备A。
· 通过菜单“网络配置 > 路由管理 > RIP信息 > RIP设定”,进入RIP全局配置,如图2-8所示,点击<提交>按钮。
图2-8 RIP全局配置
· 点击选择“RIP网络”页签,点击新建,进入如图2-9所示页面,分别配置网络202.38.168.1/24 和192.168.31.225/24,并点击<提交>按钮。
(3) 配置设备 B
配置方式与设备 A相同,不再赘述。
在Host A上使用ping命令验证Host B可达。
OSPF(Open Shortest Path First,开放最短路径优先)是IETF(Internet Engineering Task Force,互联网工程任务组)组织开发的一个基于链路状态的内部网关协议。目前针对IPv4协议使用的是OSPF Version 2。
本节介绍配置OSPF所需要理解的知识,具体包括:
· OSPF的特点
· OSPF的报文类型
· OSPF的区域划分
· OSPF的路由器类型
· OSPF的路由类型
· OSPF的网络类型
· OSPF的协议规范
本章所介绍的配置都是指OSPF version 2。
OSPF具有如下特点:
· 可适应大规模网络:支持各种规模的网络,最多可支持几百台路由器。
· 路由变化收敛快:在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步。
· 无路由自环:由于OSPF根据收集到的链路状态用最短路径树算法计算路由,从算法本身保证了不会生成自环路由。
· 支持区域划分:允许自治系统的网络被划分成区域来管理。路由器链路状态数据库的减小降低了内存的消耗和CPU的负担;区域间传送路由信息的减少降低了网络带宽的占用。
· 支持等价路由:支持到同一目的地址的多条等价路由。
· 支持路由分级管理:使用4类不同的路由,按优先顺序来说分别是:区域内路由、区域间路由、第一类外部路由、第二类外部路由。
· 支持验证:支持基于区域和接口的报文验证,以保证报文交互和路由计算的安全性。
· 组播发送:在某些类型的链路上以组播地址发送协议报文,减少对其它设备的干扰。
路由器标识是一个32位数字,使其用来独一无二的识别AS中的路由器。
OSPF协议需要路由器的Router-ID,作为本路由器在自治系统中的唯一标识。一般在协议任务启动后,会自动选出一个Router-ID。通常路由器先挑选IP地址最大的环回地址。若无环回地址,则在接口状态为up的物理接口中,选取最大的IP地址作为Router-ID。也可以指定一个Router-ID,并且指定的Router-ID优先级最高。
随着链路状态数据库的增大,计算SPF所需的时间也增加了,将网络分成较小的区域,并要求路由器与同一区域的路由器交换链路状态。这样传播的信息减少了。
· 降低CPU的负担;
· 减小LSDB的内存开销;
· LSA相关计算和Flooding负担均降低。
· 为了控制开销和便于管理OSPF,支持将整个自治系统划分成域来管理,并且划分为骨干域和边缘域。
· 原则上要求每个非骨干区域要和骨干域直接相连,骨干域要求连通性强、带宽高。
· 当一台路由器配置两个以上的域时,必须有一个是骨干域。
骨干区域:所有的域间通信流量都必须通过骨干区域,非骨干区域之间不能直接交换数据包,区域0(或0.0.0.0)是骨干区域保留的区域ID号。
(1) 标准区域:一个标准区域可以接收链路更新信息和汇总路由。
(2) 末梢区域(stub area):只与一个区域相连的非骨干区域,不接受外部自治系统的LSA(类型5),区域内路由器会把去往外部网络的路由基于缺省路由(目的地址是0.0.0.0)发送出去。
(3) 完全末梢区域(totally stub area):不接受类型3、类型4 和类型5的LSA ,区域内路由器会把去往其它区域的路由基于缺省路由(目的地址是0.0.0.0)发送出去。
(4) 非完全末梢区域(Not-so-stubby-area,NSSA):该区域是Stub区域的变形,与Stub区域的区别在于NSSA区域允许引入自治系统外部路由,由ASBR发布Type7 LSA通告给本区域。当Type7 LSA到达NSSA的ABR时,由ABR将Type7 LSA转换成Type5 LSA,传播到其它区域。
OSPF路由器根据在AS中的不同位置,可以分为以下四类:
· 区域内路由器(Internal Router)
该类路由器的所有接口都属于同一个OSPF区域。
· 区域边界路由器ABR
该类路由器可以同时属于两个以上的区域,但其中一个必须是骨干区域。ABR用来连接骨干区域和非骨干区域,它与骨干区域之间既可以是物理连接,也可以是逻辑上的连接。
· 骨干路由器(Backbone Router)
该类路由器至少有一个接口属于骨干区域。因此,所有的ABR和位于Area0的内部路由器都是骨干路由器。
· 自治系统边界路由器ASBR
与其它AS交换路由信息的路由器称为ASBR。ASBR并不一定位于AS的边界,它有可能是区域内路由器,也有可能是ABR。只要一台OSPF路由器引入了外部路由的信息,它就成为ASBR。
OSPF使用4类不同的路由,按优先级由高到低排列如下:
· 区域内路由
· 区域间路由
· 第一类外部路由
· 第二类外部路由
区域内和区域间路由描述自治系统内部的网络结构;外部路由则描述了如何选择到自治系统以外的路由。第一类外部路由是指接收的是IGP路由(例如RIP、STATIC),由于这类路由的可信程度较高,所以,计算出的外部路由的花费与自治系统内部的路由花费的数量级相同,并且与OSPF自身路由的花费具有可比性,即到第一类外部路由的花费值=本路由器到相应的ASBR的花费值加ASBR到该路由目的地址的花费值。第二类外部路由器是指接收的是EGP路由,由于这类路由的可信度比较低,所以OSPF协议认为,从ASBR到自治系统之外的花费远远大于在自治系统之内到达ASBR的花费,计算路由花费时主要考虑前者。即第二类外部路由的花费值等于ASBR到该路由目的地址的花费值。如果该值相等,再考虑本路由器到相应的ASBR的花费值。
缺省情况下,按不同介质可划分成下列三种网络:广播网络(以太网,令牌环网、FDDI),非广播多路访问网络(帧中继、X.25),点到点网络(HDLC、PPP)。对以上任一类网络都可以进行OSPF配置。可以不考虑缺省的介质类型,选择配置OSPF网络类型。利用这一点,可将非广播多路访问网络配置为广播网络,如X.25和帧中继允许OSPF在其上以广播型网络运行,这就不用再去配置邻居。可将广播网络配置为非广播多路访问网络,例如当网络中有不支持组播传送地址的路由器时。对于不具有广播和组播能力的网络,必须配置对端邻居来指定发送hello报文,并可以指定邻居的优先级和轮询时间间隔。
点到多点时具有一个或者多个邻居的编号的点到点接口,它建立多主机路由。与非广播多路访问和点到点网络相比,点到多点网络具有以下优点:一到多接口更易于配置,因为它不需要配置邻居命令,只需要一个IP子网,所以不必分配路由选择。不需要全网络拓扑结构,开销较小。
设备只支持广播型网络和点对点型网络。
OSPF协议报文直接封装为IP报文,协议号为89。
OSPF有五种类型的协议报文:
· Hello报文:发现及维持邻居关系,选举DR,BDR;
· DD(Database Description,数据库描述)报文:相邻路由器之间发DD报文,报告对方自己所拥有的路由信息内容,包括LSDB中每一条LSA摘要(摘要是指LSA的HEAD,通过该HEAD可以唯一标识一条LSA),这样做的目的是为了减少路由器之间传递信息的量,因为LSA的HEAD只占一条LSA的整个数据量的一小部分。根据HEAD,对端路由器就可以判断出是否已经有了这条LSA。
· LSR(Link State Request,链路状态请求)报文:向对方请求所需的LSA。两台路由器互相交换DD报文之后,得知对端的路由器有哪些LSA是本地的LSDB所缺少的,这时需要发送LSR报文向对方请求所需的LSA。
· LSU(Link State Update,链路状态更新)报文:向对方发送其所需要的LSA。
· LSAck(Link State Acknowledgment,链路状态确认)报文:用来对收到的LSA进行确认。
与OSPF相关的协议规范有:
· RFC 1765:OSPF Database Overflow
· RFC 2328:OSPF Version 2
· RFC 3101:OSPF Not-So-Stubby Area (NSSA) Option
· RFC 3137:OSPF Stub Router Advertisement
· RFC 3630:Traffic Engineering Extensions to OSPF Version 2
· RFC 4811:OSPF Out-of-Band LSDB Resynchronization
· RFC 4812:OSPF Restart Signaling
· RFC 4813:OSPF Link-Local Signaling
通过菜单“网络配置 > 路由管理 > OSPF信息”,进入如图3-1所示页面。在该页面上,可以配置OSPF路由器ID、是否发布缺省路由及路由重发布信息。这些信息的详细说明如表3-1所示。
表3-1 OSPF各配置项说明
|
标题项 |
说明 |
|
启用 |
启用或禁用OSPF策略,勾选为启用,不勾选为禁用。禁用后会删除OSPF网络配置。 |
|
路由器ID |
OSPF路由器ID |
|
缺省路由 |
是否发布默认路由,可选发布、不发布及强制发布 |
|
直连路由 |
设置是否重发布直连路由,并设置直连路由的cost |
|
静态路由 |
设置是否重发布静态路由,并设置静态路由的cost |
|
RIP路由 |
设置是否重发布RIP路由,并设置RIP路由的cost |
· 通常路由器先挑选IP地址最大的环回地址作为Router-ID。若无环回地址,则在接口状态为up的物理接口中,选取最大的IP地址作为Router-ID。也可以指定一个Router-ID,并且指定的Router-ID优先级最高。
· 缺省路由:如果路由表中有默认路由,并且想要发布出去,选中“发布”即可;如果路由表中没有默认路由,想要发布默认路由则需要选中“强制发布”。
(1) 通过点击图3-1中的“OSPF网络”,进入如图3-2所示页面。该页显示了已经配置的OSPF网络,在该页也可以删除已经配置的OSPF网络。
图3-2 OSPF已配置网络
(2) 点击<新建>按钮,进入如图3-3所示页面,在该页填入要发布的OSPF网络及区域。
图3-3 OSPF网络配置
(1) 通过菜单“网络配置 > 路由管理 > OSPF信息” 进入OSPF配置页面,点击“区域配置”页签,进入如图3-4页面。该页面显示了已经配置的接口信息,具体信息说明如表3-2所示。
|
标题项 |
说明 |
|
区域 |
OSPF的区域 |
|
认证算法 |
区域所使用的加密方式,加密方式只支持MD5 |
|
操作 |
点击 |
(1) 在OSPF配置页面点击“OSPF接口”页签,进入所示图3-5页面。该页面显示了已经配置的接口信息,具体信息说明如表3-3所示。
|
标题项 |
说明 |
|
接口名称 |
已经配置的接口名称 |
|
认证算法 |
接口所使用的加密方式,有明文、密文及不认证 |
|
操作 |
点击 |
(2) 点击图3-5中的<新建>按钮,进入如图3-6所示页面。该页面可以配置接口相关的OSPF信息,具体信息说明如表3-4所示。
图3-6 OSPF接口配置
|
标题项 |
说明 |
|
接口 |
选择要配置接口 |
|
优先级 |
设置接口的优先级 |
|
发送开销 |
设置接口发送数据包的开销 |
|
网络类型 |
设置网络类型 |
|
认证 |
设置认证方式:不认证、明文认证、密文认证 |
|
hello间隔 |
设置hello报文的时间间隔 |
|
重传间隔 |
设置重传间隔 |
|
Dead间隔 |
设置邻居失效间隔 |
|
发送延迟 |
设置报文的发送延迟时间 |
按照图3-7所示,配置IP地址,要求设备 A和设备 B上启用OSPF,设备 A设备能学到192.168.1.0/24网段的路由,设备 B能学到192.168.31.0/24网段的路由。
图3-7 OSPF配置案例组网图
(1) 按照组网图组网。
(2) 配置设备 A。
· 通过菜单“网络配置 > 路由管理 > OSPF信息”,进入OSPF配置页面,如图3-8所示,设置相关数据,点击<提交>。
· 在OSPF配置页面点击选择“OSPF网络”页签,进入OSPF网络页面,点击新建,进入如图3-9所示页面,并点击<提交>按钮。
(3) 配置设备 B
设备 B的配置方式与设备 A相同,在此不再赘述。
在Host A上使用ping命令验证Host B可达。
策略路由,也叫做基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。策略路由支持IPv4和IPv6的使用场景。
通过菜单“网络配置 > 路由管理 > 策略路由”,进入如图4-1所示页面。在该页面上,可以查看已经配置的策略路由信息。这些信息的详细说明如表4-1所示。
|
标题项 |
说明 |
|
ID |
策略路由的ID |
|
入接口 |
报文的入接口 |
|
源地址 |
源地址对象名称,地址对象或对象组 |
|
目的地址 |
目的地址对象名称,地址对象或对象组 |
|
用户 |
用户对象名称 |
|
服务 |
服务对象名称 |
|
应用 |
应用对象名称 |
|
下一跳/出接口 |
报文转发的下一跳/出接口 |
|
操作 |
点击 |
点击图4-1中的“新建”,进入如图4-2所示页面。各配置项含义如表4-2所示。
|
标题项 |
说明 |
|
入接口 |
报文的入接口 |
|
源地址 |
源地址对象名称,地址对象或地址对象组,单击后面的<新建>可以创建地址对象/地址对象组对象。 |
|
目的地址 |
目的地址对象名称,地址对象或地址对象组,单击后面的<新建>可以创建地址对象/地址对象组对象。 |
|
用户 |
用户对象名称,单击后面的<选择用户>可以在用户组中选择或排除用户。 |
|
服务 |
服务对象名称,单击后面的<新建>按钮,可以创建自定义服务或服务组。 |
|
应用 |
应用对象名称 |
|
时间 |
策略路由生效时间,单击后面的<新建>按钮,可以创建时间对象。 |
|
下一跳信息 |
可以选择下一跳地址,也可以选择出接口。下一跳地址可以配置为IPv4或IPv6地址。 |
|
权重 |
该策略路由的权重值 |
在策略路由页面上方的菜单中点击“优先级”,进入如图4-3所示页面。各配置项含义如表4-3所示。
|
标题项 |
说明 |
|
被移动策略ID |
被移动策略ID |
|
目标位置 |
要移动到的位置,一共四个位置:策略最前、策略ID之前、策略ID之后、策略最后 |
|
目标位置策略ID |
目标位置策略ID |
各设备接口及主机的IP地址和掩码如图4-4所示。
· 将来自192.168.1.0/24网段的数据包路由至设备200.0.0.2上。
· 将来自192.168.2.0/24网段的数据包路由至设备200.0.1.2上。
通过这样的配置可以有选择的限制不同的IP用户访问不同的网络或使用不同的网络出口。
(1) 按照组网图组网
(2) 通过菜单“网络配置 > 路由管理 > 策略路由”,点击<新建>,进入策略路由配置页面。点击源地址那一栏后面的<新建>,建立192.168.1.0/24的地址对象,如图4-5所示。
(3) 点击<提交>按钮,进入策略路由配置页面,并如图4-6所示填写下一跳信息,并点击<提交>按钮提交该页配置。
图4-6 配置策略路由
(4) 同样方式配置192.168.2.0/24网段的策略路由。
查看策略路由表,查看是否已经有已经配置的策略路由,如图4-7所示。
图4-7 验证策略路由配置
很多用户通常会申请多条线路进行流量负载均衡。然而,一般的均衡是不会根据流量的流向,做均衡的,如果网通的服务器通过电信访问,网速就会很慢。安全网关针对该问题,提供ISP路由功能,使不同ISP流量走专有路由,从而提高网络速度。
配置ISP 路由,用户首先需要将子网条目添加到一个ISP地址库,然后才可以配置以ISP地址库名称为目的地的ISP 路由。用户可以自定义ISP地址库,也可以使用预定义的ISP的地址库。安全网关提供了四个预定义ISP 地址库,分别是中国电信(ChinaTelecom)、中国联通(Chinaunicom)、教育网(ChinaEducation)、中国移动(ChinaMobile)。配置步骤如下:
(1) 通过菜单“网络配置 > 路由管理 > ISP路由”,进入如图5-1所示页面。在该页面上,可以查看预定义的ISP地址库和自定义的地址库信息。
图5-1 ISP地址库
(2) 点击图5-1中的<新建>按钮,进入ISP地址库的配置页面,如图5-2所示。各配置项含义如表5-1所示。
图5-2 新建ISP地址库
表5-1 ISP地址库配置项含义
|
标题项 |
说明 |
|
名称 |
设置ISP地址库名称 |
|
子网 |
设置ISP地址库中的子网网段 |
· 用户自定义的ISP地址库名称不能与预定义的相同。
· 用户自定义的ISP地址库,每个ISP最多有200个地址网段。
· 用户可以编辑自定义的ISP地址库,不可以编辑预定义的。
(1) 通过菜单“网络配置 > 路由管理 > ISP路由”,点击选择“ISP路由”页签,进入如图5-3所示页面。各项含义如表5-2所示。
图5-3 ISP路由页面
表5-2 ISP路由各项含义
|
标题项 |
说明 |
|
名称 |
ISP路由所使用地址库名称 |
|
下一跳/出接口 |
ISP路由的下一跳/出接口 |
|
权重 |
ISP路由的权重,范围是<1-255> |
|
优先级 |
ISP路由的优先级,范围是<1-255> |
|
地址探测 |
和ISP路由联动的地址探测,如果已经配置和探测联动,点击地址探测名称可以修改和路由联动的地址探测 |
|
操作 |
点击 |
· 权重:在多下一跳负载均衡时,当优先级相同,根据源地址哈希值按照权重比值分摊流量。
· 优先级:路由类型的优先级,该值越小,优先级越高。
· ISP路由和静态路由的优先级相同,如果出现相同的目的网段同时同时配置ISP路由和静态路由的下一跳不同,流量负载分担
(2) 点击图5-3中<新建>按钮,进入ISP路由配置页面,如图5-4所示,各配置项含义如表5-3所示。
图5-4 ISP路由配置
表5-3 ISP路由各配置项含义
|
标题项 |
说明 |
|
ISP名称 |
ISP路由所使用地址库名称 |
|
下一跳/出接口 |
ISP路由的下一跳/出接口 |
|
权重 |
ISP路由的权重,范围是<1-255> |
|
优先级 |
ISP路由的优先级,范围是<1-255> |
|
地址探测 |
配置和ISP路由联动的地址探测,单击后面的<新建>按钮可以创建地址探测或地址探测组。 |
· 权重:在多下一跳负载均衡时,权重越大,命中的概率就越大。
· 距离:路由类型的优先级,该值越小,优先级越高。
6.1 BGP简介
BGP(Border Gateway Protocol,边界网关协议)是一种既可以用于不同AS(Autonomous System,自治系统)之间,又可以用于同一AS内部的动态路由协议。当 BGP 运行于同一AS内部时,被称为IBGP(Internal BGP);当 BGP 运行于不同AS之间时,称为EBGP(External BGP)。AS是拥有同一选路策略,属于同一技术管理部门的一组路由器。
本节介绍配置BGP所需要理解的知识,具体包括:
· BGP的特点
· BGP发言者和BGP对等体
· BGP的消息类型
本章所介绍的配置都是指BGP version 4。
6.1.1 BGP的特点
BGP具有如下特点:
· BGP是一种EGP(Exterior Gateway Protocol,外部网关协议),与OSPF、RIP等IGP(Interior Gateway Protocol,内部网关协议)不同,其着眼点不在于发现和计算路由,而在于控制路由的传播和选择最佳路由。
· BGP使用TCP作为其传输层协议(端口号179),提高了协议的可靠性。
· BGP是一种路径矢量(Path-Vector)路由协议,它采用到达目的地址所经过的AS列表来衡量到达目的地址的距离。
· BGP支持CIDR(Classless Inter-Domain Routing,无类域间路由)。
· 路由更新时,BGP只发送更新的路由,大大减少了BGP传播路由所占用的带宽,适用于在Internet上传播大量的路由信息。
· BGP路由通过携带AS路径信息彻底解决路由环路问题。
· BGP提供了丰富的路由策略,能够对路由实现灵活的过滤和选择。
· BGP易于扩展,能够适应网络新的发展。
运行BGP协议的路由器称为BGP发言者。BGP发言者接收或产生路由信息,并将路由信息发布给其它BGP发言者。
相互之间存在TCP连接、相互交换路由信息的BGP发言者互为BGP对等体。根据对等体所在的AS,对等体分为以下几种:
· IBGP对等体:对等体与本地路由器位于同一AS。
· EBGP对等体:对等体与本地路由器位于不同AS。
6.1.3 BGP的消息类型
BGP定义了以下几种消息类型:
· Open:TCP连接建立后发送的第一个消息,用于在BGP对等体之间建立会话。
· Update:用于在对等体之间交换路由信息。一条Update消息可以发布具有相同路径属性的多条可达路由,也可以同时撤销多条不可达路由。
· Keepalive:BGP周期性地向对等体发送Keepalive消息,以保持会话的有效性。
· Route-refresh:用来要求对等体重新发送指定地址族的路由信息。
· Notification:当BGP检测到错误状态时,就向对等体发出Notification消息,之后BGP会话会立即中断。
通过菜单“网络配置 > 路由管理 > BGP信息”,进入如图6-1所示页面。在该页面上,可以配置AS号和路由标识。这些信息的详细说明如表6-1所示。
图6-1 BGP配置
表6-1 BGP各配置项说明
|
标题项 |
说明 |
|
启用 |
启用或禁用BGP策略,勾选为启用,不勾选为禁用。禁用后会删除BGP相关配置。 |
|
AS号 |
自治域系统号 |
|
路由标识 |
BGP路由器ID |
AS (Autonomous System number,自治域系统号)是指拥有同一选路策略,在同一技术管理部门下运行的一组路由器的集合。BGP的RFC1771里留给AS的范围是2个字节,所以AS的取值范围为1-65535,其中64512以上的为私有AS。但是鉴于IPv4地址空间不够这个前车之鉴,在RFC4893里定义了一个BGP的新功能——4字节AS(BGP Support for Four-octet AS Number,一般用M.N来描述),范围是65536-4294967295。
通过点击图6-1中的“应用”,进入如图6-2所示页面。该页显示了已经配置的邻居配置列表,在该页也可以删除已经配置的邻居配置列表,具体信息说明如表6-2所示。
图6-2 BGP已配置邻居配置列表
|
标题项 |
说明 |
|
邻居IP |
邻居的IP地址 |
|
AS号 |
邻居所属于的AS号 |
|
操作 |
点击 |
点击图6-2中的<新建>按钮,进入如图6-3所示页面,在该页填入新增的邻居配置。
点击图6-2中的“网络配置列表”,进入如图6-4页面。该页面显示了已经配置的网络配置列表,具体信息说明如表6-3所示。
|
标题项 |
说明 |
|
IP/掩码 |
宣告的网段地址 |
|
操作 |
点击 |
点击图6-4中的“路由引入配置列表”,进入所示图6-5页面。该页面显示了已经配置的路由引入配置列表,具体信息说明如表6-4所示。
|
标题项 |
说明 |
|
协议类型 |
引入的路由协议类型,包含:Connected、Static、RIP、OSPF等。 |
|
操作 |
点击 |
按照图6-6所示,配置IP地址,要求设备 A和设备 B上启用BGP,设备 A能学到1.1.1.1/24网段的路由,设备 B能学到2.2.2.1/24网段的路由。
图6-6 BGP配置案例组网图
1. 按照组网图组网。
2. 配置设备 A。
(1) 通过菜单“网络配置 > 路由管理 > BGP信息”,进入BGP配置页面,如图6-7所示,设置相关数据,点击<提交>。
图6-7 BGP配置
(2) 点击“应用”,进入如图6-8所示页面,点击新建,设置相关数据,并点击<提交>按钮。
(3) 点击图6-8中的“网络配置列表”,进入如图6-9所示页面,点击新建,设置相关数据,并点击<提交>按钮。
3. 配置设备 B
(1) 通过菜单“网络配置 > 路由管理 > BGP信息”,进入BGP配置页面,如图6-10所示,设置相关数据,点击<提交>。
(2) 点击图6-10中的“应用”,进入如图6-11所示页面,点击新建,设置相关数据,并点击<提交>按钮。
(3) 点击图6-11中的“网络配置列表”,进入如图6-12所示页面,点击新建,设置相关数据,并点击<提交>按钮。
在Host A上使用ping命令验证Host B可达。
OSPFv3是运行于IPv6的OSPF路由协议(RFC2740),它在OSPFv2基础上进行了增强,是一个独立的路由协议。。
· OSPFv3在Hello报文、状态机、LSDB、洪泛机制和路由计算等方面的工作原理和OSPFv2保持一致。
· OSPFv3协议把自治系统划分成逻辑意义上的一个或多个区域,通过LSA(Link State Advertisement)的形式发布路由
· OSPFv3依靠在OSPFv3区域内各路由器交互OSPFv3报文来达到路由信息的统一。
· OSPFv3报文封装在IPv6报文内,可以采用单播和组播的形式发送。
本章所介绍的配置都是指OSPF version 3。
7.2 OSPFv3的特点
OSPF是一种链路状态路由协议。它具有标准开放、收敛迅速、无环路、便于层级化设计等众多优点。IPv4网络中广泛使用的OSPFv2协议由于在报文内 容、运行机制等方面与IPv4地址联系得过于紧密,大大制约了它的可扩展性和适应性。在IPv6环境中,为了使OSPF更好的应用,同时保留原有的众多优点,因此,在OSPFv2的基础上作了多方面的修改后产生了OSPFv3协议。
OSPFv3相比OSPFv2作出的改进可以分为几个方面来描述。
7.2.1 OSPFv3独立于网络协议
(1) OSPFv3基于链路运行
OSPFv2协议是基于子网运行的,邻居之间形成邻接关系的必要条件之一就是两端的IP地址属于同一网段而且掩码相同。而OSPFv3协议基于链路运行,与具体的IPv6地址、前缀分离开,即使同一链路上的不同节点具有不同网段的IPv6地址时,协议也可以正常运行。
(2) 编址性语义的取消
在OSPFv2中,协议分组和LSA中的许多字段都是来自于网络上的某个IP地址、掩码或某个IP子网号。报文的数据内容决定了OSPFv2的多种机制必须基于IPv4来进行,包括邻居路由器标识、邻居建立等等。
在OSPFv3中取消了这些编址性语义,而只保留协议运行必须的核心内容。比如,Router-LSA和Network-LSA中不再包含网络地址,而只用于传递拓扑信息;LSA的Link State ID依然保留32位长度的IPv4地址格式,但只是一个编号,不再包含地址信息;邻居路由器,包括DR和BDR,都是用Router ID来标识。这些保证了OSPFv3协议能够独立于网络协议运行。
(3) 链路本地地址的使用
OSPFv2协议要求,每一个运行OSPF的接口都必须有一个全局的IPv4地址,即使是在网络中仅仅用于传输转发的中间节点也必须如此,协议的运行和路 由的计算都依赖于这个地址。而在IPv6中,每个接口都会分配本地链路地址(link-local address),这个地址只在本地链路有效,并不会在整个网络中传播。OSPFv3使用这个本地链路地址作为协议分组发送的源地址(虚连接除外)和路由 的下一跳,在网络规划时就不需要在大量的中间节点规划子网,同样也不需要专门配置IPv6地址。这样,一方面可以节省大量的全局地址,另一方面可以说协议的运行独立于IPv6,可以方便的对协议进行扩展,实现组播选路等其他的功能。
(4) 使用专门的LSA来发布路由前缀信息
OSPFv2通过Router-LSA和Network-LSA来发布区域内的路由信息和计算拓扑,所以OSPFv2的拓扑结构与IPv4网络信息是密不可分的。为了改变这种状况,在OSPFv3中,Router-LSA和Network-LSA中仅保留拓扑信息;同时增加了Intra-Area-Prefix-LSA和Link-LSA,分别用于传递区域内路由前缀和传递链路范围内的IPv6前缀。拓扑信息与前缀信息的分离,使得OSPFv3的运行更加独立于网络协议。
7.2.2 OSPFv3的结构更加清晰
(1) OSPFv3取消了协议报文的验证字段
在OSPFv2中使用了专门的验证字段。而在OSPFv3中使用IPv6标准的验证方式(IP AH和IP ESP)来保证信息传递的安全性,这样一来,既减轻了协议开销,也在一定程度上简化了协议处理流程。
(2) OSPFv3更加明确了LSA泛洪范围
在OSPFv3中,明确了LSA泛洪的三种范围:本地链路范围(Link-local scope)、区域范围(Area scope)、AS范围(AS scope),并且在LS_Type中增加了专门的字段进行说明。因此,OSPFv3协议在处理LSA泛洪时不再像OSPFv2中需要根据不同的LSA类型来判断LSA泛洪的范围,而是直接根据专门的字段进行处理就可以了。
7.2.3 OSPFv3的可扩展性和适应性更佳
(1) OSPFv3支持多实例
OSPFv2协议规定,不同的实例必须运行在不同的链路上。OSPFv3协议则提供了对多实例的明确支持,通过在协议报文中增加“instance ID”字段,同时规定,接收报文时对该字段进行判断,只有实例号匹配的报文才会处理,否则丢弃。这样,即使是在同一链路上也可以运行多个OSPF实例了,而且独立运行不会互相影响。
(2) 对未知类型LSA的处理
在OSPFv2中,当路由器收到自己不支持的LSA时,仅仅是作简单的丢弃处理。这样,当能力不同的路由器混合组网时,整个网络的处理能力就会受限于能力最低的路由器。最为突出的是在广播(或NBMA)网络中,如果DR不支持可选类型的LSA,则DR不能处理的LSA就不能在非DR路由器之间交互了。
在OSPFv3中,对未知类型的LSA的处理作了新的规定:根据LSA中特定字段来进行判断,可以将其泛洪范围限定在本地链路范围内,也可以将其当作已知类型的LSA,根据其中的“泛洪范围”字段发送出去。这样一来,即使网络中某些路由器的能力有限也不会影响某些特殊LSA的传播,从而具备了更好的适应性。
通过菜单“网络配置 > 路由管理 > OSPF6信息”,进入如图7-1所示页面。在该页面上,可以配置OSPF6路由器ID、是否路由重发布信息。这些信息的详细说明如表7-1所示。
表7-1 OSPF6各配置项说明
|
· 标题项 |
· 说明 |
|
启用 |
启用或禁用OSPF6策略,勾选为启用,不勾选为禁用。禁用后会删除OSPF6网络和OSPF6接口配置。 |
|
路由器ID |
OSPF6路由器ID |
|
直连路由 |
设置是否重发布直连路由,并设置直连路由的cost |
|
静态路由 |
设置是否重发布静态路由,并设置静态路由的cost |
通常路由器先挑选IP地址最大的环回地址作为Router-ID。若无环回地址,则在接口状态为up的物理接口中,选取最大的IP地址作为Router-ID。也可以指定一个Router-ID,并且指定的Router-ID优先级最高。
7.4 OSPFv3接口配置
(1) 点击图7-1中的“OSPF6接口”,进入所示图7-2页面。该页面显示了接口信息,具体信息说明如表1-2所示。
表7-2 各项含义
|
· 标题项 |
· 说明 |
|
接口名称 |
已经配置的接口名称 |
|
区域 |
ospf6区域配置,指定该区域的标识 |
|
操作 |
点击 |
(2) 点击<新建>按钮,进入如图7-3所示页面。该页面可以配置接口相关的OSPF6信息,具体信息说明如表7-3所示。
图7-3 OSPF6接口配置
|
· 标题项 |
· 说明 |
|
接口 |
选择要配置接口 |
|
区域 |
ospf6区域配置,指定该区域的标识 |
7.5.1 OSPFv3配置举例
1. 组网需求
按照图7-4所示,配置IP地址,要求设备 A和设备 B上启用OSPFv3,设备 A设备能学到5555::1/64网段的路由,设备 B能学到4444::1/64网段的路由。
2. 组网图
图7-4 OSPFv3配置案例组网图
3. 配置步骤
(1) 按照组网图组网。
(2) 配置设备 A。
a. 通过菜单“网络配置 > 路由管理 > OSPF6信息”,进入OSPF6配置页面,如图7-5所示,设置相关数据,点击<提交>。
b. 通过菜单“网络配置 > 路由管理 > OSPF6信息”,进入OSPF6接口配置页面,点击新建,进入如图7-6所示页面,并点击<提交>按钮。
(3) 配置设备 B
设备 B的配置方式与设备 A相同,在此不再赘述。
4. 验证配置
在Host A上使用ping6命令验证Host B可达。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
