路由rip协议

H3CS5500V2-SI系列以太网交换机三层技术-IP路由配置指导杭州华三通信技术有限公司http://www.
h3c.
com.
cn资料版本:6W100-20160430产品版本:Release3113P02Copyright2016杭州华三通信技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
H3C、、H3CS、H3CIE、H3CNE、Aolynk、、H3Care、、IRF、NetPilot、Netflow、SecEngine、SecPath、SecCenter、SecBlade、Comware、ITCMM、HUASAN、华三均为杭州华三通信技术有限公司的商标.
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言本配置指导主要介绍路由协议的原理和配置,包括IPv4、IPv6网络的路由学习技术,以及影响路由选择或者路由表生成的策略.
前言部分包含如下内容:读者对象本书约定产品配套资料资料获取方式技术支持资料意见反馈读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
图形界面格式约定格式意义带尖括号""表示按钮名,如"单击按钮".
[]带方括号"[]"表示窗口名、菜单名和数据表,如"弹出[新建用户]窗口".
/多级菜单用"/"隔开.
如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项.
3.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
4.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备.
该图标及其相关描述文字代表无线接入点设备.
该图标及其相关描述文字代表无线Mesh设备.
该图标代表发散的无线射频信号.
该图标代表点到点的无线射频信号.
该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备.
该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡.
5.
端口编号示例约定本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准.
产品配套资料H3CS5500V2-SI系列以太网交换机的配套资料包括如下部分:大类资料名称内容介绍硬件描述与安装安全兼容性手册列出产品的兼容性声明,并对兼容性和安全的细节进行说明快速安装指南图文并茂的方式指导您快速完成设备的初始安装安装指导帮助您详细了解设备硬件规格和安装方法,指导您对设备进行安装电源手册帮助您了解产品支持的可插拔电源模块的外观、功能、规格、安装及拆卸方法光模块及线缆安装指南帮助您掌握各类光模块及线缆的正确安装方法,避免因操作不当而造成器件损坏H3C光模块手册帮助您了解H3C交换机支持的光模块类型、外观和规格业务配置配置指导帮助您掌握设备软件功能的配置方法及配置步骤命令参考详细介绍设备的命令,相当于命令字典,方便您查阅各个命令的功能运行维护MIBCompanion与软件版本配套的MIBCompanion版本说明书帮助您了解产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法资料获取方式您可以通过H3C网站(www.
h3c.
com.
cn)获取最新的产品资料:H3C网站与产品资料相关的主要栏目介绍如下:[服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料.
[产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等.
[解决方案]:可以获取解决方案类资料.
[服务支持/软件下载]:可以获取与软件版本配套的资料.
技术支持用户支持邮箱:service@h3c.
com技术支持热线电话:400-600-9999(手机、固话均可拨打)网址:http://www.
h3c.
com.
cn资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1IP路由基础·1-11.
1IP路由简介1-11.
1.
1路由表·1-11.
1.
2路由优先级·1-21.
1.
3路由备份1-31.
1.
4路由迭代1-31.
1.
5路由共享1-31.
2配置路由的最大存活时间1-31.
2.
1配置路由和标签在RIB中的最大存活时间·1-31.
2.
2配置路由在FIB中的最大存活时间·1-41.
3路由表显示和维护1-51-11IP路由基础本手册仅介绍单播路由协议,组播路由协议请参见"IP组播配置指导".
路由功能中所指的"接口"为三层口,包括VLAN接口等.
1.
1IP路由简介在网络中路由器根据所收到的报文的目的地址选择一条合适的路径,并将报文转发到下一个路由器.
路径中最后一个路由器负责将报文转发给目的主机.
路由就是报文在转发过程中的路径信息,用来指导报文转发.
根据路由目的地的不同,路由可划分为:网段路由:目的地为网段,子网掩码长度小于32位.
主机路由:目的地为主机,子网掩码长度为32位.
另外,根据目的地与该路由器是否直接相连,路由又可划分为:直接路由:目的地所在网络与路由器直接相连.
间接路由:目的地所在网络与路由器非直接相连.
1.
1.
1路由表1.
路由表简介RIB(RoutingInformationBase,路由信息库),是一个集中管理路由信息的数据库,包含路由表信息以及路由周边信息(路由迭代信息、路由共享信息以及路由扩展信息)等.
路由器通过对路由表进行优选,把优选路由下发到FIB(ForwardingInformationBase,转发信息库)表中,通过FIB表指导报文转发.
路由表中保存了各种路由协议发现的路由,根据来源不同,通常分为以下三类:直连路由:链路层协议发现的路由,也称为接口路由.
静态路由:网络管理员手工配置的路由.
静态路由配置方便,对系统要求低,适用于拓扑结构简单并且稳定的小型网络.
其缺点是每当网络拓扑结构发生变化,都需要手工重新配置,不能自动适应.
动态路由:路由协议发现的路由.
FIB表中每条转发项都指明了要到达某子网或某主机的报文应通过路由器的哪个物理接口发送,就可以到达该路径的下一个路由器,或者不需再经过别的路由器便可传送到直接相连的网络中的目的主机.
FIB表的具体内容,请参见"三层技术-IP业务配置指导"中的"IP转发基础".
2.
路由表内容通过命令displayiprouting-table可以显示路由表的摘要信息,例如:1-2displayiprouting-tableDestinations:19Routes:19Destination/MaskProtoPreCostNextHopInterface0.
0.
0.
0/32Direct00127.
0.
0.
1InLoop01.
1.
1.
0/24Direct001.
1.
1.
1Vlan11.
1.
1.
0/32Direct001.
1.
1.
1Vlan11.
1.
1.
1/32Direct00127.
0.
0.
1InLoop01.
1.
1.
255/32Direct001.
1.
1.
1Vlan12.
2.
2.
0/24Static60012.
2.
2.
2Vlan2.
.
.
.
.
.
(省略部分显示信息)路由表中包含了下列关键项:Destination:目的地址.
用来标识IP报文的目的地址或目的网络.
Mask:网络掩码.
与目的地址一起来标识目的主机或路由器所在的网段的地址.
将目的地址和网络掩码"逻辑与"后可得到目的主机或路由器所在网段的地址.
例如:目的地址为129.
102.
8.
10、掩码为255.
255.
0.
0的主机或路由器所在网段的地址为129.
102.
0.
0.
掩码由若干个连续"1"构成,既可以用点分十进制法表示,也可以用掩码中连续"1"的个数来表示.
Pre:路由优先级.
对于同一目的地,可能存在若干条不同下一跳的路由,这些不同的路由可能是由不同的路由协议发现的,也可能是手工配置的静态路由.
优先级高(数值小)的路由将成为当前的最优路由.
Cost:路由的度量值.
当到达同一目的地的多条路由具有相同的优先级时,路由的度量值越小的路由将成为当前的最优路由.
NextHop:下一跳地址.
此路由的下一跳IP地址.
Interface:出接口.
指明IP报文将从该路由器哪个接口转发.
1.
1.
2路由优先级对于相同的目的地,不同的路由协议、直连路由和静态路由可能会发现不同的路由,但这些路由并不都是最优的.
为了判断最优路由,各路由协议、直连路由和静态路由都被赋予了一个优先级,具有较高优先级的路由协议发现的路由将成为最优路由.
除直连路由外,各路由协议的优先级都可由用户手工进行配置.
另外,每条静态路由的优先级都可以不相同.
缺省的路由优先级如表1-1所示,数值越小表明优先级越高.
表1-1缺省的路由优先级路由协议或路由种类缺省的路由优先级DIRECT(直连路由)0组播静态路由1单播静态路由60RIP100UNKNOWN(来自不可信源端的路由)2561-31.
1.
3路由备份使用路由备份可以提高网络的可靠性.
用户可根据实际情况,配置到同一目的地的多条路由,其中优先级最高的一条路由作为主路由,其余优先级较低的路由作为备份路由.
正常情况下,路由器采用主路由转发数据.
(1)当链路出现故障时,主路由变为非激活状态,路由器选择备份路由中优先级最高的转发数据.
这样,也就实现了从主路由到备份路由的切换.
(2)当链路恢复正常时,路由器重新选择路由.
由于主路由的优先级最高,路由器选择主路由来发送数据.
这就是从备份路由到主路由的切换.
1.
1.
4路由迭代如果路由所携带的下一跳信息并不是直接可达的,就需要找到到达下一跳的直连出接口.
路由迭代的过程就是通过路由的下一跳信息来找到直连出接口的过程.
路由迭代信息记录并保存路由迭代的结果,包括依赖路由的概要信息、迭代路径、迭代深度等.
1.
1.
5路由共享由于各路由协议采用的路由算法不同,不同的路由协议可能会发现不同的路由.
如果网络规模较大,当使用多种路由协议时,往往需要在不同的路由协议间能够共享各自发现的路由.
各路由协议都可以引入其它路由协议的路由、直连路由和静态路由,具体内容请参见本手册中各路由协议模块有关引入外部路由的描述.
路由共享信息记录了路由协议之间的引入关系.
1.
2配置路由的最大存活时间1.
2.
1配置路由和标签在RIB中的最大存活时间当协议路由表项较多或协议GR时间较长时,由于协议收敛速度较慢,可能会出现协议路由表项提前老化的问题.
通过调节路由和标签在RIB中的最大存活时间,可以解决上面的问题.
1.
配置IPv4路由和标签在RIB中的最大存活时间该配置在下一次协议进程倒换或者RIB进程倒换时才生效.
表1-2配置IPv4路由和标签在RIB中的最大存活时间操作命令说明进入系统视图system-view-进入RIB视图rib-创建RIBIPv4地址族,并进入RIBIPv4地址族视图address-familyipv4缺省情况下,没有创建RIBIPv4地址族1-4操作命令说明配置IPv4路由和标签在RIB中的最大存活时间protocolprotocollifetimeseconds缺省情况下,IPv4路由和标签在RIB中的最大存活时间为480秒2.
配置IPv6路由和标签在RIB中的最大存活时间该配置在下一次协议进程倒换或者RIB进程倒换时才生效.
表1-3配置IPv6路由和标签在RIB中的最大存活时间操作命令说明进入系统视图system-view-进入RIB视图rib-创建RIBIPv6地址族,并进入RIBIPv6地址族视图address-familyipv6缺省情况下,没有创建RIBIPv6地址族配置IPv6路由和标签在RIB中的最大存活时间protocolprotocollifetimeseconds缺省情况下,IPv6路由和标签在RIB中的最大存活时间为480秒1.
2.
2配置路由在FIB中的最大存活时间当协议进程倒换或RIB进程倒换后,如果协议进程没有配置GR或NSR,需要多保留一段时间FIB表项;如果协议进程配置了GR或NSR,需要立刻删除FIB表项,避免FIB表项长时间存在导致问题.
通过调节路由在FIB中的最大存活时间,可以解决上面的问题.
1.
配置IPv4路由在FIB中的最大存活时间表1-4配置IPv4路由在FIB中的最大存活时间操作命令说明进入系统视图system-view-进入RIB视图rib-创建RIBIPv4地址族,并进入RIBIPv4地址族视图address-familyipv4缺省情况下,没有创建RIBIPv4地址族配置IPv4路由在FIB中的最大存活时间fiblifetimeseconds缺省情况下,IPv4路由在FIB中的最大存活时间为600秒1-52.
配置IPv6路由在FIB中的最大存活时间表1-5配置IPv6路由在FIB中的最大存活时间操作命令说明进入系统视图system-view-进入RIB视图rib-创建RIBIPv6地址族,并进入RIBIPv6地址族视图address-familyipv6缺省情况下,没有创建RIBIPv6地址族配置IPv6路由在FIB中的最大存活时间fiblifetimeseconds缺省情况下,IPv6路由在FIB中的最大存活时间为600秒1.
3路由表显示和维护在任意视图下执行display命令可以显示路由表信息.
在用户视图下执行reset命令可以清除路由表的统计信息.
表1-6路由表显示和维护操作命令显示路由表的信息displayiprouting-table[verbose]显示通过指定基本访问控制列表过滤的路由信息displayiprouting-tableaclacl-number[verbose]显示指定目的地址的路由displayiprouting-tableip-address[mask|mask-length][longer-match][verbose]显示指定目的地址范围内的路由displayiprouting-tableip-address1toip-address2[verbose]显示通过指定前缀列表过滤的路由信息displayiprouting-tableprefix-listprefix-list-name[verbose]显示指定协议生成或发现的路由信息displayiprouting-tableprotocolprotocol[inactive|verbose]显示路由表中的综合路由统计信息displayiprouting-tablestatistics显示路由表的概要信息displayiprouting-tablesummary显示RIB的路由属性信息displayribattribute[attribute-id]显示RIB的GR状态信息displayribgraceful-restart显示RIB的下一跳信息displayribnib[self-originated][nib-id][verbose]displayribnibprotocolprotocol-name[verbose]显示直连路由下一跳信息displayroute-directnib[nib-id][verbose]清除路由表中的综合路由统计信息resetiprouting-tablestatisticsprotocol{protocol|all}显示IPv6路由表的信息displayipv6routing-table[verbose]1-6操作命令显示指定目的地址的IPv6路由信息displayipv6routing-tableipv6-address[prefix-length][longer-match][verbose]显示通过指定基本IPv6ACL过滤的IPv6路由信息displayipv6routing-tableaclacl6-number[verbose]显示指定目的地址范围内的IPv6路由信息displayipv6routing-tableipv6-address1toipv6-address2[verbose]显示通过指定前缀列表过滤的IPv6路由信息displayipv6routing-tableprefix-listprefix-list-name[verbose]显示指定协议生成或发现的IPv6路由信息displayipv6routing-tableprotocolprotocol[inactive|verbose]显示IPv6路由表中的综合路由统计信息displayipv6routing-tablestatistics显示IPv6路由表的概要信息displayipv6routing-tablesummary显示IPv6RIB的路由属性信息displayipv6ribattribute[attribute-id]显示IPv6RIB的GR状态信息displayipv6ribgraceful-restart显示IPv6RIB的下一跳信息displayipv6ribnib[self-originated][nib-id][verbose]displayipv6ribnibprotocolprotocol-name[verbose]显示IPv6直连路由下一跳信息displayipv6route-directnib[nib-id][verbose]清除IPv6路由表中的综合路由统计信息resetipv6routing-tablestatisticsprotocol{protocol|all}i目录1静态路由1-11.
1静态路由简介·1-11.
2配置静态路由·1-11.
2.
1配置准备1-11.
2.
2配置静态路由·1-11.
3配置静态路由与BFD联动1-21.
3.
1双向检测1-21.
3.
2单跳检测1-31.
4静态路由显示和维护·1-31.
5静态路由典型配置举例·1-41.
5.
1静态路由基本功能配置举例1-41.
5.
2静态路由与BFD联动(直连)配置举例1-61.
5.
3静态路由与BFD联动(非直连)配置举例1-82缺省路由2-12.
1缺省路由简介·2-11-11静态路由1.
1静态路由简介静态路由是一种特殊的路由,由管理员手工配置.
当网络结构比较简单时,只需配置静态路由就可以使网络正常工作.
静态路由不能自动适应网络拓扑结构的变化.
当网络发生故障或者拓扑发生变化后,必须由网络管理员手工修改配置.
1.
2配置静态路由1.
2.
1配置准备在配置静态路由之前,需完成以下任务:配置相关接口的物理参数配置相关接口的链路层属性配置相关接口的IP地址1.
2.
2配置静态路由表1-1配置静态路由操作命令说明进入系统视图system-view-配置静态路由iproute-staticdest-address{mask-length|mask}{interface-typeinterface-number[next-hop-address]|next-hop-address[tracktrack-entry-number]}[permanent][preferencepreference-value][tagtag-value][descriptiondescription-text]缺省情况下,没有配置静态路由(可选)配置静态路由的缺省优先级iproute-staticdefault-preferencedefault-preference-value缺省情况下,静态路由的缺省优先级为60(可选)删除所有静态路由deletestatic-routesall-1-2通过在Track模块和静态路由之间建立联动,可以实现实时监测下一跳的可达性,以便及时判断静态路由是否有效.
关于Track的详细介绍,请参见"可靠性配置指导"中的"Track".
使用undoiproute-static命令可以删除一条静态路由,而使用deletestatic-routesall命令可以删除包括缺省路由在内的所有静态路由.
1.
3配置静态路由与BFD联动路由振荡时,使能BFD功能可能会加剧振荡,请谨慎使用.
BFD(BidirectionalForwardingDetection,双向转发检测)提供了一个通用的、标准化的、介质无关、协议无关的快速故障检测机制,可以为上层协议(如路由协议)统一地快速检测两台路由器间双向转发路径的故障.
关于BFD的详细介绍,请参见"可靠性配置指导"中的"BFD".
1.
3.
1双向检测双向检测,即本端和对端需要同时进行配置,通过控制报文检测两个方向上的链路状态,实现毫秒级别的链路故障检测.
双向检测支持直连下一跳和非直连下一跳.
1.
直连下一跳直连下一跳是指下一跳和本端是直连的,配置时必须指定出接口和下一跳.
表1-2配置静态路由与BFD联动(双向检测—直连)操作命令说明进入系统视图system-view-配置静态路由与BFD联动iproute-staticdest-address{mask-length|mask}interface-typeinterface-numbernext-hop-addressbfdcontrol-packet[preferencepreference-value][tagtag-value][descriptiondescription-text]缺省情况下,没有配置静态路由与BFD联动2.
非直连下一跳非直连下一跳是指下一跳和本端不是直连的,中间还有其它设备.
配置时必须指定下一跳和BFD源IP地址.
1-3表1-3配置静态路由与BFD联动(双向检测—非直连)操作命令说明进入系统视图system-view-配置静态路由与BFD联动iproute-staticdest-address{mask-length|mask}{next-hop-addressbfdcontrol-packetbfd-sourceip-address}[preferencepreference-value][tagtag-value][descriptiondescription-text]缺省情况下,没有配置静态路由与BFD联动1.
3.
2单跳检测单跳检测,即只需要本端进行配置,通过echo报文检测链路的状态.
echo报文的目的地址为本端接口地址,发送给下一跳设备后会直接转发回本端.
这里所说的"单跳"是IP的一跳.
表1-4配置静态路由与BFD联动(单跳检测)操作命令说明进入系统视图system-view-配置echo报文的源IP地址bfdecho-source-ipip-address缺省情况下,没有配置echo报文的源IP地址本命令的详细情况请参见"可靠性命令参考"中的"BFD"配置静态路由与BFD联动iproute-staticdest-address{mask-length|mask}interface-typeinterface-numbernext-hop-addressbfdecho-packet[preferencepreference-value][tagtag-value][descriptiondescription-text]缺省情况下,没有配置静态路由与BFD联动静态路由的出接口为处于SPOOFING状态时,不能使用BFD进行检测.
1.
4静态路由显示和维护在完成上述配置后,在任意视图下执行display命令查看静态路由配置的运行情况并检验配置结果.
表1-5静态路由显示和维护操作命令查看静态路由表信息(本命令的详细情况请参见"三层技术-IP路由命令参考"中的"IP路由基础")displayiprouting-tableprotocolstatic[inactive|verbose]1-4操作命令显示静态路由下一跳信息displayroute-staticnib[nib-id][verbose]显示静态路由表信息displayroute-staticrouting-table[ip-address{mask-length|mask}]1.
5静态路由典型配置举例1.
5.
1静态路由基本功能配置举例1.
组网需求交换机各接口及主机的IP地址和掩码如图1-1所示.
要求采用静态路由,使图中任意两台主机之间都能互通.
2.
组网图图1-1静态路由基本功能配置组网图3.
配置步骤(1)配置各接口的IP地址(略)(2)配置静态路由#在SwitchA上配置缺省路由.
system-view[SwitchA]iproute-static0.
0.
0.
00.
0.
0.
01.
1.
4.
2#在SwitchB上配置两条静态路由.
system-view[SwitchB]iproute-static1.
1.
2.
0255.
255.
255.
01.
1.
4.
1[SwitchB]iproute-static1.
1.
3.
0255.
255.
255.
01.
1.
5.
6#在SwitchC上配置缺省路由.
system-view[SwitchC]iproute-static0.
0.
0.
00.
0.
0.
01.
1.
5.
5(3)配置主机1-5配置HostA的缺省网关为1.
1.
2.
3,HostB的缺省网关为1.
1.
6.
1,HostC的缺省网关为1.
1.
3.
1,具体配置过程略.
4.
验证配置#查看SwitchA的静态路由信息.
[SwitchA]displayiprouting-tableprotocolstaticSummaryCount:1StaticRoutingtableStatus:SummaryCount:1Destination/MaskProtoPreCostNextHopInterface0.
0.
0.
0/0Static6001.
1.
4.
2Vlan500StaticRoutingtableStatus:SummaryCount:0#查看SwitchB的静态路由信息.
[SwitchB]displayiprouting-tableprotocolstaticSummaryCount:2StaticRoutingtableStatus:SummaryCount:2Destination/MaskProtoPreCostNextHopInterface1.
1.
2.
0/24Static6001.
1.
4.
1Vlan5001.
1.
3.
0/24Static6001.
1.
5.
6Vlan600StaticRoutingtableStatus:SummaryCount:0#在HostB上使用ping命令验证HostA是否可达(假定主机安装的操作系统为WindowsXP).
C:\DocumentsandSettings\Administrator>ping1.
1.
2.
2Pinging1.
1.
2.
2with32bytesofdata:Replyfrom1.
1.
2.
2:bytes=32time=1msTTL=126Replyfrom1.
1.
2.
2:bytes=32time=1msTTL=126Replyfrom1.
1.
2.
2:bytes=32time=1msTTL=126Replyfrom1.
1.
2.
2:bytes=32time=1msTTL=126Pingstatisticsfor1.
1.
2.
2:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=1ms,Maximum=1ms,Average=1ms#在HostB上使用tracert命令验证HostA是否可达.
C:\DocumentsandSettings\Administrator>tracert1.
1.
2.
21-6Tracingrouteto1.
1.
2.
2overamaximumof30hops1system-view[SwitchA]interfacevlan-interface10[SwitchA-vlan-interface10]bfdmin-transmit-interval500[SwitchA-vlan-interface10]bfdmin-receive-interval500[SwitchA-vlan-interface10]bfddetect-multiplier9[SwitchA-vlan-interface10]quit[SwitchA]iproute-static120.
1.
1.
024vlan-interface1012.
1.
1.
2bfdcontrol-packet1-7[SwitchA]iproute-static120.
1.
1.
024vlan-interface1110.
1.
1.
100preference65[SwitchA]quit#在SwitchB上配置静态路由,并使能BFD检测功能,使用双向检测方式.
system-view[SwitchB]interfacevlan-interface10[SwitchB-vlan-interface10]bfdmin-transmit-interval500[SwitchB-vlan-interface10]bfdmin-receive-interval500[SwitchB-vlan-interface10]bfddetect-multiplier9[SwitchB-vlan-interface10]quit[SwitchB]iproute-static121.
1.
1.
024vlan-interface1012.
1.
1.
1bfdcontrol-packet[SwitchB]iproute-static121.
1.
1.
024vlan-interface1313.
1.
1.
2preference65[SwitchB]quit#在SwitchC上配置静态路由.
system-view[SwitchC]iproute-static120.
1.
1.
02413.
1.
1.
1[SwitchC]iproute-static121.
1.
1.
02410.
1.
1.
1024.
验证配置下面以SwitchA为例,SwitchB和SwitchA类似,不再赘述.
#查看BFD会话,可以看到BFD会话已经创建.
displaybfdsessionTotalSessionNum:1UpSessionNum:1InitMode:ActiveIPv4SessionWorkingUnderCtrlMode:LD/RDSourceAddrDestAddrStateHoldtimeInterface4/712.
1.
1.
112.
1.
1.
2Up2000msVlan10#查看静态路由,可以看到SwitchA经过L2Switch到达SwitchB.
displayiprouting-tableprotocolstaticSummaryCount:1StaticRoutingtableStatus:SummaryCount:1Destination/MaskProtoPreCostNextHopInterface120.
1.
1.
0/24Static60012.
1.
1.
2Vlan10StaticRoutingtableStatus:SummaryCount:0当SwitchA和SwitchB通过L2Switch通信的链路出现故障时:#查看静态路由,可以看到SwitchA经过SwitchC到达SwitchB.
displayiprouting-tableprotocolstaticSummaryCount:11-8StaticRoutingtableStatus:SummaryCount:1Destination/MaskProtoPreCostNextHopInterface120.
1.
1.
0/24Static65010.
1.
1.
100Vlan11StaticRoutingtableStatus:SummaryCount:01.
5.
3静态路由与BFD联动(非直连)配置举例1.
组网需求在SwitchA上配置静态路由可以到达120.
1.
1.
0/24网段,在SwitchB上配置静态路由可以到达121.
1.
1.
0/24网段,并都使能BFD检测功能.
在SwitchC和SwitchD上配置静态路由可以到达120.
1.
1.
0/24网段和121.
1.
1.
0/24网段.
SwitchA存在到SwitchB的接口Loopback1(2.
2.
2.
9/32)的路由,出接口为Vlan-interface10;SwitchB存在到SwitchA的接口Loopback1(1.
1.
1.
9/32)的路由,出接口为Vlan-interface12;SwitchD存在到1.
1.
1.
9/32的路由,出接口为Vlan-interface10,存在到2.
2.
2.
9/32的路由,出接口为Vlan-interface12.
当SwitchA和SwitchB通过SwitchD通信的链路出现故障时,BFD能够快速感知,并且切换到SwitchC进行通信.
2.
组网图图1-3静态路由与BFD联动(非直连)配置组网图设备接口IP地址设备接口IP地址SwitchAVlan-int1012.
1.
1.
1/24SwitchBVlan-int1211.
1.
1.
1/24Vlan-int1110.
1.
1.
102/24Vlan-int1313.
1.
1.
1/24Loop11.
1.
1.
9/32Loop12.
2.
2.
9/32SwitchCVlan-int1110.
1.
1.
100/24SwitchDVlan-int1012.
1.
1.
2/24Vlan-int1313.
1.
1.
2/24Vlan-int1211.
1.
1.
2/243.
配置步骤(1)配置各接口的IP地址(略)(2)配置静态路由和BFD#在SwitchA上配置静态路由,并使能BFD检测功能,使用双向检测方式.
system-view1-9[SwitchA]bfdmulti-hopmin-transmit-interval500[SwitchA]bfdmulti-hopmin-receive-interval500[SwitchA]bfdmulti-hopdetect-multiplier9[SwitchA]iproute-static120.
1.
1.
0242.
2.
2.
9bfdcontrol-packetbfd-source1.
1.
1.
9[SwitchA]iproute-static120.
1.
1.
024vlan-interface1110.
1.
1.
100preference65[SwitchA]quit#在SwitchB上配置静态路由,并使能BFD检测功能,使用双向检测方式.
system-view[SwitchB]bfdmulti-hopmin-transmit-interval500[SwitchB]bfdmulti-hopmin-receive-interval500[SwitchB]bfdmulti-hopdetect-multiplier9[SwitchB]iproute-static121.
1.
1.
0241.
1.
1.
9bfdcontrol-packetbfd-source2.
2.
2.
9[SwitchB]iproute-static121.
1.
1.
024vlan-interface1313.
1.
1.
2preference65[SwitchB]quit#在SwitchC上配置静态路由.
system-view[SwitchC]iproute-static120.
1.
1.
02413.
1.
1.
1[SwitchC]iproute-static121.
1.
1.
02410.
1.
1.
102#在SwitchD上配置静态路由.
system-view[SwitchD]iproute-static120.
1.
1.
02411.
1.
1.
1[SwitchD]iproute-static121.
1.
1.
02412.
1.
1.
14.
验证配置下面以SwitchA为例,SwitchB和SwitchA类似,不再赘述.
#查看BFD会话,可以看到BFD会话已经创建.
displaybfdsessionTotalSessionNum:1UpSessionNum:1InitMode:ActiveIPv4SessionWorkingUnderCtrlMode:LD/RDSourceAddrDestAddrStateHoldtimeInterface4/71.
1.
1.
92.
2.
2.
9Up2000msN/A#查看静态路由,可以看到SwitchA经过SwitchD到达SwitchB.
displayiprouting-tableprotocolstaticSummaryCount:1StaticRoutingtableStatus:SummaryCount:1Destination/MaskProtoPreCostNextHopInterface120.
1.
1.
0/24Static60012.
1.
1.
2Vlan10StaticRoutingtableStatus:SummaryCount:01-10当SwitchA和SwitchB通过SwitchD通信的链路出现故障时:#查看静态路由,可以看到SwitchA经过SwitchC到达SwitchB.
displayiprouting-tableprotocolstaticSummaryCount:1StaticRoutingtableStatus:SummaryCount:1Destination/MaskProtoPreCostNextHopInterface120.
1.
1.
0/24Static65010.
1.
1.
100Vlan11StaticRoutingtableStatus:SummaryCount:02-12缺省路由2.
1缺省路由简介缺省路由是在路由器没有找到匹配的路由表项时使用的路由.
如果报文的目的地不在路由表中且没有配置缺省路由,那么该报文将被丢弃.
缺省路由有两种生成方式:第一种是网络管理员手工配置.
配置请参见表1-1,将目的地址与掩码配置为全零(0.
0.
0.
00.
0.
0.
0).
第二种是动态路由协议生成(如RIP),由路由能力比较强的路由器将缺省路由发布给其它路由器,其它路由器在自己的路由表里生成指向那台路由器的缺省路由.
配置请参见各个路由协议手册.
i目录1RIP1-11.
1RIP简介·1-11.
1.
1RIP的工作机制·1-11.
1.
2RIP的版本·1-21.
1.
3协议规范1-21.
2RIP配置任务简介·1-31.
3配置RIP的基本功能·1-31.
3.
1配置准备1-31.
3.
2启动RIP1-41.
3.
3配置接口的工作状态1-51.
3.
4配置RIP版本1-51.
4配置RIP的路由信息控制·1-61.
4.
1配置准备1-61.
4.
2配置接口附加度量值1-61.
4.
3配置RIP-2路由聚合·1-61.
4.
4禁止RIP接收主机路由·1-81.
4.
5配置RIP发布缺省路由·1-81.
4.
6配置RIP对接收/发布的路由进行过滤·1-91.
4.
7配置RIP协议优先级1-91.
4.
8配置RIP引入外部路由·1-101.
5调整和优化RIP网络·1-101.
5.
1配置准备1-101.
5.
2配置RIP定时器·1-101.
5.
3配置水平分割和毒性逆转·1-111.
5.
4配置RIP-1报文的零域检查1-121.
5.
5配置源地址检查·1-121.
5.
6配置RIP-2报文的认证方式1-131.
5.
7配置RIP邻居1-131.
5.
8配置RIP网管功能·1-131.
5.
9配置RIP报文的发送速率·1-141.
5.
10配置RIP报文的最大长度·1-141.
6配置RIPGR·1-151.
7配置RIP与BFD联动·1-15ii1.
7.
1echo报文单跳检测1-161.
7.
2指定目的地址的echo报文单跳检测·1-161.
7.
3control报文双向检测1-161.
8RIP显示和维护1-171.
9RIP典型配置举例·1-171.
9.
1RIP基本功能配置举例·1-171.
9.
2RIP引入外部路由配置举例1-211.
9.
3RIP接口附加度量值配置举例·1-231.
9.
4RIP与BFD联动配置举例(echo报文单跳检测)1-251.
9.
5RIP与BFD联动配置举例(指定目的地址的echo报文单跳检测)1-271.
9.
6RIP与BFD联动配置举例(control报文双向检测)1-301-11RIP1.
1RIP简介RIP(RoutingInformationProtocol,路由信息协议)是一种较为简单的内部网关协议(InteriorGatewayProtocol,IGP),主要用于规模较小的网络中,比如校园网以及结构较简单的地区性网络.
对于更为复杂的环境和大型网络,一般不使用RIP.
由于RIP的实现较为简单,因此在实际组网中仍有广泛的应用.
1.
1.
1RIP的工作机制1.
RIP的基本概念RIP是一种基于距离矢量(Distance-Vector)算法的协议,它通过UDP报文进行路由信息的交换,使用的端口号为520.
RIP使用跳数来衡量到达目的地址的距离,跳数称为度量值.
在RIP中,路由器到与它直接相连网络的跳数为0,通过一个路由器可达的网络的跳数为1,其余依此类推.
为限制收敛时间,RIP规定度量值取0~15之间的整数,大于或等于16的跳数被定义为无穷大,即目的网络或主机不可达.
由于这个限制,使得RIP不适合应用于大型网络.
为提高性能,防止产生路由环路,RIP支持水平分割(SplitHorizon)和毒性逆转(PoisonReverse)功能.
2.
RIP的路由数据库每个运行RIP的路由器管理一个路由数据库,该路由数据库包含了到所有可达目的地的路由项,这些路由项包含下列信息:目的地址:主机或网络的地址.
下一跳地址:为到达目的地,需要经过的相邻路由器的接口IP地址.
出接口:本路由器转发报文的出接口.
度量值:本路由器到达目的地的开销.
路由时间:从路由项最后一次被更新到现在所经过的时间,路由项每次被更新时,路由时间重置为0.
路由标记(RouteTag):用于标识外部路由,在路由策略中可根据路由标记对路由信息进行灵活的控制.
关于路由策略的详细信息,请参见"三层技术-IP路由配置指导"中的"路由策略".
3.
RIP防止路由环路的机制RIP协议向邻居通告的是自己的路由表,有可能会发生路由环路,可以通过以下机制来避免:计数到无穷(Countingtoinfinity):将度量值等于16的路由定义为不可达(infinity).
在路由环路发生时,某条路由的度量值将会增加到16,该路由被认为不可达.
触发更新(TriggeredUpdates):RIP通过触发更新来避免在多个路由器之间形成路由环路的可能,而且可以加速网络的收敛速度.
一旦某条路由的度量值发生了变化,就立刻向邻居路由器发布更新报文,而不是等到更新周期的到来.
1-2水平分割(SplitHorizon):RIP从某个接口学到的路由,不会从该接口再发回给邻居路由器.
这样不但减少了带宽消耗,还可以防止路由环路.
毒性逆转(PoisonReverse):RIP从某个接口学到路由后,将该路由的度量值设置为16(不可达),并从原接口发回邻居路由器.
利用这种方式,可以清除对方路由表中的无用信息.
4.
RIP的运行过程RIP的运行过程如下:(1)路由器启动RIP后,便会向相邻的路由器发送请求报文(Requestmessage),相邻的RIP路由器收到请求报文后,响应该请求,回送包含本地路由表信息的响应报文(Responsemessage).
(2)路由器收到响应报文后,更新本地路由表,同时向相邻路由器发送触发更新报文,通告路由更新信息.
相邻路由器收到触发更新报文后,又向其各自的相邻路由器发送触发更新报文.
在一连串的触发更新广播后,各路由器都能得到并保持最新的路由信息.
(3)路由器周期性向相邻路由器发送本地路由表,运行RIP协议的相邻路由器在收到报文后,对本地路由进行维护,选择一条最佳路由,再向其各自相邻网络发送更新信息,使更新的路由最终能达到全局有效.
同时,RIP采用老化机制对超时的路由进行老化处理,以保证路由的实时性和有效性.
1.
1.
2RIP的版本RIP有两个版本:RIP-1和RIP-2.
RIP-1是有类别路由协议(ClassfulRoutingProtocol),它只支持以广播方式发布协议报文.
RIP-1的协议报文无法携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1不支持不连续子网(DiscontiguousSubnet).
RIP-2是一种无类别路由协议(ClasslessRoutingProtocol),与RIP-1相比,它有以下优势:支持路由标记,在路由策略中可根据路由标记对路由进行灵活的控制.
报文中携带掩码信息,支持路由聚合和CIDR(ClasslessInter-DomainRouting,无类域间路由).
支持指定下一跳,在广播网上可以选择到最优下一跳地址.
支持组播路由发送更新报文,只有RIP-2路由器才能收到更新报文,减少资源消耗.
支持对协议报文进行验证,并提供明文验证和MD5验证两种方式,增强安全性.
RIP-2有两种报文传送方式:广播方式和组播方式,缺省将采用组播方式发送报文,使用的组播地址为224.
0.
0.
9.
当接口运行RIP-2广播方式时,也可接收RIP-1的报文.
1.
1.
3协议规范与RIP相关的协议规范有:RFC1058:RoutingInformationProtocolRFC1723:RIPVersion2-CarryingAdditionalInformationRFC1721:RIPVersion2ProtocolAnalysisRFC1722:RIPVersion2ProtocolApplicabilityStatementRFC1724:RIPVersion2MIBExtension1-3RFC2082:RIP-2MD5AuthenticationRFC2091:TriggeredExtensionstoRIPtoSupportDemandCircuitsRFC2453:RIPVersion21.
2RIP配置任务简介表1-1RIP配置任务简介配置任务说明详细配置配置RIP的基本功能启动RIP必选1.
3.
2配置接口的工作状态可选1.
3.
3配置RIP版本可选1.
3.
4配置RIP的路由信息控制配置接口附加度量值可选1.
4.
2配置RIP-2路由聚合可选1.
4.
3禁止RIP接收主机路由可选1.
4.
4配置RIP发布缺省路由可选1.
4.
5配置RIP对接收/发布的路由进行过滤可选1.
4.
4配置RIP协议优先级可选1.
4.
7配置RIP引入外部路由可选1.
4.
8调整和优化RIP网络配置RIP定时器可选1.
5.
2配置水平分割和毒性逆转可选1.
5.
3配置RIP-1报文的零域检查可选1.
5.
4配置源地址检查可选1.
5.
5配置RIP-2报文的认证方式可选1.
5.
6配置RIP邻居可选1.
5.
7配置RIP和MIB绑定可选1.
5.
8配置RIP报文的发送速率可选1.
5.
9配置RIP报文的最大长度可选1.
5.
10配置RIPGR可选1.
6配置RIP与BFD联动可选1.
71.
3配置RIP的基本功能1.
3.
1配置准备在配置RIP的基本功能之前,需完成以下任务:配置链路层协议1-4配置接口的网络层地址,使相邻节点的网络层可达1.
3.
2启动RIP如果在启动RIP前在接口视图下配置了RIP相关命令,这些配置只有在RIP启动后才会生效.
RIP不支持将同一物理接口下的不同网段使能到不同的RIP进程中.
RIP不支持在同一物理接口下使能多个RIP进程.
目前,系统支持RIP多进程.
当在一台路由器上启动多个RIP进程时,需要指定不同的进程号.
RIP进程号是本地概念,不影响与其它路由器之间的报文交换.
因此,不同的路由器之间,即使进程号不同也可以进行报文交换.
1.
在指定网段上使能RIPRIP只在指定网段的接口上运行,指定网段的同时可以配置反码;对于不在指定网段上的接口,RIP既不在它上面接收和发送路由,也不将它的接口路由发布出去.
因此,RIP启动后必须指定其工作网段.
表1-2在指定网段上使能RIP操作命令说明进入系统视图system-view-启动RIP,并进入RIP视图rip[process-id]缺省情况下,系统没有启动RIP在指定网段上使能RIPnetworknetwork-address[wildcard-mask]缺省情况下,没有网段使能RIP在单进程情况下,可以使用network0.
0.
0.
0命令用来在所有接口上使能RIP;在多进程情况下,无法使用network0.
0.
0.
0命令2.
在指定接口上使能RIPRIP支持在接口下使能RIP进程.
表1-3在指定接口上使能RIP操作命令说明进入系统视图system-view-启动RIP,并进入RIP视图rip[process-id]缺省情况下,系统没有启动RIP退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-在指定接口上使能RIPripprocess-idenable[exclude-subip]缺省情况下,接口没有使能RIP1-51.
3.
3配置接口的工作状态用户可对接口的工作状态进行配置:配置接口工作在抑制状态,即接口只接收RIP报文而不发送RIP报文配置允许接口接收RIP报文配置允许接口发送RIP报文表1-4配置RIP收发报文控制操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-配置抑制接口silent-interface{interface-typeinterface-number|all}缺省情况下,允许所有接口发送路由更新报文若抑制接口收到非知名端口的单播请求,需要发送响应报文退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-配置允许接口接收RIP报文ripinput缺省情况下,允许接口接收RIP报文配置允许接口发送RIP报文ripoutput缺省情况下,允许接口发送RIP报文1.
3.
4配置RIP版本用户可以在RIP视图下配置RIP版本,也可在接口上配置RIP版本:当全局和接口都没有进行RIP版本配置时,接口发送RIP-1广播报文,可以接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文.
如果接口上配置了RIP版本,以接口配置的为准;如果接口没有进行RIP版本配置,接口运行的RIP版本将以全局配置的版本为准.
表1-5配置RIP版本号操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-配置全局RIP版本version{1|2}缺省情况下,没有配置全局RIP版本.
接口只能发送RIP-1广播报文,可以接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-1-6操作命令说明配置接口运行的RIP版本ripversion{1|2[broadcast|multicast]}缺省情况下,没有配置接口运行的RIP版本.
接口只能发送RIP-1广播报文,可以接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文1.
4配置RIP的路由信息控制1.
4.
1配置准备在实际应用中,有时候需要对RIP路由信息进行更为精确的控制以满足复杂网络环境的需要.
在配置之前,需完成以下任务:配置接口的网络层地址,使相邻节点网络层可达配置RIP的基本功能1.
4.
2配置接口附加度量值附加度量值是在RIP路由原来度量值的基础上所增加的度量值(跳数),包括发送附加度量值和接收附加度量值.
发送附加度量值:不会改变路由表中的路由度量值,仅当接口发送RIP路由信息时才会添加到发送路由上.
接收附加度量值:会影响接收到的路由度量值,接口接收到一条合法的RIP路由时,在将其加入路由表前会把度量值附加到该路由上,当附加度量值与原路由度量值之和大于16时,该条路由的度量值取16.
表1-6配置接口附加度量值操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口接收RIP路由时的附加度量值ripmetricin[route-policyroute-policy-name]value缺省情况下,接口接收RIP路由时的附加路由度量值为0配置接口发送RIP路由时的附加度量值ripmetricout[route-policyroute-policy-name]value缺省情况下,接口发送RIP路由时的附加路由度量值为11.
4.
3配置RIP-2路由聚合路由聚合是指路由器把同一自然网段内的连续子网的路由聚合成一条路由向外发送,如路由表里有10.
1.
1.
0/24、10.
1.
2.
0/24、10.
1.
3.
0/24三条路由,可以通过配置把它们聚合成一条路由10.
1.
0.
0/16向外发送,这样邻居路由器只接收到一条路由10.
1.
0.
0/16,从而减少了路由表的规模,以及网络上的传输流量.
1-7通过配置路由聚合,可以提高网络的可扩展性以及路由器的处理速度.
RIP-2将多条路由聚合成一条路由时,聚合路由的Metric值将取所有路由Metric的最小值.
在RIP-2中,有两种路由聚合方式:自动路由聚合和手工配置聚合路由.
1.
自动路由聚合自动路由聚合是指RIP-2将同一自然网段内的不同子网的路由聚合成一条自然掩码的路由向外发送,例如,假设路由表里有10.
1.
1.
0/24、10.
1.
2.
0/24、10.
1.
3.
0/24三条路由,使能RIP-2自动路由聚合功能后,这三条路由聚合成一条自然掩码的路由10.
0.
0.
0/8向外发送.
表1-7配置自动路由聚合操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-使能RIP-2自动路由聚合功能summary缺省情况下,RIP-2自动路由聚合功能处于使能状态如果路由表里的路由子网不连续,则需要取消自动路由聚合功能,使得RIP-2能够向外发布子网路由和主机路由2.
手工配置聚合路由用户可在指定接口配置RIP-2发布一条聚合路由.
聚合路由的目的地址和掩码进行与运算到一个网络地址,RIP-2将对落入该网段内的路由进行聚合,接口只发布聚合后的路由.
例如,假设路由表里有10.
1.
1.
0/24、10.
1.
2.
0/24、10.
1.
3.
0/24三条子网连续的路由,在接口Vlan-interface1配置发布一条聚合路由10.
1.
0.
0/16后,这三条路由聚合成一条路由10.
1.
0.
0/16向外发送.
缺省情况下,RIP-2的路由将按照自然掩码自动聚合,如果用户在指定接口配置发布一条聚合路由,则必须先关闭自动聚合功能.
表1-8手工配置聚合路由操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-关闭RIP-2自动路由聚合功能undosummary缺省情况下,RIP-2自动路由聚合功能处于使能状态退至系统视图quit-进入接口视图interfaceinterface-typeinterface-number-1-8操作命令说明配置发布一条聚合路由ripsummary-addressip-address{mask-length|mask}缺省情况下,没有配置发布一条聚合路由1.
4.
4禁止RIP接收主机路由禁止接收主机路由仅对RIPv2报文携带的路由有效,对RIPv1报文携带的路由无效.
在某些特殊情况下,路由器会收到大量来自同一网段的主机路由.
这些路由对于路由寻址没有多少作用,却占用了大量的资源,此时可配置RIP禁止接收主机路由,以节省网络资源.
表1-9禁止RIP接收主机路由操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-禁止RIP接收主机路由undohost-route缺省情况下,允许RIP接收主机路由1.
4.
5配置RIP发布缺省路由用户可以配置RIP以指定度量值向邻居发布一条缺省路由.
用户可以在RIP视图下配置RIP进程的所有接口向邻居发布缺省路由,也可以在接口下配置指定RIP接口向邻居发布缺省路由.
如果接口没有进行发布缺省路由的相关配置,则以RIP进程下的配置为准,否则将以接口配置为准.
如果RIP进程配置了发布缺省路由,但希望该进程下的某个接口不发送缺省路由(只发布普通路由),可以通过在接口下配置ripdefault-routeno-originate命令实现.
表1-10配置RIP发布缺省路由操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-配置RIP发布缺省路由default-route{only|originate}[costcost]缺省情况下,RIP不向邻居发送缺省路由退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-1-9操作命令说明配置RIP接口发布缺省路由ripdefault-route{{only|originate}[costcost]|no-originate}缺省情况下,RIP接口是否发布缺省路由以RIP进程配置的为准配置发布缺省路由的RIP路由器不接收来自RIP邻居的缺省路由.
1.
4.
6配置RIP对接收/发布的路由进行过滤路由过滤就是通过指定访问控制列表或IP地址前缀列表,配置入口或出口过滤策略,对接收和发布的路由进行过滤.
表1-11配置RIP对接收/发布的路由进行过滤操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-对接收的路由信息进行过滤filter-policy{acl-number|gatewayprefix-list-name|prefix-listprefix-list-name[gatewayprefix-list-name]}import[interface-typeinterface-number]缺省情况下,RIP不对接收的路由信息进行过滤本命令对从邻居收到的RIP路由进行过滤,没有通过过滤的路由将不被加入路由表,也不向邻居发布该路由对发布的路由信息进行过滤filter-policy{acl-number|prefix-listprefix-list-name}export[protocol[process-id]|interface-typeinterface-number]缺省情况下,RIP不对发布的路由信息进行过滤本命令对本机所有路由的发布进行过滤,包括使用import-route引入的路由和从邻居学到的RIP路由1.
4.
7配置RIP协议优先级在路由器中可能会运行多个IGP路由协议,如果想让RIP路由具有比从其它路由协议学来的路由更高的优先级,需要配置小的优先级值.
优先级的高低将最后决定IP路由表中的路由是通过哪种路由算法获取的最佳路由.
表1-12配置RIP协议优先级操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-1-10操作命令说明配置RIP路由的优先级preference[route-policyroute-policy-name]value缺省情况下,RIP路由的优先级为1001.
4.
8配置RIP引入外部路由如果在路由器上不仅运行RIP,还运行着其它路由协议,可以配置RIP引入其它协议生成的路由,如静态路由或者直连路由.
表1-13配置RIP引入外部路由操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-引入外部路由import-routeprotocol[process-id|all-processes][costcost|route-policyroute-policy-name|tagtag]*缺省情况下,RIP不引入其它路由只能引入路由表中状态为active的路由,是否为active状态可以通过displayiprouting-tableprotocol命令来查看(可选)配置引入路由的缺省度量值defaultcostvalue缺省情况下,引入路由的缺省度量值为01.
5调整和优化RIP网络1.
5.
1配置准备在某些特殊的网络环境中,需要对RIP网络的性能进行调整和优化,在调整和优化RIP网络之前,需完成以下任务:配置接口的网络层地址,使相邻节点网络层可达配置RIP的基本功能1.
5.
2配置RIP定时器定时器值的调整应考虑网络的性能,并在所有运行RIP的路由器上进行统一配置,以免增加不必要的网络流量或引起网络路由震荡.
通过调整RIP定时器可以改变RIP网络的收敛速度.
RIP受四个定时器的控制,分别是Update、Timeout、Suppress和Garbage-Collect.
Update定时器,定义了发送路由更新的时间间隔.
1-11Timeout定时器,定义了路由老化时间.
如果在老化时间内没有收到关于某条路由的更新报文,则该条路由在路由表中的度量值将会被设置为16.
Suppress定时器,定义了RIP路由处于抑制状态的时长.
当一条路由的度量值变为16时,该路由将进入抑制状态.
在被抑制状态,只有来自同一邻居且度量值小于16的路由更新才会被路由器接收,取代不可达路由.
Garbage-Collect定时器,定义了一条路由从度量值变为16开始,直到它从路由表里被删除所经过的时间.
在Garbage-Collect时间内,RIP以16作为度量值向外发送这条路由的更新,如果Garbage-Collect超时,该路由仍没有得到更新,则该路由将从路由表中被彻底删除.
表1-14配置RIP定时器操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-配置RIP定时器的值timers{garbage-collectgarbage-collect-value|suppresssuppress-value|timeouttimeout-value|updateupdate-value}*缺省情况下,Garbage-collect定时器的值为120秒,Suppress定时器的值为120秒,Timeout定时器的值为180秒,Update定时器的值为30秒1.
5.
3配置水平分割和毒性逆转如果同时配置了水平分割和毒性逆转,则只有毒性逆转功能生效.
通过配置水平分割或毒性逆转功能可以防止路由环路.
1.
配置水平分割配置水平分割可以使得从一个接口学到的路由不能通过此接口向外发布,用于避免相邻路由器间的路由环路.
表1-15配置水平分割操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-使能水平分割功能ripsplit-horizon缺省情况下,水平分割功能处于使能状态2.
配置毒性逆转配置毒性逆转后,从一个接口学到的路由还可以从这个接口向外发布,但这些路由的度量值会设置为16(即不可达),可以用于避免相邻路由器间的路由环路.
1-12表1-16配置毒性逆转操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-使能毒性逆转功能rippoison-reverse缺省情况下,毒性逆转功能处于关闭状态1.
5.
4配置RIP-1报文的零域检查RIP-1报文中的有些字段必须为零,称之为零域.
用户可配置RIP-1在接收报文时对零域进行检查,零域值不为零的RIP-1报文将不被处理.
如果用户能确保所有报文都是可信任的,则可以不进行该项检查,以节省CPU处理时间.
由于RIP-2的报文没有零域,此项配置对RIP-2无效.
表1-17配置RIP-1报文的零域检查操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-使能RIP-1报文的零域检查功能checkzero缺省情况下,RIP-1报文的零域检查功能处于使能状态1.
5.
5配置源地址检查通过配置对接收到的RIP路由更新报文进行源IP地址检查:对于在接口上接收的报文,RIP将检查该报文源地址和接收接口的IP地址是否处于同一网段,如果不在同一网段则丢弃该报文.
对于PPP接口上接收的报文,RIP检查该报文的源地址是否是对端接口的IP地址,如果不是则丢弃该报文.
表1-18配置源地址检查操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-使能对接收到的RIP路由更新报文进行源IP地址检查功能validate-source-address缺省情况下,对接收到的RIP路由更新报文进行源IP地址检查功能处于使能状态1-131.
5.
6配置RIP-2报文的认证方式在安全性要求较高的网络环境中,可以通过配置报文的认证方式来对RIP-2报文进行有效性检查和验证.
RIP-2支持两种认证方式:简单认证和MD5认证.
表1-19配置RIP-2报文的认证方式操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置RIP-2报文的认证方式ripauthentication-mode{md5{rfc2082{ciphercipher-string|plainplain-string}key-id|rfc2453{ciphercipher-string|plainplain-string}}|simple{ciphercipher-string|plainplain-string}}缺省情况下,接口没有配置RIP-2的认证方式当RIP的版本为RIP-1时,虽然在接口视图下仍然可以配置验证方式,但由于RIP-1不支持认证,因此该配置不会生效1.
5.
7配置RIP邻居通常情况下,RIP使用广播或组播地址发送报文,如果在不支持广播或组播报文的链路上运行RIP,则必须手工指定RIP的邻居.
表1-20配置RIP邻居操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-配置RIP邻居peerip-address缺省情况下,RIP不向任何定点地址发送单播更新报文当RIP邻居与当前设备直连时不推荐使用peerip-address命令,因为这样可能会造成对端同时收到同一路由信息的组播(或广播)和单播两种形式的报文取消对接收到的RIP路由更新报文进行源IP地址检查操作undovalidate-source-address缺省情况下,对接收到的RIP路由更新报文进行源IP地址检查当指定的邻居和本地路由器非直接连接,则必须取消对更新报文的源地址进行检查1.
5.
8配置RIP网管功能配置RIP进程绑定MIB功能后,可以通过网管软件对指定的RIP进程进行管理.
1-14表1-21配置RIP网管功能操作命令说明进入系统视图system-view-配置RIP进程绑定MIBripmib-bindingprocess-id缺省情况下,MIB绑定在进程号最小的RIP进程上1.
5.
9配置RIP报文的发送速率RIP周期性地将路由信息放在RIP报文中向邻居发送.
如果路由表里的路由条目数量很多,同时发送大量RIP协议报文有可能会对当前设备和网络带宽带来冲击;因此,路由器将RIP协议报文分为多个批次进行发送,并且对RIP接口每次允许发送的RIP协议报文最大个数做出限制.
用户可根据需要配置接口发送RIP报文的时间间隔以及接口一次发送RIP报文的最大个数.
表1-22配置RIP报文的发送速率操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-配置RIP报文的发送速率output-delaytimecountcount缺省情况下,接口发送RIP报文的时间间隔为20毫秒,一次最多发送3个RIP报文1.
5.
10配置RIP报文的最大长度由于不同厂商对RIP报文最大长度的支持情况不同,要谨慎使用本特性,以免出现不兼容的情况.
RIP周期性地将路由信息放在RIP报文中向邻居发送,根据RIP报文的最大长度来计算报文中发送的最大路由数.
通过设置RIP报文的最大长度,可以合理利用链路带宽.
在配置认证的情况下,如果配置不当可能会造成报文无法发送,建议用户按照下面进行配置:简单验证方式时,RIP报文的最大长度不小于52字节;MD5验证方式(使用RFC2453规定的报文格式)时,RIP报文的最大长度不小于56字节;MD5验证方式(使用RFC2082规定的报文格式)时,RIP报文的最大长度不小于72字节.
表1-23配置RIP报文的最大长度操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-1-15操作命令说明配置RIP报文的最大长度ripmax-packet-lengthvalue缺省情况下,接口发送RIP报文的最大长度为512字节1.
6配置RIPGRGR(GracefulRestart,平滑重启)是一种在协议重启或主备倒换时RIP进行平滑重启,保证转发业务不中断的机制.
GR有两个角色:GRRestarter:发生协议重启或主备倒换事件且具有GR能力的设备.
GRHelper:和GRRestarter具有邻居关系,协助完成GR流程的设备.
在普通的路由协议重启的情况下,路由器需要重新学习RIP路由,并更新FIB表,此时会引起网络暂时的中断,基于RIP的GR可以解决这个问题.
应用了GR特性的设备向外发送RIP全部路由表请求报文,重新从邻居处学习RIP路由,在此期间FIB表不变化.
在路由协议重启完毕后,设备将重新学到的RIP路由下刷给FIB表,使该设备的路由信息恢复到重启前的状态.
在作为GRRestarter的设备上进行以下配置.
启动了RIP的设备缺省就是GRHelper.
表1-24配置RIPGR操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-使能RIP协议的GR能力graceful-restart缺省情况下,RIP协议的GR能力处于关闭状态1.
7配置RIP与BFD联动RIP协议依赖周期性发送路由更新请求作为检测机制,当在指定时间内没有收到路由更新回应时,认为此条路由不再生效,这种方式不能快速响应链路故障.
使用BFD(BidirectionalForwardingDetection,双向转发检测)检测到链路故障时,RIP能快速撤销失效路由,减少对其他业务的影响.
关于BFD的介绍和基本功能配置,请参见"可靠性配置指导"中的"BFD".
目前RIP支持BFD提供了下面几种检测方式:echo报文单跳检测方式:直连邻居使用.
在对端有RIP路由发送时才能建立BFD会话.
指定目的地址的echo报文单跳检测方式:直连邻居使用,并且在接口上直接指定RIP邻居的IP地址.
当该接口使能了RIP功能,会建立到指定目的IP地址的BFD会话.
control报文双向检测方式:非直连邻居使用.
当两端互有RIP路由发送时,且使能BFD的接口与接收接口为同一接口,邻居之间才能建立BFD会话.
1-161.
7.
1echo报文单跳检测表1-25配置RIP与BFD联动(echo报文单跳检测)操作命令说明进入系统视图system-view-配置echo报文源地址bfdecho-source-ipip-address缺省情况下,没有配置echo报文源地址进入接口视图interfaceinterface-typeinterface-number-使能RIP的BFD功能ripbfdenable缺省情况下,RIP的BFD功能处于关闭状态1.
7.
2指定目的地址的echo报文单跳检测本特性只检测本端到RIP直连邻居的链路的连通状况.
配置本特性时,指定的目的地址只能是RIP直连邻居的IP地址.
在链路出现单通故障时,为了加快路由收敛速度,可以在本端设备上配置本特性对链路进行检测.
链路出现故障时,本端设备不再从该接口收发任何RIP报文;链路恢复后,接口将继续发送RIP报文.
表1-26配置RIP与BFD联动(指定目的地址的echo报文单跳检测)操作命令说明进入系统视图system-view-配置echo报文源地址bfdecho-source-ipip-address缺省情况下,没有配置echo报文源地址进入接口视图interfaceinterface-typeinterface-number-使能RIP指定目的地址的BFD功能ripbfdenabledestinationip-address缺省情况下,RIP的BFD功能处于关闭状态1.
7.
3control报文双向检测表1-27配置RIP与BFD联动(control报文双向检测)操作命令说明进入系统视图system-view-进入RIP视图rip[process-id]-1-17操作命令说明配置RIP邻居peerip-address缺省情况下,RIP不向任何定点地址发送更新报文由于peer命令与邻居之间没有对应关系,undopeer操作并不能立刻删除邻居,因此不能立刻删除BFD会话进入接口视图interfaceinterface-typeinterface-number-使能RIP的BFD功能ripbfdenable缺省情况下,RIP的BFD功能处于关闭状态1.
8RIP显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后RIP的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以重启RIP进程或清除指定RIP进程的统计信息.
表1-28RIP显示和维护操作命令显示RIP的当前运行状态及配置信息displayrip[process-id]显示RIP数据库的激活路由displayripprocess-iddatabase[ip-address{mask-length|mask}]显示RIP的接口信息displayripprocess-idinterface[interface-typeinterface-number]显示RIP的路由信息displayripprocess-idroute[ip-address{mask-length|mask}[verbose]|peerip-address|statistics]重启指定RIP进程resetripprocess-idprocess清除RIP进程的统计信息resetripprocess-idstatistics1.
9RIP典型配置举例1.
9.
1RIP基本功能配置举例1.
组网需求在SwitchA和SwitchB的所有接口上使能RIP,并使用RIP-2进行网络互连.
在SwitchB上配置路由出策略,向SwitchA发布的路由中过滤掉10.
2.
1.
0/24;SwitchB上配置入策略,使得SwitchB只接收路由2.
1.
1.
0/24.
1-182.
组网图图1-1RIP基本功能配置组网图3.
配置步骤(1)配置各接口的IP地址(略)(2)配置RIP基本功能#配置SwitchA,在指定网段上使能RIP.
system-view[SwitchA]rip[SwitchA-rip-1]network1.
0.
0.
0[SwitchA-rip-1]network2.
0.
0.
0[SwitchA-rip-1]network3.
0.
0.
0[SwitchA-rip-1]quit#配置SwitchB,在指定接口上使能RIP.
system-view[SwitchB]rip[SwitchB-rip-1]quit[SwitchB]interfacevlan-interface100[SwitchB-Vlan-interface100]rip1enable[SwitchB-Vlan-interface100]quit[SwitchB]interfacevlan-interface101[SwitchB-Vlan-interface101]rip1enable[SwitchB-Vlan-interface101]quit[SwitchB]interfacevlan-interface102[SwitchB-Vlan-interface102]rip1enable[SwitchB-Vlan-interface102]quit#查看SwitchA的RIP路由表.
[SwitchA]displayrip1routeRouteFlags:R-RIPA-Aging,S-Suppressed,G-Garbage-collectO-Optimal,F-FlushtoRIBPeer1.
1.
1.
2onVlan-interface100Destination/MaskNexthopCostTagFlagsSec10.
0.
0.
0/81.
1.
1.
210RAOF11LocalrouteDestination/MaskNexthopCostTagFlagsSec1.
1.
1.
0/240.
0.
0.
000RDOF-2.
1.
1.
0/240.
0.
0.
000RDOF-3.
1.
1.
0/240.
0.
0.
000RDOF-1-19从路由表中可以看出,RIP-1发布的路由信息使用的是自然掩码.
(3)配置RIP的版本#在SwitchA上配置RIP-2.
[SwitchA]rip[SwitchA-rip-1]version2[SwitchA-rip-1]undosummary[SwitchA-rip-1]quit#在SwitchB上配置RIP-2.
[SwitchB]rip[SwitchB-rip-1]version2[SwitchB-rip-1]undosummary[SwitchB-rip-1]quit#查看SwitchA的RIP路由表.
[SwitchA]displayrip1routeRouteFlags:R-RIPA-Aging,S-Suppressed,G-Garbage-collectO-Optimal,F-FlushtoRIBPeer1.
1.
1.
2onVlan-interface100Destination/MaskNexthopCostTagFlagsSec10.
0.
0.
0/81.
1.
1.
210RAOF5010.
2.
1.
0/241.
1.
1.
210RAOF1610.
1.
1.
0/241.
1.
1.
210RAOF16LocalrouteDestination/MaskNexthopCostTagFlagsSec1.
1.
1.
0/240.
0.
0.
000RDOF-2.
1.
1.
0/240.
0.
0.
000RDOF-3.
1.
1.
0/240.
0.
0.
000RDOF-从路由表中可以看出,RIP-2发布的路由中带有更为精确的子网掩码信息.
由于RIP路由信息的老化时间较长,所以在配置RIP-2版本后的一段时间里,路由表中可能还会存在RIP-1的路由信息.
#查看SwitchB的路由表信息.
[SwitchB]displayrip1routeRouteFlags:R-RIPA-Aging,S-Suppressed,G-Garbage-collectO-Optimal,F-FlushtoRIB1-20Peer1.
1.
1.
1onVlan-interface100Destination/MaskNexthopCostTagFlagsSec2.
1.
1.
0/241.
1.
1.
110RAOF193.
1.
1.
0/241.
1.
1.
110RAOF19LocalrouteDestination/MaskNexthopCostTagFlagsSec1.
1.
1.
0/240.
0.
0.
000RDOF-10.
1.
1.
0/240.
0.
0.
000RDOF-10.
2.
1.
0/240.
0.
0.
000RDOF-(4)配置RIP路由过滤#在SwitchB配置地址前缀列表.
[SwitchB]ipprefix-listaaaindex10permit2.
1.
1.
024[SwitchB]ipprefix-listbbbindex10permit10.
1.
1.
024[SwitchB]rip1[SwitchB-rip-1]filter-policyprefix-listaaaimport[SwitchB-rip-1]filter-policyprefix-listbbbexport[SwitchB-rip-1]quit#查看路由过滤后SwitchA的路由信息.
[SwitchA]displayrip1routeRouteFlags:R-RIPA-Aging,S-Suppressed,G-Garbage-collectO-Optimal,F-FlushtoRIBPeer1.
1.
1.
2onVlan-interface100Destination/MaskNexthopCostTagFlagsSec10.
1.
1.
0/241.
1.
1.
210RAOF19LocalrouteDestination/MaskNexthopCostTagFlagsSec1.
1.
1.
0/240.
0.
0.
000RDOF-1.
1.
1.
0/240.
0.
0.
000RDOF-3.
1.
1.
0/240.
0.
0.
000RDOF-#查看SwitchB的路由表信息.
[SwitchB]displayrip1routeRouteFlags:R-RIPA-Aging,S-Suppressed,G-Garbage-collectO-Optimal,F-FlushtoRIBPeer1.
1.
1.
1onVlan-interface100Destination/MaskNexthopCostTagFlagsSec2.
1.
1.
0/241.
1.
1.
110RAOF191-21LocalrouteDestination/MaskNexthopCostTagFlagsSec1.
1.
1.
0/240.
0.
0.
000RDOF-10.
1.
1.
0/240.
0.
0.
000RDOF-10.
2.
1.
0/240.
0.
0.
000RDOF-1.
9.
2RIP引入外部路由配置举例1.
组网需求SwitchB上运行两个RIP进程:RIP100和RIP200.
SwitchB通过RIP100和SwitchA交换路由信息,通过RIP200和SwitchC交换路由信息.
在SwitchB上配置RIP进程200引入外部路由,引入直连路由和RIP进程100的路由,使得SwitchC能够学习到达10.
2.
1.
0/24和11.
1.
1.
0/24的路由,但SwitchA不能学习到达12.
3.
1.
0/24和16.
4.
1.
0/24的路由.
2.
组网图图1-2RIP引入外部路由配置组网图3.
配置步骤(1)配置各接口的IP地址(略)(2)配置RIP基本功能#在SwitchA上启动RIP进程100,并配置RIP版本号为2.
system-view[SwitchA]rip100[SwitchA-rip-100]network10.
0.
0.
0[SwitchA-rip-100]network11.
0.
0.
0[SwitchA-rip-100]version2[SwitchA-rip-100]undosummary[SwitchA-rip-100]quit#在SwitchB上启动两个RIP进程,进程号分别为100和200,并配置RIP版本号为2.
system-view[SwitchB]rip100[SwitchB-rip-100]network11.
0.
0.
0[SwitchB-rip-100]version2[SwitchB-rip-100]undosummary[SwitchB-rip-100]quit[SwitchB]rip2001-22[SwitchB-rip-200]network12.
0.
0.
0[SwitchB-rip-200]version2[SwitchB-rip-200]undosummary[SwitchB-rip-200]quit#在SwitchC上启动RIP进程200,并配置RIP版本号为2.
system-view[SwitchC]rip200[SwitchC-rip-200]network12.
0.
0.
0[SwitchC-rip-200]network16.
0.
0.
0[SwitchC-rip-200]version2[SwitchC-rip-200]undosummary[SwitchC-rip-200]quit#查看SwitchC的路由表信息.
[SwitchC]displayiprouting-tableDestinations:13Routes:13Destination/MaskProtoPreCostNextHopInterface0.
0.
0.
0/32Direct00127.
0.
0.
1InLoop012.
3.
1.
0/24Direct0012.
3.
1.
2Vlan20012.
3.
1.
0/32Direct0012.
3.
1.
2Vlan20012.
3.
1.
2/32Direct00127.
0.
0.
1InLoop012.
3.
1.
255/32Direct0012.
3.
1.
2Vlan20016.
4.
1.
0/24Direct0016.
4.
1.
1Vlan40016.
4.
1.
0/32Direct0016.
4.
1.
1Vlan40016.
4.
1.
1/32Direct00127.
0.
0.
1InLoop016.
4.
1.
255/32Direct0016.
4.
1.
1Vlan400127.
0.
0.
0/8Direct00127.
0.
0.
1InLoop0127.
0.
0.
0/32Direct00127.
0.
0.
1InLoop0127.
0.
0.
1/32Direct00127.
0.
0.
1InLoop0127.
255.
255.
255/32Direct00127.
0.
0.
1InLoop0(3)配置RIP引入外部路由#在SwitchB配置RIP进程200引入外部路由,引入直连路由和RIP进程100的路由.
[SwitchB]rip200[SwitchB-rip-200]import-routerip100[SwitchB-rip-200]import-routedirect[SwitchB-rip-200]quit#查看路由引入后SwitchC的路由表信息.
[SwitchC]displayiprouting-tableDestinations:15Routes:15Destination/MaskProtoPreCostNextHopInterface0.
0.
0.
0/32Direct00127.
0.
0.
1InLoop010.
2.
1.
0/24RIP100112.
3.
1.
1Vlan20011.
1.
1.
0/24RIP100112.
3.
1.
1Vlan20012.
3.
1.
0/24Direct0012.
3.
1.
2Vlan2001-2312.
3.
1.
0/32Direct0012.
3.
1.
2Vlan20012.
3.
1.
2/32Direct00127.
0.
0.
1InLoop012.
3.
1.
255/32Direct0012.
3.
1.
2Vlan20016.
4.
1.
0/24Direct0016.
4.
1.
1Vlan40016.
4.
1.
0/32Direct0016.
4.
1.
1Vlan40016.
4.
1.
1/32Direct00127.
0.
0.
1InLoop016.
4.
1.
255/32Direct0016.
4.
1.
1Vlan400127.
0.
0.
0/8Direct00127.
0.
0.
1InLoop0127.
0.
0.
0/32Direct00127.
0.
0.
1InLoop0127.
0.
0.
1/32Direct00127.
0.
0.
1InLoop0127.
255.
255.
255/32Direct00127.
0.
0.
1InLoop01.
9.
3RIP接口附加度量值配置举例1.
组网需求在SwitchA、SwitchB、SwitchC、SwitchD和SwitchE的所有接口上使能RIP,并使用RIP-2进行网络互连.
SwitchA有两条链路可以到达SwitchD,其中,通过SwitchB到达SwitchD的链路比通过SwitchC到达SwitchD的链路更加稳定.
通过在SwitchA的Vlan-interface200上配置接口接收RIP路由的附加度量值,使得SwitchA优选从SwitchB学到的1.
1.
5.
0/24网段的路由.
2.
组网图图1-3RIP接口附加度量值配置组网图3.
配置步骤(1)配置各接口的地址(略)(2)配置RIP基本功能#配置SwitchA.
system-view[SwitchA]rip1[SwitchA-rip-1]network1.
0.
0.
0[SwitchA-rip-1]version2[SwitchA-rip-1]undosummary[SwitchA-rip-1]quit#配置SwitchB.
system-view1-24[SwitchB]rip1[SwitchB-rip-1]network1.
0.
0.
0[SwitchB-rip-1]version2[SwitchB-rip-1]undosummary#配置SwitchC.
system-view[SwitchB]rip1[SwitchC-rip-1]network1.
0.
0.
0[SwitchC-rip-1]version2[SwitchC-rip-1]undosummary#配置SwitchD.
system-view[SwitchD]rip1[SwitchD-rip-1]network1.
0.
0.
0[SwitchD-rip-1]version2[SwitchD-rip-1]undosummary#配置SwitchE.
system-view[SwitchE]rip1[SwitchE-rip-1]network1.
0.
0.
0[SwitchE-rip-1]version2[SwitchE-rip-1]undosummary#在SwitchA上查看RIP数据库的所有激活路由.
[SwitchA]displayrip1database1.
0.
0.
0/8,auto-summary1.
1.
1.
0/24,cost0,nexthop1.
1.
1.
1,RIP-interface1.
1.
2.
0/24,cost0,nexthop1.
1.
2.
1,RIP-interface1.
1.
3.
0/24,cost1,nexthop1.
1.
1.
21.
1.
4.
0/24,cost1,nexthop1.
1.
2.
21.
1.
5.
0/24,cost2,nexthop1.
1.
1.
21.
1.
5.
0/24,cost2,nexthop1.
1.
2.
2可以看到,到达网段1.
1.
5.
0/24有两条RIP路由,下一跳分别是SwitchB(IP地址为1.
1.
1.
2)和SwitchC(IP地址为1.
1.
2.
2),cost值都是2.
(3)配置RIP接口附加度量值#在SwitchA上配置接口Vlan-interface200接收RIP路由时的附加度量值为3.
[SwitchA]interfacevlan-interface200[SwitchA-Vlan-interface200]ripmetricin3#在SwitchA上查看RIP数据库的所有激活路由.
[SwitchA-Vlan-interface200]displayrip1database1.
0.
0.
0/8,auto-summary1.
1.
1.
0/24,cost0,nexthop1.
1.
1.
1,RIP-interface1.
1.
2.
0/24,cost0,nexthop1.
1.
2.
1,RIP-interface1.
1.
3.
0/24,cost1,nexthop1.
1.
1.
21.
1.
4.
0/24,cost2,nexthop1.
1.
1.
21.
1.
5.
0/24,cost2,nexthop1.
1.
1.
21-25可以看到,到达网段1.
1.
5.
0/24的RIP路由仅有一条,下一跳是SwitchB(IP地址为1.
1.
1.
2),cost值为2.
1.
9.
4RIP与BFD联动配置举例(echo报文单跳检测)1.
组网需求SwitchA、SwitchC通过二层交换机互连,它们的接口Vlan-interface100都运行RIP进程1.
并且SwitchA的接口Vlan-interface100上还使能了BFD检测功能.
SwitchA通过SwitchB与SwitchC互连,SwitchA的接口Vlan-interface200运行RIP进程2.
SwitchC的接口Vlan-interface300、SwitchB的接口Vlan-interface200和Vlan-interface300上都运行RIP进程1.
SwitchC上配置静态路由,并且将静态路由引入在RIP进程中,使SwitchC有路由发送至SwitchA.
SwitchA上学习到SwitchC发送的静态路由,出接口为与二层交换机相连的接口.
在SwitchC和二层交换机之间的链路发生故障后,BFD能够快速检测链路中断并通告RIP协议.
RIP协议响应BFD会话down,删除与SwitchC的邻居,并删除从SwitchC学习的路由.
SwitchA上学习到SwitchC上发送的静态路由,出接口为与SwitchB相连的接口.
2.
组网图图1-4RIP与BFD联动配置组网图(echo报文单跳检测)3.
配置步骤(1)配置各接口的IP地址(略)(2)配置RIP基本功能#配置SwitchA.
system-view[SwitchA]rip1[SwitchA-rip-1]version2[SwitchA-rip-1]undosummary[SwitchA-rip-1]network192.
168.
1.
0[SwitchA-rip-1]quit[SwitchA]interfacevlan-interface1001-26[SwitchA-Vlan-interface100]ripbfdenable[SwitchA-Vlan-interface100]quit[SwitchA]rip2[SwitchA-rip-2]version2[SwitchA-rip-2]undosummary[SwitchA-rip-2]network192.
168.
2.
0[SwitchA-rip-2]quit#配置SwitchB.
system-view[SwitchB]rip1[SwitchB-rip-1]version2[SwitchB-rip-1]undosummary[SwitchB-rip-1]network192.
168.
2.
0[SwitchB-rip-1]network192.
168.
3.
0[SwitchB-rip-1]quit#配置SwitchC.
system-view[SwitchC]rip1[SwitchC-rip-1]version2[SwitchC-rip-1]undosummary[SwitchC-rip-1]network192.
168.
1.
0[SwitchC-rip-1]network192.
168.
3.
0[SwitchC-rip-1]import-routestatic[SwitchC-rip-1]quit(3)配置BFD参数#配置SwitchA.
[SwitchA]bfdsessioninit-modeactive[SwitchA]bfdecho-source-ip11.
11.
11.
11[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]bfdmin-transmit-interval500[SwitchA-Vlan-interface100]bfdmin-receive-interval500[SwitchA-Vlan-interface100]bfddetect-multiplier7[SwitchA-Vlan-interface100]quit[SwitchA]quit(4)SwitchC配置静态路由[SwitchC]iproute-static120.
1.
1.
124null04.
验证配置#查看SwitchA的BFD信息.
displaybfdsessionTotalSessionNum:1UpSessionNum:1InitMode:ActiveIPv4SessionWorkingUnderEchoMode:LDSourceAddrDestAddrStateHoldtimeInterface4192.
168.
1.
1192.
168.
1.
2Up2000msVlan1001-27#查看SwitchA上学到的路由120.
1.
1.
0/24,可以看到SwitchA经过L2Switch到达SwitchC.
displayiprouting-table120.
1.
1.
024verboseSummaryCount:1Destination:120.
1.
1.
0/24Protocol:RIPProcessID:1SubProtID:0x1Age:04h20m37sCost:1Preference:100Tag:0State:ActiveAdvOrigTblID:0x0OrigVrf:default-vrfTableID:0x2OrigAs:0NBRID:0x26000002LastAs:0AttrID:0xffffffffNeighbor:192.
168.
1.
2Flags:0x1008cOrigNextHop:192.
168.
1.
2Label:NULLRealNextHop:192.
168.
1.
2BkLabel:NULLBkNextHop:N/ATunnelID:InvalidInterface:Vlan-interface100BkTunnelID:InvalidBkInterface:N/A当SwitchC和二层交换机之间的链路发生故障时:#查看SwitchA上学到的路由120.
1.
1.
0/24,可以看到SwitchA经过SwitchB到达SwitchC.
displayiprouting-table120.
1.
1.
024verboseSummaryCount:1Destination:120.
1.
1.
0/24Protocol:RIPProcessID:2SubProtID:0x1Age:04h20m37sCost:1Preference:100Tag:0State:ActiveAdvOrigTblID:0x0OrigVrf:default-vrfTableID:0x2OrigAs:0NBRID:0x26000002LastAs:0AttrID:0xffffffffNeighbor:192.
168.
2.
2Flags:0x1008cOrigNextHop:192.
168.
2.
2Label:NULLRealNextHop:192.
168.
2.
2BkLabel:NULLBkNextHop:N/ATunnelID:InvalidInterface:Vlan-interface200BkTunnelID:InvalidBkInterface:N/A1.
9.
5RIP与BFD联动配置举例(指定目的地址的echo报文单跳检测)1.
组网需求SwitchA和SwitchB互连,SwitchA的接口Vlan-interface100和SwitchB的接口Vlan-interface100都运行RIP进程1.
SwitchA的接口Vlan-interface100上使能了BFD检测功能,指定目的地址为SwitchB的接口Vlan-interface100的地址.
SwitchB与SwitchC互连,它们的接口Vlan-interface200都运行RIP进程1.
1-28SwitchA和SwitchC上配置静态路由,并都将静态路由引入RIP进程中,其中SwitchA引入路由的cost值比SwitchC引入的cost值小,这样,当SwitchB上学习到SwitchA和SwitchC发送的路由后,会优选SwitchA的路由,出接口为与SwitchA连接的接口.
在SwitchA和SwitchB之间的链路发生单通故障(从SwitchA到SwitchB方向报文是通的,但是从SwitchB到SwitchA方向的链路不通)后,SwitchA上BFD能够快速检测链路故障并通告RIP协议.
SwitchA上的RIP协议响应BFD会话down,删除从接口Vlan-interface100学习到的邻居和路由,并不再从该接口接收和发送RIP报文.
SwitchB上在学自SwitchA的路由老化后,会优选SwitchC发送的静态路由,出接口为与SwitchC连接的接口.
2.
组网图图1-5RIP与BFD联动配置组网图(指定目的地址的echo报文单跳检测)3.
配置步骤(1)配置各接口的IP地址(略)(2)配置RIP基本功能并且在接口上使能BFD#配置SwitchA.
system-view[SwitchA]rip1[SwitchA-rip-1]network192.
168.
2.
0[SwitchA-rip-1]import-routestatic[SwitchA-rip-1]quit[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]ripbfdenabledestination192.
168.
2.
2[SwitchA-Vlan-interface100]quit#配置SwitchB.
system-view[SwitchB]rip1[SwitchB-rip-1]network192.
168.
2.
0[SwitchB-rip-1]network192.
168.
3.
0[SwitchB-rip-1]quit#配置SwitchC.
system-view1-29[SwitchC]rip1[SwitchC-rip-1]network192.
168.
3.
0[SwitchC-rip-1]import-routestaticcost3[SwitchC-rip-1]quit(3)配置接口BFD参数#配置SwitchA.
[SwitchA]bfdecho-source-ip11.
11.
11.
11[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]bfdmin-echo-receive-interval500[SwitchA-Vlan-interface100]return(4)配置静态路由#配置SwitchA.
[SwitchA]iproute-static100.
1.
1.
024null0#配置SwitchC.
[SwitchC]iproute-static100.
1.
1.
024null04.
验证配置#显示SwitchA的BFD信息.
displaybfdsessionTotalSessionNum:1UpSessionNum:1InitMode:ActiveIPv4sessionworkingunderEchomode:LDSourceAddrDestAddrStateHoldtimeInterface3192.
168.
2.
1192.
168.
2.
2Up2000msvlan100#显示SwitchB上学到的路由100.
1.
1.
0/24.
displayiprouting-table100.
1.
1.
024verboseSummaryCount:1Destination:100.
1.
1.
0/24Protocol:RIPProcessID:1SubProtID:0x1Age:00h02m47sCost:1Preference:100Tag:0State:ActiveAdvOrigTblID:0x0OrigVrf:default-vrfTableID:0x2OrigAs:0NBRID:0x12000002LastAs:0AttrID:0xffffffffNeighbor:192.
168.
2.
1Flags:0x1008cOrigNextHop:192.
168.
2.
1Label:NULLRealNextHop:192.
168.
2.
1BkLabel:NULLBkNextHop:N/ATunnelID:InvalidInterface:vlan-interface100BkTunnelID:InvalidBkInterface:N/A当SwitchA和SwitchB之间的链路发生故障时:1-30#显示SwitchB上学到的路由100.
1.
1.
0/24.
displayiprouting-table100.
1.
1.
024verboseSummaryCount:1Destination:100.
1.
1.
0/24Protocol:RIPProcessID:1SubProtID:0x1Age:00h21m23sCost:4Preference:100Tag:0State:ActiveAdvOrigTblID:0x0OrigVrf:default-vrfTableID:0x2OrigAs:0NBRID:0x12000002LastAs:0AttrID:0xffffffffNeighbor:192.
168.
3.
2Flags:0x1008cOrigNextHop:192.
168.
3.
2Label:NULLRealNextHop:192.
168.
3.
2BkLabel:NULLBkNextHop:N/ATunnelID:InvalidInterface:vlan-interface200BkTunnelID:InvalidBkInterface:N/A1.
9.
6RIP与BFD联动配置举例(control报文双向检测)1.
组网需求SwitchA通过SwitchB与SwitchC互连.
SwitchA的接口Vlan-interface100和SwitchC的接口Vlan-interface200上都运行RIP进程1.
分别在SwitchA和SwitchC上配置到达对端的静态路由,并在SwitchA的接口Vlan-interface100和SwitchC的接口Vlan-interface200上并使能BFD检测功能.
SwitchA通过SwitchD与SwitchC互连.
SwitchA的接口Vlan-interface300运行RIP进程2.
SwitchC的接口Vlan-interface400、SwitchD的接口Vlan-interface300和Vlan-interface400上运行RIP进程1.
为使SwitchA与SwitchC互有路由发送,在SwitchA与SwitchC上将到达对端的静态路由引入RIP协议中.
SwitchA与SwitchC之间建立BFD会话.
SwitchA上学习到SwitchC发送的静态路由,出接口为与SwitchB连接的接口.
在SwitchB与SwitchC之间的链路发生故障后,BFD能够快速检测链路中断并通告RIP协议.
RIP协议响应BFD会话down,删除与SwitchC的邻居,并删除从SwitchC学习的路由.
SwitchA上学习到SwitchC发送的静态路由,出接口为与SwitchD连接的接口.
1-312.
组网图图1-6RIP与BFD联动配置组网图(control报文双向检测)设备接口IP地址设备接口IP地址SwitchAVlan-int300192.
168.
3.
1/24SwitchBVlan-int100192.
168.
1.
2/24Vlan-int100192.
168.
1.
1/24Vlan-int200192.
168.
2.
1/24SwitchCVlan-int200192.
168.
2.
2/24SwitchDVlan-int300192.
168.
3.
2/24Vlan-int400192.
168.
4.
2/24Vlan-int400192.
168.
4.
1/243.
配置步骤(1)配置各接口的IP地址(略)(2)配置RIP基本功能,并引入静态路由,使SwitchA与SwitchC互有路由发送#配置SwitchA.
system-view[SwitchA]rip1[SwitchA-rip-1]version2[SwitchA-rip-1]undosummary[SwitchA-rip-1]network192.
168.
1.
0[SwitchA-rip-1]network101.
1.
1.
0[SwitchA-rip-1]peer192.
168.
2.
2[SwitchA-rip-1]undovalidate-source-address[SwitchA-rip-1]import-routestatic[SwitchA-rip-1]quit[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]ripbfdenable[SwitchA-Vlan-interface100]quit[SwitchA]rip2[SwitchA-rip-2]version2[SwitchA-rip-2]undosummary[SwitchA-rip-2]network192.
168.
3.
0[SwitchA-rip-2]quit#配置SwitchC.
system-view[SwitchC]rip1[SwitchC-rip-1]version21-32[SwitchC-rip-1]undosummary[SwitchC-rip-1]network192.
168.
2.
0[SwitchC-rip-1]network192.
168.
4.
0[SwitchC-rip-1]network100.
1.
1.
0[SwitchC-rip-1]peer192.
168.
1.
1[SwitchC-rip-1]undovalidate-source-address[SwitchC-rip-1]import-routestatic[SwitchC-rip-1]quit[SwitchC]interfacevlan-interface200[SwitchC-Vlan-interface200]ripbfdenable[SwitchC-Vlan-interface200]quit#配置SwitchD.
system-view[SwitchD]rip1[SwitchD-rip-1]version2[SwitchD-rip-1]undosummary[SwitchD-rip-1]network192.
168.
3.
0[SwitchD-rip-1]network192.
168.
4.
0(3)配置BFD参数#配置SwitchA.
[SwitchA]bfdsessioninit-modeactive[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]bfdmin-transmit-interval500[SwitchA-Vlan-interface100]bfdmin-receive-interval500[SwitchA-Vlan-interface100]bfddetect-multiplier7[SwitchA-Vlan-interface100]quit#配置SwitchC.
[SwitchC]bfdsessioninit-modeactive[SwitchC]interfacevlan-interface200[SwitchC-Vlan-interface200]bfdmin-transmit-interval500[SwitchC-Vlan-interface200]bfdmin-receive-interval500[SwitchC-Vlan-interface200]bfddetect-multiplier7[SwitchC-Vlan-interface200]quit(4)配置静态路由#配置SwitchA.
[SwitchA]iproute-static192.
168.
2.
024vlan-interface100192.
168.
1.
2[SwitchA]quit#配置SwitchC.
[SwitchC]iproute-static192.
168.
1.
024vlan-interface200192.
168.
2.
14.
验证配置#显示SwitchA的BFD信息.
displaybfdsessionTotalSessionNum:1UpSessionNum:1InitMode:ActiveIPv4sessionworkingunderCtrlmode:1-33LD/RDSourceAddrDestAddrStateHoldtimeInterface513/513192.
168.
1.
1192.
168.
2.
2Up1700msvlan100#显示SwitchA上学到的路由100.
1.
1.
0/24.
displayiprouting-table100.
1.
1.
024verboseSummaryCount:1Destination:100.
1.
1.
0/24Protocol:RIPProcessID:1SubProtID:0x1Age:00h02m47sCost:1Preference:100Tag:0State:ActiveAdvOrigTblID:0x0OrigVrf:default-vrfTableID:0x2OrigAs:0NBRID:0x12000002LastAs:0AttrID:0xffffffffNeighbor:192.
168.
2.
2Flags:0x1008cOrigNextHop:192.
168.
2.
2Label:NULLRealNextHop:192.
168.
1.
2BkLabel:NULLBkNextHop:N/ATunnelID:InvalidInterface:vlan-interface100BkTunnelID:InvalidBkInterface:N/ASwitchB和SwitchC之间的链路发生故障后:#显示SwitchA上学到的路由100.
1.
1.
0/24.
displayiprouting-table100.
1.
1.
024verboseSummaryCount:1Destination:100.
1.
1.
0/24Protocol:RIPProcessID:2SubProtID:0x1Age:00h18m40sCost:2Preference:100Tag:0State:ActiveAdvOrigTblID:0x0OrigVrf:default-vrfTableID:0x2OrigAs:0NBRID:0x12000003LastAs:0AttrID:0xffffffffNeighbor:192.
168.
3.
2Flags:0x1008cOrigNextHop:192.
168.
3.
2Label:NULLRealNextHop:192.
168.
3.
2BkLabel:NULLBkNextHop:N/ATunnelID:InvalidInterface:vlan-interface300BkTunnelID:InvalidBkInterface:N/Ai目录1策略路由1-11.
1策略路由简介·1-11.
1.
1策略简介1-11.
1.
2策略路由与Track联动1-21.
2策略路由配置任务简介·1-21.
3配置策略·1-21.
3.
1创建策略节点·1-21.
3.
2配置策略节点的匹配规则·1-31.
3.
3配置策略节点的动作1-31.
4应用策略·1-31.
4.
1对本地报文应用策略1-31.
4.
2对接口转发的报文应用策略1-41.
5策略路由显示和维护·1-41.
6策略路由典型配置举例·1-51.
6.
1基于报文协议类型的本地策略路由配置举例·1-51.
6.
2基于报文协议类型的转发策略路由配置举例·1-61-11策略路由1.
1策略路由简介与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制.
策略路由可以对于满足一定条件(如ACL规则)的报文,执行指定的操作(如设置报文的下一跳).
报文到达后,其后续的转发流程如下:首先根据配置的策略路由转发.
若找不到匹配的节点或虽然找到了匹配的节点,但指导报文转发失败时,再根据路由表中除缺省路由之外的路由来转发报文.
若转发失败,则根据策略路由中配置的缺省下一跳和缺省出接口指导报文转发.
若转发失败,则再根据缺省路由来转发报文.
根据作用对象的不同,策略路由可分为本地策略路由和转发策略路由:本地策略路由:对设备本身产生的报文(比如本地发出的ping报文)起作用,指导其发送.
转发策略路由:对接口接收的报文起作用,指导其转发.
1.
1.
1策略简介策略用来定义报文的匹配规则,以及对报文执行的操作.
策略由节点组成.
一个策略可以包含一个或者多个节点.
节点的构成如下:每个节点由节点编号来标识.
节点编号越小节点的优先级越高,优先级高的节点优先被执行.
每个节点的具体内容由if-match子句和apply子句来指定.
if-match子句定义该节点的匹配规则,apply子句定义该节点的动作.
每个节点对报文的处理方式由匹配模式决定.
匹配模式分为permit(允许)和deny(拒绝)两种.
应用策略后,系统将根据策略中定义的匹配规则和操作,对报文进行处理:系统按照优先级从高到低的顺序依次匹配各节点,如果报文满足这个节点的匹配规则,就执行该节点的动作;如果报文不满足这个节点的匹配规则,就继续匹配下一个节点;如果报文不能满足策略中任何一个节点的匹配规则,则根据路由表来转发报文.
1.
if-match子句目前,策略路由支持通过if-matchacl子句设置ACL匹配规则,在一个节点中只能配置一条if-matchacl子句.
2.
apply子句目前,策略路由仅提供了一种apply子句,即applynext-hop,用来设置报文转发的下一跳.
3.
节点的匹配模式与节点的if-match子句、apply子句的关系一个节点的匹配模式与这个节点的if-match子句、apply子句的关系如表1-1所示.
1-2表1-1节点的匹配模式、if-match子句、apply子句三者之间的关系是否满足所有if-match子句节点匹配模式permit(允许模式)deny(拒绝模式)是如果节点配置了apply子句,则执行此节点apply子句,且不再匹配下一节点如果节点没有配置apply子句,则不会执行任何动作,且不再匹配下一节点,报文将根据路由表来进行转发不执行此节点apply子句,不再匹配下一节点,报文将根据路由表来进行转发否不执行此节点apply子句,继续匹配下一节点不执行此节点apply子句,继续匹配下一节点如果一个节点中没有配置任何if-match子句,则认为所有报文都满足该节点的匹配规则,按照"报文满足所有if-match子句"的情况进行后续处理.
1.
1.
2策略路由与Track联动策略路由通过与Track联动,增强了应用的灵活性和对网络环境变化的动态感知能力.
策略路由可以在配置报文的下一跳时与Track项关联,根据Track项的状态来动态地决定策略的可用性.
策略路由配置仅在关联的Track项状态为Positive或NotReady时生效.
关于策略路由与Track联动的详细介绍和相关配置,请参见"可靠性配置指导"中的"Track".
1.
2策略路由配置任务简介表1-2策略路由配置任务简介配置任务说明详细配置配置策略创建策略节点必选1.
3.
1配置策略节点的匹配规则1.
3.
2配置策略节点的动作1.
3.
3应用策略对本地报文应用策略必选用户可根据实际情况进行选择1.
4.
1对接口转发的报文应用策略1.
4.
21.
3配置策略1.
3.
1创建策略节点表1-3创建策略节点操作命令说明1-3操作命令说明进入系统视图system-view-创建策略节点,并进入策略节点视图policy-based-routepolicy-name[deny|permit]nodenode-number缺省情况下,没有创建策略节点1.
3.
2配置策略节点的匹配规则表1-4配置策略节点的匹配规则操作命令说明进入系统视图system-view-进入策略节点视图policy-based-routepolicy-name[deny|permit]nodenode-number-设置ACL匹配规则if-matchacl{acl-number|nameacl-name}缺省情况下,未设置ACL匹配规则if-match子句中使用ACL时,将忽略ACL规则的permit/deny动作以及time-range指定的规则生效时间段,只使用ACL中的匹配规则来匹配报文.
如果使用的ACL不存在,则不匹配任何报文.
1.
3.
3配置策略节点的动作表1-5配置策略节点的动作操作命令说明进入系统视图system-view-进入策略节点视图policy-based-routepolicy-name[deny|permit]nodenode-number-设置报文转发的下一跳applynext-hop{ip-address[direct][tracktrack-entry-number]}&缺省情况下,未设置报文转发的下一跳用户可以同时配置多个下一跳(通过一次或多次配置本命令实现),起到主备的作用每个节点最多可以配置2个下一跳.
1.
4应用策略1.
4.
1对本地报文应用策略通过本配置,可以将已经配置的策略应用到本地,指导设备本身产生报文的发送.
应用策略时,该策略必须已经存在,否则配置将失败.
1-4对本地报文只能应用一个策略.
应用新的策略前必须删除本地原来已经应用的策略.
若无特殊需求,建议用户不要对本地报文应用策略.
否则,有可能会对本地报文的发送造成不必要的影响(如ping、telnet服务的失效).
表1-6对本地报文应用策略操作命令说明进入系统视图system-view-对本地报文应用策略iplocalpolicy-based-routepolicy-name缺省情况下,对本地报文没有应用策略1.
4.
2对接口转发的报文应用策略通过本配置,可以将已经配置的策略应用到接口,指导接口接收的所有报文的转发.
应用策略时,该策略必须已经存在,否则配置将失败.
对接口转发的报文应用策略时,一个接口只能应用一个策略.
应用新的策略前必须删除接口上原来已经应用的策略.
一个策略可以同时被多个接口应用.
表1-7对接口转发的报文应用策略操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-对接口转发的报文应用策略ippolicy-based-routepolicy-name缺省情况下,对接口转发的报文没有应用策略1.
5策略路由显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置策略路由后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除策略路由的统计信息.
表1-8策略路由显示和维护操作命令显示已经配置的策略displayippolicy-based-route[policypolicy-name]显示已经应用的策略路由信息displayippolicy-based-routesetup显示本地策略路由的配置信息和统计信息displayippolicy-based-routelocal[slotslot-number]显示接口下转发策略路由的配置信息和统计信息displayippolicy-based-routeinterfaceinterface-typeinterface-number[slotslot-number]清除策略路由的统计信息resetippolicy-based-routestatistics[policypolicy-name]1-51.
6策略路由典型配置举例1.
6.
1基于报文协议类型的本地策略路由配置举例1.
组网需求通过策略路由控制SwitchA产生的报文:指定所有TCP报文的下一跳为1.
1.
2.
2;其它报文仍然按照查找路由表的方式进行转发.
其中,SwitchA分别与SwitchB和SwitchC直连.
2.
组网图图1-1基于报文协议类型的本地策略路由的配置举例组网图3.
配置步骤(1)配置SwitchA#创建VLAN10和VLAN20.
system-view[SwitchA]vlan10[SwitchA-vlan10]quit[SwitchA]vlan20[SwitchA-vlan20]quit#配置接口Vlan-interface10和Vlan-interface20的IP地址.
[SwitchA]interfacevlan-interface10[SwitchA-Vlan-interface10]ipaddress1.
1.
2.
124[SwitchA-Vlan-interface10]quit[SwitchA]interfacevlan-interface20[SwitchA-Vlan-interface20]ipaddress1.
1.
3.
124[SwitchA-Vlan-interface20]quit#定义访问控制列表ACL3101,用来匹配TCP报文.
[SwitchA]aclnumber3101[SwitchA-acl-adv-3101]rulepermittcp[SwitchA-acl-adv-3101]quit#定义5号节点,指定所有TCP报文的下一跳为1.
1.
2.
2.
[SwitchA]policy-based-routeaaapermitnode5[SwitchA-pbr-aaa-5]if-matchacl3101[SwitchA-pbr-aaa-5]applynext-hop1.
1.
2.
2[SwitchA-pbr-aaa-5]quit#在SwitchA上应用本地策略路由.
SwitchASwitchBSwitchCVlan-int201.
1.
3.
1/24Vlan-int101.
1.
2.
1/24Vlan-int201.
1.
3.
2/24Vlan-int101.
1.
2.
2/241-6[SwitchA]iplocalpolicy-based-routeaaa(2)配置SwitchB#创建VLAN10system-view[SwitchB]vlan10[SwitchB-vlan10]quit#配置接口Vlan-interface10的IP地址.
[SwitchB]interfacevlan-interface10[SwitchB-Vlan-interface10]ipaddress1.
1.
2.
224(3)配置SwitchC#创建VLAN20system-view[SwitchC]vlan20[SwitchC-vlan20]quit#配置接口Vlan-interface20的IP地址.
[SwitchC]interfacevlan-interface20[SwitchC-Vlan-interface20]ipaddress1.
1.
3.
2244.
验证配置从SwitchA上通过Telnet方式登录SwitchB(1.
1.
2.
2/24),结果成功.
从SwitchA上通过Telnet方式登录SwitchC(1.
1.
3.
2/24),结果失败.
从SwitchA上pingSwitchC(1.
1.
3.
2/24),结果成功.
由于Telnet使用的是TCP协议,ping使用的是ICMP协议,所以由以上结果可证明:SwitchA发出的TCP报文的下一跳为1.
1.
2.
2,接口Vlan-interface20不发送TCP报文,但可以发送非TCP报文,策略路由设置成功.
1.
6.
2基于报文协议类型的转发策略路由配置举例1.
组网需求通过策略路由控制从SwitchA的接口Vlan-interface11接收的报文:指定所有TCP报文的下一跳为1.
1.
2.
2;其它报文仍然按照查找路由表的方式进行转发.
1-72.
组网图图1-2基于报文协议类型的转发策略路由的配置举例组网图3.
配置步骤(1)配置SwitchA#创建VLAN10和VLAN20.
system-view[SwitchA]vlan10[SwitchA-vlan10]quit[SwitchA]vlan20[SwitchA-vlan20]quit#配置接口Vlan-interface10和Vlan-interface20的IP地址.
[SwitchA]interfacevlan-interface10[SwitchA-Vlan-interface10]ipaddress1.
1.
2.
124[SwitchA-Vlan-interface10]quit[SwitchA]interfacevlan-interface20[SwitchA-Vlan-interface20]ipaddress1.
1.
3.
124[SwitchA-Vlan-interface20]quit#定义访问控制列表ACL3101,用来匹配TCP报文.
[SwitchA]aclnumber3101[SwitchA-acl-adv-3101]rulepermittcp[SwitchA-acl-adv-3101]quit#定义5号节点,指定所有TCP报文的下一跳为1.
1.
2.
2.
[SwitchA]policy-based-routeaaapermitnode5[SwitchA-pbr-aaa-5]if-matchacl3101[SwitchA-pbr-aaa-5]applynext-hop1.
1.
2.
21-8[SwitchA-pbr-aaa-5]quit#在接口Vlan-interface11上应用转发策略路由,处理此接口接收的报文.
[SwitchA]interfacevlan-interface11[SwitchA-Vlan-interface11]ipaddress10.
110.
0.
1024[SwitchA-Vlan-interface11]ippolicy-based-routeaaa[SwitchA-Vlan-interface11]quit(2)配置SwitchB#创建VLAN10system-view[SwitchB]vlan10[SwitchB-vlan10]quit#配置接口Vlan-interface10的IP地址.
[SwitchB]interfacevlan-interface10[SwitchB-Vlan-interface10]ipaddress1.
1.
2.
224[SwitchB-Vlan-interface10]quit#配置到网段10.
110.
0.
0/24的静态路由.
[SwitchB]iproute-static10.
110.
0.
0241.
1.
2.
1(3)配置SwitchC#创建VLAN20system-view[SwitchC]vlan20[SwitchC-vlan20]quit#配置接口Vlan-interface20的IP地址.
[SwitchC]interfacevlan-interface20[SwitchC-Vlan-interface20]ipaddress1.
1.
3.
224[SwitchC-Vlan-interface20]quit#配置到网段10.
110.
0.
0/24的静态路由.
[SwitchC]iproute-static10.
110.
0.
0241.
1.
3.
14.
验证配置将HostA的IP地址配置为10.
110.
0.
20/24,网关地址配置为10.
110.
0.
10.
从HostA上通过Telnet方式登录SwitchB,结果成功.
从HostA上通过Telnet方式登录SwitchC,结果失败.
从HostA上pingSwitchC,结果成功.
由于Telnet使用的是TCP协议,ping使用的是ICMP协议,所以由以上结果可证明:从SwitchA的接口Vlan-interface11接收的TCP报文的下一跳为1.
1.
2.
2,接口Vlan-interface20不转发TCP报文,但可以转发非TCP报文,策略路由设置成功.
i目录1IPv6静态路由1-11.
1IPv6静态路由简介·1-11.
2配置IPv6静态路由·1-11.
2.
1配置准备1-11.
2.
2配置IPv6静态路由·1-11.
3配置IPv6静态路由与BFD联动1-21.
3.
1双向检测1-21.
3.
2单跳检测1-31.
4IPv6静态路由显示和维护·1-31.
5IPv6静态路由典型配置举例·1-41.
5.
1IPv6静态路由基本功能配置举例1-41.
5.
2IPv6静态路由与BFD联动(直连)配置举例·1-61.
5.
3IPv6静态路由与BFD联动(非直连)配置举例1-82IPv6缺省路由2-12.
1IPv6缺省路由简介·2-11-11IPv6静态路由1.
1IPv6静态路由简介静态路由是一种特殊的路由,由管理员手工配置.
当网络结构比较简单时,只需配置静态路由就可以使网络正常工作.
静态路由不能自动适应网络拓扑结构的变化.
当网络发生故障或者拓扑发生变化后,必须由网络管理员手工修改配置.
IPv6静态路由与IPv4静态路由类似,适合于一些结构比较简单的IPv6网络.
1.
2配置IPv6静态路由1.
2.
1配置准备在配置IPv6静态路由之前,需完成以下任务:配置相关接口的物理参数配置相关接口的链路层属性相邻节点网络层(IPv6)可达1.
2.
2配置IPv6静态路由表1-1配置IPv6静态路由操作命令说明进入系统视图system-view-配置IPv6静态路由ipv6route-staticipv6-addressprefix-length{interface-typeinterface-number[next-hop-address]|next-hop-address}[permanent][preferencepreference-value][tagtag-value][descriptiondescription-text]缺省情况下,没有配置IPv6静态路由(可选)配置IPv6静态路由的缺省优先级ipv6route-staticdefault-preferencedefault-preference-value缺省情况下,IPv6静态路由的缺省优先级为60(可选)删除所有IPv6静态路由deleteipv6static-routesall-使用undoipv6route-static命令可以删除一条IPv6静态路由,而使用deleteipv6static-routesall命令可以删除包括缺省路由在内的所有IPv6静态路由.
1-21.
3配置IPv6静态路由与BFD联动路由振荡时,使能BFD功能可能会加剧振荡,请谨慎使用.
BFD(BidirectionalForwardingDetection,双向转发检测)提供了一个通用的、标准化的、介质无关、协议无关的快速故障检测机制,可以为上层协议(如路由协议等)统一地快速检测两台路由器间双向转发路径的故障.
关于BFD的详细介绍,请参见"可靠性配置指导"中的"BFD".
1.
3.
1双向检测双向检测,即本端和对端需要同时进行配置,通过控制报文检测两个方向上的链路状态,实现毫秒级别的链路故障检测.
双向检测支持直连下一跳和非直连下一跳.
1.
直连下一跳直连下一跳是指下一跳和本端是直连的,配置时必须指定出接口和下一跳.
表1-2配置IPv6静态路由与BFD联动(双向检测—直连)操作命令说明进入系统视图system-view-配置静态路由与BFD联动ipv6route-staticipv6-addressprefix-lengthinterface-typeinterface-numbernext-hop-addressbfdcontrol-packet[preferencepreference-value][tagtag-value][descriptiondescription-text]缺省情况下,没有配置IPv6静态路由与BFD联动2.
非直连下一跳非直连下一跳是指下一跳和本端不是直连的,中间还有其它设备.
配置时必须指定下一跳和BFD源IPv6地址.
表1-3配置IPv6静态路由与BFD联动(双向检测—非直连)操作命令说明进入系统视图system-view-配置静态路由与BFD联动ipv6route-staticipv6-addressprefix-length{next-hop-addressbfdcontrol-packetbfd-sourceipv6-address}[preferencepreference-value][tagtag-value][descriptiondescription-text]缺省情况下,没有配置IPv6静态路由与BFD联动1-31.
3.
2单跳检测单跳检测,即只需要本端进行配置,通过echo报文检测链路的状态.
echo报文的目的地址为本端接口地址,发送给下一跳设备后会直接转发回本端.
这里所说的"单跳"是IPv6的一跳.
表1-4配置静态路由与BFD联动(单跳检测)操作命令说明进入系统视图system-view-配置echo报文的源IPv6地址bfdecho-source-ipv6ipv6-address缺省情况下,没有配置echo报文的源IPv6地址需要注意的是,echo报文源IPv6地址仅支持全球单播地址本命令的详细情况请参见"可靠性命令参考"中的"BFD"配置静态路由与BFD联动ipv6route-staticipv6-addressprefix-lengthinterface-typeinterface-numbernext-hop-addressbfdecho-packet[preferencepreference-value][tagtag-value][descriptiondescription-text]缺省情况下,没有配置IPv6静态路由与BFD联动需要注意的是,下一跳IPv6地址必须为全球单播地址IPv6静态路由的出接口为处于SPOOFING状态时,不能使用BFD进行检测.
1.
4IPv6静态路由显示和维护在完成上述配置后,在任意视图下执行display命令查看IPv6静态路由配置的运行情况并检验配置结果.
表1-5IPv6静态路由显示和维护操作命令查看IPv6静态路由表信息(本命令的详细情况请参见"三层技术-IP路由命令参考"中的"IP路由基础")displayipv6routing-tableprotocolstatic[inactive|verbose]显示IPv6静态路由下一跳信息displayipv6route-staticnib[nib-id][verbose]显示IPv6静态路由表信息displayipv6route-staticrouting-table[ipv6-addressprefix-length]1-41.
5IPv6静态路由典型配置举例1.
5.
1IPv6静态路由基本功能配置举例1.
组网要求要求各交换机之间配置IPv6静态路由后,可以使所有主机和交换机之间互通.
2.
组网图图1-1IPv6静态路由基本功能配置组网图3.
配置步骤(1)配置各VLAN虚接口的IPv6地址(略)(2)配置IPv6静态路由#在SwitchA上配置IPv6缺省路由.
system-view[SwitchA]ipv6route-static::04::2#在SwitchB上配置两条IPv6静态路由.
system-view[SwitchB]ipv6route-static1::644::1[SwitchB]ipv6route-static3::645::1#在SwitchC上配置IPv6缺省路由.
system-view[SwitchC]ipv6route-static::05::2(3)配置主机地址和网关根据组网图配置好各主机的IPv6地址,并将HostA的缺省网关配置为1::1,HostB的缺省网关配置为2::1,HostC的缺省网关配置为3::1.
4.
验证配置#查看SwitchA的IPv6静态路由信息.
[SwitchA]displayipv6routing-tableprotocolstatic1-5SummaryCount:1StaticRoutingtableStatus:SummaryCount:1Destination:::Protocol:StaticNextHop:4::2Preference:60Interface:Vlan-interface200Cost:0StaticRoutingtableStatus:SummaryCount:0#查看SwitchB的IPv6静态路由信息.
[SwitchB]displayipv6routing-tableprotocolstaticSummaryCount:2StaticRoutingtableStatus:SummaryCount:2Destination:1::/64Protocol:StaticNextHop:4::1Preference:60Interface:Vlan-interface200Cost:0Destination:3::/64Protocol:StaticNextHop:5::1Preference:60Interface:Vlan-interface300Cost:0StaticRoutingtableStatus:SummaryCount:0#使用Ping进行验证.
[SwitchA]pingipv63::1Ping6(104=40+8+56bytes)4::1-->3::1,pressCTRL_Ctobreak56bytesfrom3::1,icmp_seq=0hlim=62time=0.
700ms56bytesfrom3::1,icmp_seq=1hlim=62time=0.
351ms56bytesfrom3::1,icmp_seq=2hlim=62time=0.
338ms56bytesfrom3::1,icmp_seq=3hlim=62time=0.
373ms56bytesfrom3::1,icmp_seq=4hlim=62time=0.
316ms---Ping6statisticsfor3::1---5packet(s)transmitted,5packet(s)received,0.
0%packetlossround-tripmin/avg/max/std-dev=0.
316/0.
416/0.
700/0.
143ms1-61.
5.
2IPv6静态路由与BFD联动(直连)配置举例1.
组网需求在SwitchA上配置IPv6静态路由可以到达120::/64网段,在SwitchB上配置IPv6静态路由可以到达121::/64网段,并都使能BFD检测功能.
在SwitchC上配置IPv6静态路由可以到达120::/64网段和121::/64网段.
当SwitchA和SwitchB通过L2Switch通信的链路出现故障时,BFD能够快速感知,并且切换到SwitchC进行通信.
2.
组网图图1-2IPv6静态路由与BFD联动(直连)配置组网图设备接口IPv6地址设备接口IPv6地址SwitchAVlan-int1012::1/64SwitchBVlan-int1012::2/64Vlan-int1110::102/64Vlan-int1313::1/64SwitchCVlan-int1110::100/64Vlan-int1313::2/643.
配置步骤(1)配置各接口的IPv6地址(略)(2)配置IPv6静态路由和BFD#在SwitchA上配置静态路由,并使能BFD检测功能,使用双向检测方式.
system-view[SwitchA]interfacevlan-interface10[SwitchA-vlan-interface10]bfdmin-transmit-interval500[SwitchA-vlan-interface10]bfdmin-receive-interval500[SwitchA-vlan-interface10]bfddetect-multiplier9[SwitchA-vlan-interface10]quit[SwitchA]ipv6route-static120::64vlan-interface10FE80::2E0:FCFF:FE58:123Ebfdcontrol-packet[SwitchA]ipv6route-static120::6410::100preference65[SwitchA]quit#在SwitchB上配置IPv6静态路由,并使能BFD检测功能,使用双向检测方式.
system-view[SwitchB]interfacevlan-interface10[SwitchB-vlan-interface10]bfdmin-transmit-interval500[SwitchB-vlan-interface10]bfdmin-receive-interval500[SwitchB-vlan-interface10]bfddetect-multiplier91-7[SwitchB-vlan-interface10]quit[SwitchB]ipv6route-static121::64vlan-interface10FE80::2A0:FCFF:FE00:580Abfdcontrol-packet[SwitchB]ipv6route-static121::6413::2preference65[SwitchB]quit#在SwitchC上配置静态路由.
system-view[SwitchC]ipv6route-static120::6413::1[SwitchC]ipv6route-static121::6410::1024.
验证配置下面以SwitchA为例,SwitchB和SwitchA类似,不再赘述.
#查看BFD会话,可以看到BFD会话已经创建.
displaybfdsessionTotalSessionNum:1UpSessionNum:1InitMode:ActiveIPv6SessionWorkingUnderCtrlMode:LocalDiscr:513RemoteDiscr:33SourceIP:FE80::2A0:FCFF:FE00:580A(SwitchA接口Vlan-interface10的链路本地地址)DestinationIP:FE80::2E0:FCFF:FE58:123E(SwitchB接口Vlan-interface10的链路本地地址)SessionState:UpInterface:Vlan10HoldTime:2012ms#查看静态路由,可以看到SwitchA经过L2Switch到达SwitchB.
displayipv6routing-tableprotocolstaticSummaryCount:1StaticRoutingtableStatus:SummaryCount:1Destination:120::/64Protocol:StaticNextHop:12::2Preference:60Interface:Vlan10Cost:0DirectRoutingtableStatus:SummaryCount:0当SwitchA和SwitchB通过L2Switch通信的链路出现故障时:#查看IPv6静态路由,可以看到SwitchA经过SwitchC到达SwitchB.
displayipv6routing-tableprotocolstaticSummaryCount:1StaticRoutingtableStatus:SummaryCount:11-8Destination:120::/64Protocol:StaticNextHop:10::100Preference:65Interface:Vlan11Cost:0StaticRoutingtableStatus:SummaryCount:01.
5.
3IPv6静态路由与BFD联动(非直连)配置举例1.
组网需求在SwitchA上配置IPv6静态路由可以到达120::/64网段,在SwitchB上配置IPv6静态路由可以到达121::/64网段,并都使能BFD检测功能.
在SwitchC和SwitchD上配置IPv6静态路由可以到达120::/64网段和121::/64网段.
SwitchA存在到SwitchB的接口Loopback1(2::9/128)的路由,出接口为Vlan-interface10;SwitchB存在到SwitchA的接口Loopback1(1::9/128)的路由,出接口为Vlan-interface12;SwitchD存在到1::9/128的路由,出接口为Vlan-interface10,存在到2::9/128的路由,出接口为Vlan-interface12.
当SwitchA和SwitchB通过SwitchD通信的链路出现故障时,BFD能够快速感知,并且切换到SwitchC进行通信.
2.
组网图图1-3IPv6静态路由与BFD联动(非直连)配置组网图设备接口IPv6地址设备接口IPv6地址SwitchAVlan-int1012::1/64SwitchBVlan-int1211::2/64Vlan-int1110::102/64Vlan-int1313::1/64Loop11::9/128Loop12::9/128SwitchCVlan-int1110::100/64SwitchDVlan-int1012::2/64Vlan-int1313::2/64Vlan-int1211::1/643.
配置步骤(1)配置各接口的IPv6地址(略)(2)配置IPv6静态路由和BFD#在SwitchA上配置IPv6静态路由,并使能BFD检测功能,使用双向检测方式.
system-view[SwitchA]bfdmulti-hopmin-transmit-interval500[SwitchA]bfdmulti-hopmin-receive-interval500SwitchASwitchBSwitchCBFDVlan-int10Vlan-int11Vlan-int11Vlan-int13Vlan-int13Vlan-int10121::/64120::/64SwitchDVlan-int12Vlan-int12Loop11::9/128Loop12::9/1281-9[SwitchA]bfdmulti-hopdetect-multiplier9[SwitchA]ipv6route-static120::642::9bfdcontrol-packetbfd-source1::9[SwitchA]ipv6route-static120::6410::100preference65[SwitchA]quit#在SwitchB上配置IPv6静态路由,并使能BFD检测功能,使用双向检测方式.
system-view[SwitchB]bfdmulti-hopmin-transmit-interval500[SwitchB]bfdmulti-hopmin-receive-interval500[SwitchB]bfdmulti-hopdetect-multiplier9[SwitchB]ipv6route-static121::641::9bfdcontrol-packetbfd-source2::9[SwitchB]ipv6route-static121::6413::2preference65[SwitchB]quit#在SwitchC上配置静态路由.
system-view[SwitchC]ipv6route-static120::6413::1[SwitchC]ipv6route-static121::6410::102#在SwitchD上配置静态路由.
system-view[SwitchD]ipv6route-static120::6411::2[SwitchD]ipv6route-static121::6412::14.
验证配置下面以SwitchA为例,SwitchB和SwitchA类似,不再赘述.
#查看BFD会话,可以看到BFD会话已经创建.
displaybfdsessionTotalSessionNum:1UpSessionNum:1InitMode:ActiveIPv6SessionWorkingUnderCtrlMode:LocalDiscr:513RemoteDiscr:33SourceIP:FE80::1:1B49(SwitchA接口Loopback1的链路本地地址)DestinationIP:FE80::1:1B49(SwitchB接口Loopback1的链路本地地址)SessionState:UpInterface:N/AHoldTime:2012ms#查看IPv6静态路由,可以看到SwitchA经过SwitchD到达SwitchB.
displayipv6routing-tableprotocolstaticSummaryCount:1StaticRoutingtableStatus:SummaryCount:1Destination:120::/64Protocol:StaticNextHop:2::9Preference:60Interface:Vlan10Cost:01-10StaticRoutingtableStatus:SummaryCount:0当SwitchA和SwitchB通过SwitchD通信的链路出现故障时:#查看IPv6静态路由,可以看到SwitchA经过SwitchC到达SwitchB.
displayipv6routing-tableprotocolstaticSummaryCount:1StaticRoutingtableStatus:SummaryCount:1Destination:120::/64Protocol:StaticNextHop:10::100Preference:65Interface:Vlan11Cost:0StaticRoutingtableStatus:SummaryCount:02-12IPv6缺省路由2.
1IPv6缺省路由简介IPv6缺省路由是在路由器没有找到匹配的IPv6路由表项时使用的路由.
IPv6缺省路由有两种生成方式:第一种是网络管理员手工配置.
配置请参见表1-1,指定的目的地址为::/0(前缀长度为0).
第二种是动态路由协议生成(如RIPng),由路由能力比较强的路由器将IPv6缺省路由发布给其它路由器,其它路由器在自己的路由表里生成指向那台路由器的缺省路由.
配置请参见各个路由协议手册.
i目录1RIPng·1-11.
1简介·1-11.
1.
1RIPng工作机制1-11.
1.
2RIPng报文1-11.
1.
3协议规范1-21.
2RIPng配置任务简介·1-21.
3配置RIPng的基本功能·1-21.
4配置RIPng路由特性·1-31.
4.
1配置接口附加度量值1-31.
4.
2配置RIPng路由聚合·1-41.
4.
3配置RIPng发布缺省路由·1-41.
4.
4配置RIPng对接收/发布的路由进行过滤·1-41.
4.
5配置RIPng协议优先级1-51.
4.
6配置RIPng引入外部路由·1-51.
5调整和优化RIPng网络·1-51.
5.
1配置RIPng定时器·1-61.
5.
2配置水平分割和毒性逆转·1-61.
5.
3配置RIPng报文的零域检查·1-71.
6配置RIPngGR·1-71.
7配置RIPngIPsec安全框架1-81.
8RIPng显示和维护1-81.
9RIPng典型配置举例·1-91.
9.
1RIPng基本功能配置举例·1-91.
9.
2RIPng引入外部路由配置举例1-111.
9.
3RIPngIPsec安全框架配置举例·1-141-11RIPng1.
1简介RIPng(RIPnextgeneration,下一代RIP协议)是对原来的IPv4网络中RIP-2协议的扩展.
大多数RIP的概念都可以用于RIPng.
为了在IPv6网络中应用,RIPng对原有的RIP协议进行了如下修改:UDP端口号:使用UDP的521端口发送和接收路由信息.
组播地址:使用FF02::9作为链路本地范围内的RIPng路由器组播地址.
前缀长度:目的地址使用128比特的前缀长度.
下一跳地址:使用128比特的IPv6地址.
源地址:使用链路本地地址FE80::/10作为源地址发送RIPng路由信息更新报文.
1.
1.
1RIPng工作机制RIPng协议是基于距离矢量(Distance-Vector)算法的协议.
它通过UDP报文交换路由信息,使用的端口号为521.
RIPng使用跳数来衡量到达目的地址的距离(也称为度量值或开销).
在RIPng中,从一个路由器到其直连网络的跳数为0,通过与其相连的路由器到达另一个网络的跳数为1,其余以此类推.
当跳数大于或等于16时,目的网络或主机就被定义为不可达.
RIPng每30秒发送一次路由更新报文.
如果在180秒内没有收到网络邻居的路由更新报文,RIPng将从邻居学到的所有路由标识为不可达.
如果再过120秒内仍没有收到邻居的路由更新报文,RIPng将从路由表中删除这些路由.
为了提高性能并避免形成路由环路,RIPng既支持水平分割也支持毒性逆转.
此外,RIPng还可以从其它的路由协议引入路由.
每个运行RIPng的路由器都管理一个路由数据库,该路由数据库包含了到所有可达目的地的路由项,这些路由项包含下列信息:目的地址:主机或网络的IPv6地址.
下一跳地址:为到达目的地,需要经过的相邻路由器的接口IPv6地址.
出接口:转发IPv6报文通过的出接口.
度量值:本路由器到达目的地的开销.
路由时间:从路由项最后一次被更新到现在所经过的时间,路由项每次被更新时,路由时间重置为0.
路由标记(RouteTag):用于标识外部路由,以便在路由策略中根据Tag对路由进行灵活的控制.
关于路由策略的详细信息,请参见"三层技术-IP路由配置指导"中的"路由策略".
1.
1.
2RIPng报文RIPng有两种报文:Request报文和Response报文.
1-2当RIPng路由器启动后或者需要更新部分路由表项时,便会发出Request报文,向邻居请求需要的路由信息.
通常情况下以组播方式发送Request报文.
Response报文包含本地路由表的信息,一般在下列情况下产生:对某个Request报文进行响应作为更新报文周期性地发出在路由发生变化时触发更新收到Request报文的RIPng路由器会以Response报文形式发回给请求路由器.
收到Response报文的路由器会更新自己的RIPng路由表.
为了保证路由的准确性,RIPng路由器会对收到的Response报文进行有效性检查,比如源IPv6地址是否是链路本地地址,端口号是否正确等,没有通过检查的报文会被忽略.
1.
1.
3协议规范与RIPng相关的规范有:RFC2080:RIPngforIPv6RFC2081:RIPngProtocolApplicabilityStatement1.
2RIPng配置任务简介表1-1RIPng配置任务简介配置任务说明详细配置配置RIPng的基本功能必选1.
3配置RIPng路由特性配置接口附加度量值可选1.
4.
1配置RIPng路由聚合可选1.
4.
2配置RIPng发布缺省路由可选1.
4.
3配置RIPng对接收/发布的路由进行过滤可选1.
4.
3配置RIPng协议优先级可选1.
4.
5配置RIPng引入外部路由可选1.
4.
6调整和优化RIPng网络配置RIPng定时器可选1.
5.
1配置水平分割和毒性逆转可选1.
5.
2配置RIPng报文的零域检查可选1.
5.
3配置RIPngGR可选1.
6配置RIPngIPsec安全框架可选1.
71.
3配置RIPng的基本功能在配置RIPng基本功能之前,需要配置接口的网络层地址,使相邻节点的网络层可达.
1-3表1-2配置RIPng的基本功能操作命令说明进入系统视图system-view-创建RIPng进程,并进入RIPng视图ripng[process-id]缺省情况下,没有RIPng进程在运行退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-在接口上使能RIPng路由协议ripngprocess-idenable缺省情况下,接口禁用RIPng路由协议如果接口没有使能RIPng,那么RIPng进程在该接口上既不发送也不接收RIPng路由1.
4配置RIPng路由特性在配置RIPng的路由特性之前,需完成以下任务:配置接口的网络层地址,使相邻节点的网络层可达配置RIPng的基本功能1.
4.
1配置接口附加度量值附加度量值是在RIPng路由原来度量值的基础上所增加的度量值(跳数),包括发送附加度量值和接收附加度量值.
发送附加度量值:不会改变路由表中的路由度量值,仅当接口发送RIPng路由信息时才会添加到发送路由上.
接收附加度量值:会影响接收到的路由度量值,接口接收到一条合法的RIPng路由时,在将其加入路由表前会把附加度量值加到该路由上.
表1-3配置接口附加度量值操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-设置接口接收RIPng路由时的附加度量值ripngmetricinvalue缺省情况下,接口接收RIPng路由时的附加度量值为0设置接口发送RIPng路由时的附加度量值ripngmetricoutvalue缺省情况下,接口发送RIPng路由时的附加度量值为11-41.
4.
2配置RIPng路由聚合RIPng的路由聚合是在接口上实现的,在接口上配置路由聚合,此时可以将RIPng要在这个接口上发布出去的路由按最长匹配原则聚合后发布出去.
RIPng路由聚合可提高网络的可扩展性和效率,缩减路由表.
RIPng将多条路由聚合成一条路由时,聚合路由的Metric值将取所有路由Metric的最小值.
例如,RIPng从接口发布出去的路由有两条:11:11:11::24Metric=2和11:11:12::34Metric=3,在此接口上配置的聚合路由为11::0/16,则最终发布出去的路由为11::0/16Metric=2.
表1-4配置RIPng路由聚合操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置RIPng在接口发布聚合的IPv6地址,并指定被聚合的路由的IPv6前缀ripngsummary-addressipv6-addressprefix-length缺省情况下,没有配置RIPng在接口发布聚合的IPv6地址1.
4.
3配置RIPng发布缺省路由表1-5配置RIPng发布缺省路由操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置RIPng发布缺省路由ripngdefault-route{only|originate}[costcost]缺省情况下,RIPng进程不发布缺省路由缺省路由将被强制通过指定接口的路由更新报文发布出去,该路由的发布不考虑其是否已经存在于本设备的IPv6路由表中1.
4.
4配置RIPng对接收/发布的路由进行过滤用户可通过使用IPv6ACL和IPv6前缀列表对接收到的路由信息进行过滤,只有通过过滤的路由才能被加入到RIPng路由表;此外,还可对本机所有要发布的路由进行过滤,包括从其它路由协议引入的路由和从邻居学到的RIPng路由,只有通过过滤的路由才能被发布给RIPng邻居.
表1-6配置RIPng对接收/发布的路由进行过滤操作命令说明进入系统视图system-view-1-5操作命令说明进入RIPng视图ripng[process-id]-对接收的路由信息进行过滤filter-policy{acl6-number|prefix-listprefix-list-name}import缺省情况下,RIPng不对接收的路由信息进行过滤对发布的路由信息进行过滤filter-policy{acl6-number|prefix-listprefix-list-name}export[protocol[process-id]]缺省情况下,RIPng不对发布的路由信息进行过滤1.
4.
5配置RIPng协议优先级任何路由协议都具备特有的协议优先级,在设备进行路由选择时能够在不同的协议中选择最佳路由.
可以手工设置RIPng协议的优先级,设置的值越小,其优先级越高.
表1-7配置RIPng协议优先级操作命令说明进入系统视图system-view-进入RIPng视图ripng[process-id]-配置RIPng路由的优先级preference[route-policyroute-policy-name]value缺省情况下,RIPng路由的优先级为1001.
4.
6配置RIPng引入外部路由表1-8配置RIPng引入外部路由操作命令说明进入系统视图system-view-进入RIPng视图ripng[process-id]-引入外部路由import-routeprotocol[process-id][costcost|route-policyroute-policy-name]*缺省情况下,RIPng不引入其它路由(可选)配置引入路由的缺省度量值defaultcostcost缺省情况下,引入路由的缺省度量值为01.
5调整和优化RIPng网络本节将介绍如何调整和优化RIPng网络的性能,以及在特殊网络环境中某些RIPng特性的应用,在调整和优化RIPng网络之前,需完成以下任务:配置接口的网络层地址,使相邻节点的网络层可达配置RIPng的基本功能1-61.
5.
1配置RIPng定时器用户可通过调节RIPng定时器来调整RIPng路由协议的性能,以满足网络需要.
在配置RIPng定时器时需要注意,定时器值的调整应考虑网络的性能,并在所有运行RIPng的路由器上进行统一配置,避免增加不必要的网络流量.
表1-9配置RIPng定时器操作命令说明进入系统视图system-view-进入RIPng视图ripng[process-id]-配置RIPng定时器的值timers{garbage-collectgarbage-collect-value|suppresssuppress-value|timeouttimeout-value|updateupdate-value}*缺省情况下,Update定时器的值为30秒,Timeout定时器的值为180秒,Suppress定时器的值为120秒,Garbage-collect定时器的值为120秒1.
5.
2配置水平分割和毒性逆转如果同时配置了水平分割和毒性逆转,则只有毒性逆转功能生效.
1.
配置水平分割通常情况下,为了防止路由环路的出现,水平分割都是必要的,因此,建议不要关闭水平分割.
配置水平分割可以使得从一个接口学到的路由不能通过此接口向外发布,用于避免相邻路由器间的路由环路.
表1-10配置水平分割操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-使能水平分割功能ripngsplit-horizon缺省情况下,水平分割功能处于使能状态2.
配置毒性逆转配置毒性逆转可以使得从一个接口学到的路由还可以从这个接口向外发布,但此时这些路由的度量值已设置为16,即不可达.
1-7表1-11配置毒性逆转操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-使能毒性逆转功能ripngpoison-reverse缺省情况下,毒性逆转功能处于关闭状态1.
5.
3配置RIPng报文的零域检查RIPng报文头部中的一些字段必须配置为0,也称为零域.
使能RIPng报文的零域检查功能后,如果报文头部零域中的值不为零,这些报文将被丢弃,不做处理.
如果能确保所有报文都是可信任的,则不需要进行该项检查,以节省CPU处理时间.
表1-12配置RIPng-1报文的零域检查操作命令说明进入系统视图system-view-启动RIPng并进入RIPng视图ripng[process-id]-使能对RIPng报文头部的零域检查功能checkzero缺省情况下,RIPng进行零域检查操作1.
6配置RIPngGRGR(GracefulRestart,平滑重启)是一种在协议重启或主备倒换时RIPng进行平滑重启,保证转发业务不中断的机制.
GR有两个角色:GRRestarter:发生协议重启或主备倒换事件且具有GR能力的设备.
GRHelper:和GRRestarter具有邻居关系,协助完成GR流程的设备.
在普通的路由协议重启的情况下,路由器需要重新学习RIPng路由,并更新FIB表,此时会引起网络暂时的中断,基于RIPng的GR可以解决这个问题.
应用了GR特性的设备向外发送RIPng全部路由表请求报文,重新从邻居处学习RIPng路由,在此期间FIB表不变化.
在路由协议重启完毕后,设备将重新学到的RIPng路由下刷给FIB表,使该设备的路由信息恢复到重启前的状态.
在作为GRRestarter的设备上进行以下配置.
启动了RIPng的设备缺省就是GRHelper.
表1-13配置RIPngGR操作命令说明进入系统视图system-view-启动RIPng并进入RIPng视图ripng[process-id]-1-8操作命令说明使能RIPng协议的GR能力graceful-restart缺省情况下,RIPng协议的GR能力处于关闭状态1.
7配置RIPngIPsec安全框架在安全性要求较高的网络环境中,可以通过配置基于IPsec安全框架的认证方式来对RIPng报文进行有效性检查和验证.
IPsec安全框架的具体情况请参见"安全配置指导"中的"IPsec".
设备在发送的报文中会携带配置好的IPsec安全框架的SPI(SecurityParameterIndex,安全参数索引)值,接收报文时通过SPI值进行IPsec安全框架匹配:只有安全框架匹配的报文才能接收;否则将不会接收报文,从而不能正常建立邻居和学习路由.
RIPng支持在进程和接口下配置IPsec安全框架.
进程下配置的IPsec安全框架对该进程下的所有报文有效,接口下的IPsec安全框架只对接口下的报文有效.
当接口和接口所在进程均配置了IPsec安全框架时,接口下的配置生效.
表1-14配置RIPngIPsec安全框架(RIPng进程)操作命令说明进入系统视图system-view-进入RIPng视图ripng[process-id]-配置RIPng进程应用IPsec安全框架enableipsec-profileprofile-name缺省情况下,RIPng进程没有应用IPsec安全框架表1-15配置RIPngIPsec安全框架(接口)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置使能了RIPng的接口上应用IPsec安全框架ripngipsec-profileprofile-name缺省情况下,RIPng接口没有应用IPsec安全框架1.
8RIPng显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后RIPng的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以重启RIPng进程或清除指定RIPng进程的统计信息.
表1-16RIPng显示和维护操作命令显示RIPng进程的配置信息displayripng[process-id]1-9操作命令显示RIPng发布数据库中的路由displayripngprocess-iddatabase[ipv6-addressprefix-length]显示指定RIPng进程的路由信息displayripngprocess-idroute[ipv6-addressprefix-length[verbose]|peeripv6-address|statistics]显示RIPng的接口信息displayripngprocess-idinterface[interface-typeinterface-number]重启指定RIPng进程resetripngprocess-idprocess清除RIPng进程的统计信息resetripngprocess-idstatistics1.
9RIPng典型配置举例1.
9.
1RIPng基本功能配置举例1.
组网需求SwitchA、SwitchB和SwitchC相连并通过RIPng来学习网络中的IPv6路由信息.
在SwitchB上对接收的SwitchA的路由(2::/64)进行过滤,使其不加入到SwitchB的RIPng进程的路由表中,发布给SwitchA的路由只有(4::/64).
2.
组网图图1-1RIPng基本功能配置组网图3.
配置步骤(1)配置各接口的IPv6地址(略)(2)配置RIPng的基本功能#配置SwitchA.
system-view[SwitchA]ripng1[SwitchA-ripng-1]quit[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]ripng1enable[SwitchA-Vlan-interface100]quit[SwitchA]interfacevlan-interface400[SwitchA-Vlan-interface400]ripng1enable[SwitchA-Vlan-interface400]quit#配置SwitchB.
system-view[SwitchB]ripng11-10[SwitchB-ripng-1]quit[SwitchB]interfacevlan-interface200[SwitchB-Vlan-interface200]ripng1enable[SwitchB-Vlan-interface200]quit[SwitchB]interfacevlan-interface100[SwitchB-Vlan-interface100]ripng1enable[SwitchB-Vlan-interface100]quit#配置SwitchC.
system-view[SwitchC]ripng1[SwitchC-ripng-1]quit[SwitchC]interfacevlan-interface200[SwitchC-Vlan-interface200]ripng1enable[SwitchC-Vlan-interface200]quit[SwitchC]interfacevlan-interface500[SwitchC-Vlan-interface500]ripng1enable[SwitchC-Vlan-interface500]quit[SwitchC]interfacevlan-interface600[SwitchC-Vlan-interface600]ripng1enable[SwitchC-Vlan-interface600]quit#查看SwitchB的RIPng路由表.
[SwitchB]displayripng1routeRouteFlags:A-Aging,S-Suppressed,G-Garbage-collectO-Optimal,F-FlushtoRIBPeerFE80::20F:E2FF:FE23:82F5onVlan-interface100Destination1::/64,viaFE80::20F:E2FF:FE23:82F5,cost1,tag0,AOF,6secsDestination2::/64,viaFE80::20F:E2FF:FE23:82F5,cost1,tag0,AOF,6secsPeerFE80::20F:E2FF:FE00:100onVlan-interface200Destination3::/64,viaFE80::20F:E2FF:FE00:100,cost1,tag0,AOF,11secsDestination4::/64,viaFE80::20F:E2FF:FE00:100,cost1,tag0,AOF,11secsDestination5::/64,viaFE80::20F:E2FF:FE00:100,cost1,tag0,AOF,11secs#查看SwitchA的RIPng路由表.
[SwitchA]displayripng1routeRouteFlags:A-Aging,S-Suppressed,G-Garbage-collectO-Optimal,F-FlushtoRIBPeerFE80::200:2FF:FE64:8904onVlan-interface100Destination1::/64,viaFE80::200:2FF:FE64:8904,cost1,tag0,AOF,31secs1-11Destination3::/64,viaFE80::200:2FF:FE64:8904,cost1,tag0,AOF,31secsDestination4::/64,viaFE80::200:2FF:FE64:8904,cost2,tag0,AOF,31secsDestination5::/64,viaFE80::200:2FF:FE64:8904,cost2,tag0,AOF,31secs(3)配置SwitchB对接收和发布的路由进行过滤[SwitchB]ipv6prefix-listaaapermit4::64[SwitchB]ipv6prefix-listbbbdeny2::64[SwitchB]ipv6prefix-listbbbpermit::0less-equal128[SwitchB]ripng1[SwitchB-ripng-1]filter-policyprefix-listaaaexport[SwitchB-ripng-1]filter-policyprefix-listbbbimport[SwitchB-ripng-1]quit#查看SwitchB和SwitchA的RIPng路由表.
[SwitchB]displayripng1routeRouteFlags:A-Aging,S-Suppressed,G-Garbage-collectO-Optimal,F-FlushtoRIBPeerFE80::1:100onVlan-interface100Destination1::/64,viaFE80::2:100,cost1,tag0,AOF,6secsPeerFE80::3:200onVlan-interface200Destination3::/64,viaFE80::2:200,cost1,tag0,AOF,11secsDestination4::/64,viaFE80::2:200,cost1,tag0,AOF,11secsDestination5::/64,viaFE80::2:200,cost1,tag0,AOF,11secs[SwitchA]displayripng1routeRouteFlags:A-Aging,S-Suppressed,G-Garbage-collectO-Optimal,F-FlushtoRIBPeerFE80::2:100onVlan-interface100Destination4::/64,viaFE80::1:100,cost2,tag0,AOF,2secs1.
9.
2RIPng引入外部路由配置举例1.
组网需求SwitchB上运行两个RIPng进程:RIPng100和RIPng200.
SwitchB通过RIPng100和SwitchA交换路由信息,通过RIPng200和SwitchC交换路由信息.
要求在SwitchB上配置路由引入,将两个不同进程的RIPng路由相互引入到对方的RIPng进程中.
1-122.
组网图图1-2RIPng引入外部路由配置组网图3.
配置步骤(1)配置各接口的IPv6地址(略)(2)配置RIPng#在SwitchA上启动RIPng进程100.
system-view[SwitchA]ripng100[SwitchA-ripng-100]quit[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]ripng100enable[SwitchA-Vlan-interface100]quit[SwitchA]interfacevlan-interface200[SwitchA-Vlan-interface200]ripng100enable[SwitchA-Vlan-interface200]quit#在SwitchB上启动两个RIPng进程,进程号分别为100和200.
system-view[SwitchB]ripng100[SwitchB-ripng-100]quit[SwitchB]interfacevlan-interface100[SwitchB-Vlan-interface100]ripng100enable[SwitchB-Vlan-interface100]quit[SwitchB]ripng200[SwitchB-ripng-200]quit[SwitchB]interfacevlan-interface300[SwitchB-Vlan-interface300]ripng200enable[SwitchB-Vlan-interface300]quit#在SwitchC上启动RIPng进程200.
system-view[SwitchC]ripng200[SwitchC]interfacevlan-interface300[SwitchC-Vlan-interface300]ripng200enable[SwitchC-Vlan-interface300]quit[SwitchC]interfacevlan-interface400[SwitchC-Vlan-interface400]ripng200enable[SwitchC-Vlan-interface400]quit#查看SwitchA的路由表信息.
1-13[SwitchA]displayipv6routing-tableDestinations:7Routes:7Destination:::1/128Protocol:DirectNextHop:::1Preference:0Interface:InLoop0Cost:0Destination:1::/64Protocol:DirectNextHop:1::1Preference:0Interface:Vlan100Cost:0Destination:1::1/128Protocol:DirectNextHop:::1Preference:0Interface:InLoop0Cost:0Destination:2::/64Protocol:DirectNextHop:2::1Preference:0Interface:Vlan200Cost:0Destination:2::1/128Protocol:DirectNextHop:::1Preference:0Interface:InLoop0Cost:0Destination:FE80::/10Protocol:DirectNextHop:::Preference:0Interface:NULL0Cost:0Destination:FF00::/8Protocol:DirectNextHop:::Preference:0Interface:NULL0Cost:0(3)配置RIPng引入外部路由#在SwitchB上将两个不同RIPng进程的路由相互引入到对方的路由表中.
[SwitchB]ripng100[SwitchB-ripng-100]import-routeripng200[SwitchB-ripng-100]quit[SwitchB]ripng200[SwitchB-ripng-200]import-routeripng100[SwitchB-ripng-200]quit#查看路由引入后SwitchA的路由表信息.
[SwitchA]displayipv6routing-tableDestinations:8Routes:8Destination:::1/128Protocol:DirectNextHop:::1Preference:0Interface:InLoop0Cost:01-14Destination:1::/64Protocol:DirectNextHop:1::1Preference:0Interface:Vlan100Cost:0Destination:1::1/128Protocol:DirectNextHop:::1Preference:0Interface:InLoop0Cost:0Destination:2::/64Protocol:DirectNextHop:2::1Preference:0Interface:Vlan200Cost:0Destination:2::1/128Protocol:DirectNextHop:::1Preference:0Interface:InLoop0Cost:0Destination:4::/64Protocol:RIPngNextHop:FE80::200:BFF:FE01:1C02Preference:100Interface:Vlan100Cost:1Destination:FE80::/10Protocol:DirectNextHop:::Preference:0Interface:NULL0Cost:0Destination:FF00::/8Protocol:DirectNextHop:::Preference:0Interface:NULL0Cost:01.
9.
3RIPngIPsec安全框架配置举例1.
组网需求SwitchA、SwitchB和SwitchC相连并通过RIPng来学习网络中的IPv6路由信息.
要求配置IPsec安全框架对SwitchA、SwitchB和SwitchC之间的RIPng报文进行有效性检查和验证.
2.
组网图图1-3RIPngIPsec安全框架配置组网图3.
配置步骤(1)配置各接口的IPv6地址(略)(2)配置RIPng基本功能#配置SwitchA.
1-15system-view[SwitchA]ripng1[SwitchA-ripng-1]quit[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]ripng1enable[SwitchA-Vlan-interface100]quit#配置SwitchB.
system-view[SwitchB]ripng1[SwitchB-ripng-1]quit[SwitchB]interfacevlan-interface200[SwitchB-Vlan-interface200]ripng1enable[SwitchB-Vlan-interface200]quit[SwitchB]interfacevlan-interface100[SwitchB-Vlan-interface100]ripng1enable[SwitchB-Vlan-interface100]quit#配置SwitchC.
system-view[SwitchC]ripng1[SwitchC-ripng-1]quit[SwitchC]interfacevlan-interface200[SwitchC-Vlan-interface200]ripng1enable[SwitchC-Vlan-interface200]quit(3)配置RIPngIPsec安全框架#配置SwitchA.
创建名为protrf1的安全提议,报文封装形式采用传输模式,安全协议采用ESP协议.
创建一条安全框架profile001,协商方式为manual,配置SPI和密钥.
[SwitchA]ipsectransform-setprotrf1[SwitchA-ipsec-transform-set-protrf1]espencryption-algorithm3des-cbc[SwitchA-ipsec-transform-set-protrf1]espauthentication-algorithmmd5[SwitchA-ipsec-transform-set-protrf1]encapsulation-modetransport[SwitchA-ipsec-transform-set-protrf1]quit[SwitchA]ipsecprofileprofile001manual[SwitchA-ipsec-profile-profile001-manual]transform-setprotrf1[SwitchA-ipsec-profile-profile001-manual]saspiinboundesp256[SwitchA-ipsec-profile-profile001-manual]saspioutboundesp256[SwitchA-ipsec-profile-profile001-manual]sastring-keyinboundespsimpleabc[SwitchA-ipsec-profile-profile001-manual]sastring-keyoutboundespsimpleabc[SwitchA-ipsec-profile-profile001-manual]quit#配置SwitchB.
创建名为protrf1的安全提议,报文封装形式采用传输模式,安全协议采用ESP协议.
创建一条安全框架profile001,协商方式为manual,配置SPI和密钥.
[SwitchB]ipsectransform-setprotrf1[SwitchB-ipsec-transform-set-protrf1]espencryption-algorithm3des-cbc[SwitchB-ipsec-transform-set-protrf1]espauthentication-algorithmmd5[SwitchB-ipsec-transform-set-protrf1]encapsulation-modetransport[SwitchB-ipsec-transform-set-protrf1]quit[SwitchB]ipsecprofileprofile001manual[SwitchB-ipsec-profile-profile001-manual]transform-setprotrf11-16[SwitchB-ipsec-profile-profile001-manual]saspiinboundesp256[SwitchB-ipsec-profile-profile001-manual]saspioutboundesp256[SwitchB-ipsec-profile-profile001-manual]sastring-keyinboundespsimpleabc[SwitchB-ipsec-profile-profile001-manual]sastring-keyoutboundespsimpleabc[SwitchB-ipsec-profile-profile001-manual]quit#配置SwitchC.
创建名为protrf1的安全提议,报文封装形式采用传输模式,安全协议采用ESP协议.
创建一条安全框架profile001,协商方式为manual,配置SPI和密钥.
[SwitchC]ipsectransform-setprotrf1[SwitchC-ipsec-transform-set-protrf1]espencryption-algorithm3des-cbc[SwitchC-ipsec-transform-set-protrf1]espauthentication-algorithmmd5[SwitchC-ipsec-transform-set-protrf1]encapsulation-modetransport[SwitchC-ipsec-transform-set-protrf1]quit[SwitchC]ipsecprofileprofile001manual[SwitchC-ipsec-profile-profile001-manual]transform-setprotrf1[SwitchC-ipsec-profile-profile001-manual]saspiinboundesp256[SwitchC-ipsec-profile-profile001-manual]saspioutboundesp256[SwitchC-ipsec-profile-profile001-manual]sastring-keyinboundespsimpleabc[SwitchC-ipsec-profile-profile001-manual]sastring-keyoutboundespsimpleabc[SwitchC-ipsec-profile-profile001-manual]quit(4)RIPng进程上应用IPsec安全框架#配置SwitchA.
[SwitchA]ripng1[SwitchA-ripng-1]enableipsec-profileprofile001[SwitchA-ripng-1]quit#配置SwitchB.
[SwitchB]ripng1[SwitchB-ripng-1]enableipsec-profileprofile001[SwitchB-ripng-1]quit#配置SwitchC.
[SwitchC]ripng1[SwitchC-ripng-1]enableipsec-profileprofile001[SwitchC-ripng-1]quit4.
验证配置以上配置完成后,SwitchA、SwitchB和SwitchC之间的RIPng报文将被加密传输.
i目录1IPv6策略路由1-11.
1IPv6策略路由简介·1-11.
1.
1IPv6策略简介1-11.
1.
2策略路由与Track联动1-21.
2IPv6策略路由配置任务简介·1-21.
3配置IPv6策略·1-21.
3.
1创建IPv6策略节点·1-21.
3.
2配置IPv6策略节点的匹配规则·1-31.
3.
3配置IPv6策略节点的动作·1-31.
4应用IPv6策略·1-41.
4.
1对本地报文应用IPv6策略·1-41.
4.
2对接口转发的报文应用IPv6策略1-41.
5IPv6策略路由显示和维护·1-41.
6IPv6策略路由典型配置举例·1-51.
6.
1基于报文协议类型的IPv6本地策略路由配置举例·1-51.
6.
2基于报文协议类型的IPv6转发策略路由配置举例·1-61-11IPv6策略路由1.
1IPv6策略路由简介与单纯依照IPv6报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制.
策略路由可以对于满足一定条件(如ACL规则)的报文,执行指定的操作(如设置报文的下一跳).
报文到达后,其后续的转发流程如下:首先根据配置的策略路由转发.
若找不到匹配的节点或虽然找到了匹配的节点,但指导报文转发失败时,再根据路由表中除缺省路由之外的路由来转发报文.
若转发失败,则根据策略路由中配置的缺省下一跳和缺省出接口指导报文转发.
若转发失败,则再根据缺省路由来转发报文.
根据作用对象的不同,策略路由可分为本地策略路由和转发策略路由:本地策略路由:对设备本身产生的报文(比如本地发出的ping报文)起作用,指导其发送.
转发策略路由:对接口接收的报文起作用,指导其转发.
1.
1.
1IPv6策略简介IPv6策略用来定义报文的匹配规则,以及对报文执行的操作.
IPv6策略由节点组成.
一个IPv6策略可以包含一个或者多个节点.
节点的构成如下:每个节点由节点编号来标识.
节点编号越小节点的优先级越高,优先级高的节点优先被执行.
每个节点的具体内容由if-match子句和apply子句来指定.
if-match子句定义该节点的匹配规则,apply子句定义该节点的动作.
每个节点对报文的处理方式由匹配模式决定.
匹配模式分为permit(允许)和deny(拒绝)两种.
应用IPv6策略后,系统将根据IPv6策略中定义的匹配规则和操作,对报文进行处理:系统按照优先级从高到低的顺序依次匹配各节点,如果报文满足这个节点的匹配规则,就执行该节点的动作;如果报文不满足这个节点的匹配规则,就继续匹配下一个节点;如果报文不能满足IPv6策略中任何一个节点的匹配规则,则根据路由表来转发报文.
1.
if-match子句目前,IPv6策略路由支持通过if-matchacl子句设置ACL匹配规则,在一个节点中只能配置一条if-matchacl子句.
2.
apply子句目前,IPv6策略路由仅提供了一种apply子句,即applynext-hop,用来设置报文转发的下一跳.
3.
节点的匹配模式与节点的if-match子句、apply子句的关系一个节点的匹配模式与这个节点的if-match子句、apply子句的关系如表1-1所示.
1-2表1-1节点的匹配模式、if-match子句、apply子句三者之间的关系是否满足所有if-match子句节点匹配模式permit(允许模式)deny(拒绝模式)是如果节点配置了apply子句,则执行此节点apply子句,且不再匹配下一节点如果节点没有配置apply子句,则不会执行任何动作,且不再匹配下一节点,报文将根据路由表来进行转发不执行此节点apply子句,不再匹配下一节点,报文将根据路由表来进行转发否不执行此节点apply子句,继续匹配下一节点不执行此节点apply子句,继续匹配下一节点如果一个节点中没有配置任何if-match子句,则认为所有报文都满足该节点的匹配规则,按照"报文满足所有if-match子句"的情况进行后续处理.
1.
1.
2策略路由与Track联动策略路由通过与Track联动,增强了应用的灵活性和对网络环境变化的动态感知能力.
策略路由可以在配置报文的下一跳时与Track项关联,根据Track项的状态来动态地决定策略的可用性.
策略路由配置仅在关联的Track项状态为Positive或NotReady时生效.
关于策略路由与Track联动的详细介绍和相关配置,请参见"可靠性配置指导"中的"Track".
1.
2IPv6策略路由配置任务简介表1-2IPv6策略路由配置任务简介配置任务说明详细配置配置IPv6策略创建IPv6策略节点必选1.
3.
1配置IPv6策略节点的匹配规则1.
3.
2配置IPv6策略节点的动作1.
3.
3应用IPv6策略对本地IPv6报文应用策略必选用户根据实际情况进行选择1.
4.
1对接口转发的IPv6报文应用策略1.
4.
21.
3配置IPv6策略1.
3.
1创建IPv6策略节点表1-3创建IPv6策略节点操作命令说明1-3操作命令说明进入系统视图system-view-创建IPv6策略节点,并进入IPv6策略节点视图ipv6policy-based-routepolicy-name[deny|permit]nodenode-number缺省情况下,没有创建IPv6策略节点1.
3.
2配置IPv6策略节点的匹配规则表1-4配置IPv6策略节点的匹配规则操作命令说明进入系统视图system-view-进入IPv6策略节点视图ipv6policy-based-routepolicy-name[deny|permit]nodenode-number-设置ACL匹配规则if-matchacl{acl6-number|nameacl6-name}缺省情况下,未设置ACL匹配规则if-match子句中使用ACL时,将忽略ACL规则的permit/deny动作以及time-range指定的规则生效时间段,只使用ACL中的匹配规则来匹配报文.
如果使用的ACL不存在,则不匹配任何报文.
1.
3.
3配置IPv6策略节点的动作表1-5配置IPv6策略节点的动作操作命令说明进入系统视图system-view-进入IPv6策略节点视图ipv6policy-based-routepolicy-name[deny|permit]nodenode-number-设置报文转发的下一跳applynext-hop{ipv6-address[direct][tracktrack-entry-number]}&缺省情况下,未设置报文转发的下一跳用户可以同时配置多个下一跳通过一次或多次配置本命令实现),起到主备的作用每个节点最多可以配置2个下一跳.
1-41.
4应用IPv6策略1.
4.
1对本地报文应用IPv6策略通过本配置,可以将已经配置的IPv6策略应用到本地,指导设备本身产生IPv6报文的发送.
应用IPv6策略时,该IPv6策略必须已经存在,否则配置将失败.
对本地报文只能应用一个IPv6策略.
应用新的IPv6策略前必须删除本地原来已经应用的IPv6策略.
若无特殊需求,建议用户不要对本地报文应用IPv6策略.
否则,有可能会对本地报文的发送造成不必要的影响(如ping、telnet服务的失效).
表1-6对本地报文应用IPv6策略操作命令说明进入系统视图system-view-对本地报文应用IPv6策略ipv6localpolicy-based-routepolicy-name缺省情况下,对本地报文没有应用IPv6策略1.
4.
2对接口转发的报文应用IPv6策略通过本配置,可以将已经配置的IPv6策略应用到接口,指导接口接收的所有IPv6报文的转发.
应用IPv6策略时,该IPv6策略必须已经存在,否则配置将失败.
对接口转发的报文应用IPv6策略时,一个接口只能应用一个IPv6策略.
应用新的IPv6策略前必须删除接口上原来已经应用的IPv6策略.
一个IPv6策略可以同时被多个接口应用.
表1-7对接口转发的报文应用IPv6策略操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-对接口转发的报文应用IPv6策略ipv6policy-based-routepolicy-name缺省情况下,对接口转发的报文没有应用IPv6策略1.
5IPv6策略路由显示和维护在完成上述配置后,在任意视图下执行display命令可以显示IPv6策略路由配置后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,用户可以执行reset命令可以清除IPv6策略路由的统计信息.
表1-8IPv6策略路由显示和维护操作命令显示已经配置的IPv6策略displayipv6policy-based-route[policypolicy-name]1-5操作命令显示已经应用的IPv6策略路由信息displayipv6policy-based-routesetup显示IPv6本地策略路由的配置信息和统计信息displayipv6policy-based-routelocal[slotslot-number]显示接口下IPv6转发策略路由的配置信息和统计信息displayipv6policy-based-routeinterfaceinterface-typeinterface-number[slotslot-number]清除IPv6策略路由的统计信息resetipv6policy-based-routestatistics[policypolicy-name]1.
6IPv6策略路由典型配置举例1.
6.
1基于报文协议类型的IPv6本地策略路由配置举例1.
组网需求通过策略路由控制SwitchA产生的报文:指定所有TCP报文的下一跳为1::2;其它IPv6报文仍然按照查找路由表的方式进行转发.
其中,SwitchA分别与SwitchB和SwitchC直连.
2.
组网图图1-1基于报文协议类型的本地策略路由的配置举例组网图3.
配置步骤(1)配置SwitchA#创建VLAN10和VLAN20.
system-view[SwitchA]vlan10[SwitchA-vlan10]quit[SwitchA]vlan20[SwitchA-vlan20]quit#配置接口Vlan-interface10和Vlan-interface20的IPv6地址.
[SwitchA]interfacevlan-interface10[SwitchA-Vlan-interface10]ipv6address1::164[SwitchA-Vlan-interface10]quit[SwitchA]interfacevlan-interface20[SwitchA-Vlan-interface20]ipv6address2::164[SwitchA-Vlan-interface20]quit1-6#定义访问控制列表ACL3001,用来匹配TCP报文.
[SwitchA]aclipv6number3001[SwitchA-acl6-adv-3001]rulepermittcp[SwitchA-acl6-adv-3001]quit#定义5号节点,指定所有TCP报文的下一跳为1::2.
[SwitchA]ipv6policy-based-routeaaapermitnode5[SwitchA-pbr6-aaa-5]if-matchacl3001[SwitchA-pbr6-aaa-5]applynext-hop1::2[SwitchA-pbr6-aaa-5]quit#在SwitchA上应用本地策略路由.
[SwitchA]ipv6localpolicy-based-routeaaa(2)配置SwitchB#创建VLAN10system-view[SwitchB]vlan10[SwitchB-vlan10]quit#配置接口Vlan-interface10的IP地址.
[SwitchB]interfacevlan-interface10[SwitchB-Vlan-interface10]ipv6address1::264(3)配置SwitchC#创建VLAN20system-view[SwitchC]vlan20[SwitchC-vlan20]quit#配置接口Vlan-interface20的IP地址.
[SwitchC]interfacevlan-interface20[SwitchC-Vlan-interface20]ipv6address2::2644.
验证配置从SwitchA上通过Telnet方式登录SwitchB(1::2/64),结果成功.
从SwitchA上通过Telnet方式登录SwitchC(2::2/64),结果失败.
从SwitchA上pingSwitchC(2::2/64),结果成功.
由于Telnet使用的是TCP协议,ping使用的是ICMP6协议,所以由以上结果可证明:SwitchA发出的TCP报文的下一跳为1::2,接口Vlan-interface20不发送TCP报文,但可以发送非TCP报文,策略路由设置成功.
1.
6.
2基于报文协议类型的IPv6转发策略路由配置举例1.
组网需求通过策略路由控制从SwitchA的接口Vlan-interface11接收的报文:指定所有TCP报文的下一跳为1::2;其它IPv6报文仍然按照查找路由表的方式进行转发.
1-72.
组网图图1-2基于报文协议类型的IPv6转发策略路由配置举例组网图3.
配置步骤(1)配置SwitchA#创建VLAN10和VLAN20.
system-view[SwitchA]vlan10[SwitchA-vlan10]quit[SwitchA]vlan20[SwitchA-vlan20]quit#配置接口Vlan-interface10和Vlan-interface20的IPv6地址.
[SwitchA]interfacevlan-interface10[SwitchA-Vlan-interface10]ipv6address1::164[SwitchA-Vlan-interface10]quit[SwitchA]interfacevlan-interface20[SwitchA-Vlan-interface20]ipv6address1::264[SwitchA-Vlan-interface20]quit#定义访问控制列表ACL3001,用来匹配TCP报文.
[SwitchA]aclipv6number3001[SwitchA-acl6-adv-3001]rulepermittcp[SwitchA-acl6-adv-3001]quit#定义5号节点,指定所有TCP报文的下一跳为1::2.
[SwitchA]ipv6policy-based-routeaaapermitnode5[SwitchA-pbr6-aaa-5]if-matchacl3001[SwitchA-pbr6-aaa-5]applynext-hop1::21-8[SwitchA-pbr6-aaa-5]quit#在接口Vlan-interface11上应用转发策略路由,处理此接口接收的报文.
[SwitchA]interfacevlan-interface11[SwitchA-Vlan-interface11]ipv6address10::264[SwitchA-Vlan-interface11]undoipv6ndrahalt[SwitchA-Vlan-interface11]ipv6policy-based-routeaaa(2)配置SwitchB#创建VLAN10system-view[SwitchB]vlan10[SwitchB-vlan10]quit#配置接口Vlan-interface10的IPv6地址.
[SwitchB]interfacevlan-interface10[SwitchB-Vlan-interface10]ipv6address1::264[SwitchB-Vlan-interface10]quit#配置到网段10::1/64的静态路由.
[SwitchB]ipv6route-static10::1641::1(3)配置SwitchC#创建VLAN20system-view[SwitchC]vlan20[SwitchC-vlan20]quit#配置接口Vlan-interface20的IPv6地址.
[SwitchC]interfacevlan-interface20[SwitchC-Vlan-interface20]ipv6address2::264[SwitchC-Vlan-interface20]quit#配置到网段10.
110.
0.
0/24的静态路由.
[SwitchC]ipv6route-static10::1642::14.
验证配置在HostA上安装IPv6协议栈,并将IPv6地址配置为10::3.
C:\>ipv6installInstalling.
.
.
Succeeded.
C:\>ipv6adu4/10::3从HostA上通过Telnet方式登录SwitchB,结果成功.
从HostA上通过Telnet方式登录SwitchC,结果失败.
从HostA上pingSwitchC,结果成功.
由于Telnet使用的是TCP协议,ping使用的是ICMP协议,所以由以上结果可证明:从SwitchA的接口Vlan-interface11接收的TCP报文的下一跳为1::2,接口Vlan-interface20不转发TCP报文,但可以转发非TCP报文,策略路由设置成功.
i目录1路由策略1-11.
1路由策略简介·1-11.
1.
1路由策略的应用1-11.
1.
2路由策略的实现1-11.
1.
3过滤器·1-11.
2配置过滤列表·1-31.
2.
1配置准备1-31.
2.
2配置地址前缀列表·1-31.
3配置路由策略·1-41.
3.
1配置准备1-41.
3.
2创建一个路由策略·1-41.
3.
3配置if-match子句1-51.
3.
4配置apply子句·1-61.
3.
5配置continue子句·1-61.
4路由策略显示和维护·1-71.
5路由策略典型配置举例·1-71.
5.
1在IPv6路由引入中应用路由策略配置举例·1-71-11路由策略本章所介绍的路由策略包括IPv4路由策略和IPv6路由策略,二者的配置基本一致,不同的部分在各节中另行说明.
1.
1路由策略简介路由策略是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现.
1.
1.
1路由策略的应用路由策略的应用灵活广泛,主要有下面几种方式:控制路由的发布路由协议在发布路由信息时,通过路由策略对路由信息进行过滤,只发布满足条件的路由信息.
控制路由的接收路由协议在接收路由信息时,通过路由策略对路由信息进行过滤,只接收满足条件的路由信息,可以控制路由表项的数量,提高网络的安全性.
管理引入的路由路由协议在引入其它路由协议发现的路由时,通过路由策略只引入满足条件的路由信息,并控制所引入的路由信息的某些属性,以使其满足本协议的要求.
设置路由的属性对通过路由策略的路由设置相应的属性.
1.
1.
2路由策略的实现路由策略的实现步骤如下:(1)首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则.
可以用路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等.
(2)然后再将匹配规则应用于路由的发布、接收和引入等过程的路由策略中.
可以灵活使用过滤器来定义各种匹配规则,过滤器的相关内容见下一节介绍.
1.
1.
3过滤器过滤器可以看作是路由策略过滤路由的工具,单独配置的过滤器没有任何过滤效果,只有在路由协议的相关命令中应用这些过滤器,才能够达到预期的过滤效果.
路由协议可以引用访问控制列表、地址前缀列表、AS路径访问列表、团体属性列表、扩展团体属性列表、路由策略几种过滤器.
下面对各种过滤器逐一进行介绍.
1-21.
访问控制列表访问控制列表包括针对IPv4报文的ACL和针对IPv6报文的ACL.
用户在定义ACL时可以指定IP(v6)地址和子网范围,用于匹配路由信息的目的网段地址或下一跳地址.
ACL的相关内容请参见"ACL和QoS配置指导"中的"ACL".
2.
地址前缀列表地址前缀列表包括IPv4地址前缀列表和IPv6地址前缀列表.
地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于用户理解.
使用地址前缀列表过滤路由信息时,其匹配对象为路由信息的目的地址信息域;另外,用户可以指定gateway选项,指明只接收某些路由器发布的路由信息.
关于gateway选项的设置请参见"三层技术-IP路由命令参考"中的"RIP".
一个地址前缀列表由前缀列表名标识.
每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号来标识,索引号指明了在地址前缀列表中进行匹配检查的顺序.
每个表项之间是"或"的关系,在匹配的过程中,路由器按升序依次检查由索引号标识的各个表项,只要有某一表项满足条件,就意味着通过该地址前缀列表的过滤(不再对下一个表项进行匹配).
3.
路由策略路由策略是一种比较复杂的过滤器,它不仅可以匹配路由信息的某些属性,还可以在条件满足时改变路由信息的属性.
路由策略可以使用前面几种过滤器定义自己的匹配规则.
一个路由策略可以由多个节点构成,每个节点是匹配检查的一个单元,在匹配过程中,系统按节点序号升序依次检查各个节点.
不同节点间是"或"的关系,如果通过了其中一个节点,就意味着通过该路由策略,不再对其他节点进行匹配(配置了continue子句的情况除外).
每个节点对路由信息的处理方式由匹配模式决定.
匹配模式分为permit和deny两种.
permit:指定节点的匹配模式为允许模式.
当路由信息通过该节点的过滤后,将执行该节点的apply子句,不进入下一个节点的匹配(配置了continue子句的情况除外);如果路由信息没有通过该节点过滤,将进入下一个节点继续匹配.
deny:指定节点的匹配模式为拒绝模式(此模式下apply子句和continue子句不会被执行).
当路由信息通过该节点的过滤后,将被拒绝通过该节点,不进入下一个节点的匹配;如果路由信息没有通过该节点的过滤,将进入下一个节点继续匹配.
每个节点可以由一组if-match、apply和continue子句组成.
if-match子句:定义匹配规则,匹配对象是路由信息的一些属性.
同一节点中的不同if-match子句是"与"的关系,只有满足节点内所有if-match子句指定的匹配条件,才能通过该节点的匹配.
apply子句:指定动作,也就是在通过节点的匹配后,对路由信息的一些属性进行设置.
continue子句:用来配置下一个执行节点.
当路由成功匹配当前路由策略节点(必须是permit节点)时,可以指定路由继续匹配同一路由策略内的下一个节点,这样可以组合路由策略各个节点的if-match子句和apply子句,增强路由策略的灵活性.
if-match、apply和continue子句可以根据应用进行设置,都是可选的.
如果只过滤路由,不设置路由的属性,则不需要使用apply子句.
如果某个permit节点没有配置任何if-match子句,则该节点匹配所有的路由.
1-3通常在多个deny节点后设置一个不含if-match子句和apply子句的permit节点,用于允许其它的路由通过.
1.
2配置过滤列表1.
2.
1配置准备在配置过滤列表之前,需要准备以下数据:前缀列表名称匹配的地址范围1.
2.
2配置地址前缀列表1.
配置IPv4地址前缀列表如果所有表项都是deny模式,则任何路由都不能通过该过滤列表.
这种情况下,需要在多条deny模式的表项后定义一条permit0.
0.
0.
00less-equal32表项,允许其它所有IPv4路由信息通过.
IPv4地址前缀列表由列表名标识,每个前缀列表可以包含多个表项.
各表项以网络前缀的形式,独立指定一个匹配范围,并使用索引号标识.
在匹配过程中,系统按索引号升序依次检查各个表项,只要路由信息满足一个表项,就认为通过该过滤列表,不再去匹配其他表项.
表1-1配置IPv4地址前缀列表操作命令说明进入系统视图system-view-配置IPv4地址前缀列表ipprefix-listprefix-list-name[indexindex-number]{deny|permit}ip-addressmask-length[greater-equalmin-mask-length][less-equalmax-mask-length]缺省情况下,没有配置IPv4地址前缀列表2.
配置IPv6地址前缀列表如果所有表项都是deny模式,则任何路由都不能通过该过滤列表.
这种情况下,需要在多条deny模式的表项后定义一条permit::0less-equal128表项,允许其它所有IPv6路由信息通过.
IPv6地址前缀列表由列表名标识,每个前缀列表可以包含多个表项.
各表项可以独立指定一个网络前缀形式的匹配范围,并使用索引号标识.
1-4在匹配的过程中,系统按索引号升序依次检查各个表项,只要路由信息满足一个表项,就认为通过该过滤列表,不再去匹配其他表项.
表1-2配置IPv6地址前缀列表操作命令说明进入系统视图system-view-配置IPv6地址前缀列表ipv6prefix-listprefix-list-name[indexindex-number]{deny|permit}ipv6-addressprefix-length[greater-equalmin-prefix-length][less-equalmax-prefix-length]缺省情况下,没有配置IPv6地址前缀列表当指定inverse参数时,从IPv6地址的末位开始匹配ipv6prefix-listprefix-list-name[indexindex-number]{deny|permit}ipv6-addressinverseprefix-length1.
3配置路由策略路由策略用来根据路由信息的某些属性过滤路由信息,并改变与路由策略规则匹配的路由信息的属性.
匹配条件可以使用前面几种过滤列表.
一个路由策略可由多个节点构成,每个节点又分为:if-match子句:定义匹配规则,即路由信息通过当前路由策略所需满足的条件,匹配对象是路由信息的某些属性.
apply子句:指定动作,也就是在满足由if-match子句指定的过滤条件后所执行的一些配置命令,对路由的某些属性进行修改.
continue子句:用来配置下一个执行节点,当路由成功匹配当前路由策略节点时,可以指定路由继续匹配同一路由策略内的下一个节点.
1.
3.
1配置准备在配置路由策略之前,需完成以下任务:配置过滤列表配置路由协议在配置之前,需要准备以下数据:路由策略的名称、节点序号匹配条件要修改的路由属性值1.
3.
2创建一个路由策略如果路由策略中定义了一个以上的节点,则各节点中至少应该有一个节点的匹配模式是permit.
如果路由策略的所有节点都是deny模式,则没有路由信息能通过该路由策略.
当路由策略用于路由信息过滤时,如果某路由信息没有通过任一节点,则认为该路由信息没有通过该路由策略.
1-5表1-3创建一个路由策略操作命令说明进入系统视图system-view-创建路由策略,并进入该路由策略视图route-policyroute-policy-name{deny|permit}nodenode-number缺省情况下,没有配置路由策略1.
3.
3配置if-match子句在一个节点中,可以没有if-match子句,也可以有多个if-match子句.
当不指定if-match子句时,如果该节点的匹配模式为允许模式,则所有路由信息都会通过该节点的过滤;如果该节点的匹配模式为拒绝模式,则所有路由信息都会被拒绝.
表1-4配置if-match子句操作命令说明进入系统视图system-view-进入路由策略视图route-policyroute-policy-name{deny|permit}nodenode-number-配置路由的匹配条件配置IPv4的路由信息的匹配条件if-matchip{address|next-hop|route-source}{aclacl-number|prefix-listprefix-list-name}缺省情况下,没有配置IPv4的路由信息的匹配条件如果if-match子句对应的ACL不存在,则默认满足该匹配条件;如果if-match子句对应的ACL中没有匹配的ACL规则或者ACL规则处于非激活状态,则默认不满足该匹配条件配置IPv6的路由信息的匹配条件if-matchipv6{address|next-hop|route-source}{aclacl6-number|prefix-listprefix-list-name}缺省情况下,没有配置IPv6的路由信息的匹配条件如果if-match子句对应的ACL不存在,则默认满足该匹配条件;如果if-match子句对应的ACL中没有匹配的ACL规则或者ACL规则处于非激活状态,则默认不满足该匹配条件配置路由信息的路由开销的匹配条件if-matchcostvalue缺省情况下,没有配置路由信息的路由开销的匹配条件配置路由信息的出接口的匹配条件if-matchinterface{interface-typeinterface-number}&缺省情况下,没有配置路由信息的出接口的匹配条件配置IGP路由信息标记的匹配条件if-matchtagvalue缺省情况下,没有配置IGP路由信息标记的匹配条件1-6如果有if-match子句因超过命令行最大长度而出现多条相同类型的if-match子句时,这几条子句之间是"或"的关系,即满足一个匹配条件,就认为匹配该if-match语句,例如出现多条if-matchcommunity子句时,各个子句的团体属性之间是"或"的关系,即满足其中一个团体属性,就认为匹配if-matchcommunity子句.
1.
3.
4配置apply子句IPv4路由策略和IPv6路由策略在配置apply子句时,不同之处在于设置路由信息的下一跳地址的命令不同.
表1-5配置apply子句操作命令说明进入系统视图system-view-进入路由策略视图route-policyroute-policy-name{deny|permit}nodenode-number-配置路由信息的路由开销applycostvalue缺省情况下,没有配置路由信息的路由开销配置路由信息的下一跳地址配置IPv4路由信息的下一跳地址applyip-addressnext-hopip-address[public]缺省情况下,没有配置IPv4路由信息的下一跳地址对于引入的IPv4路由,使用本命令设置下一跳地址无效配置IPv6路由信息的下一跳地址applyipv6next-hopipv6-address缺省情况下,没有配置IPv6路由信息的下一跳地址对于引入的IPv6路由,使用本命令设置下一跳地址无效配置路由协议的优先级applypreferencepreference缺省情况下,没有配置路由协议的优先级配置路由收敛优先级applyprefix-priority{critical|high|medium}缺省情况下,没有配置路由收敛优先级未配置时,路由的收敛优先级为低(Low)配置IGP路由信息的标记applytagvalue缺省情况下,没有配置IGP路由信息的标记1.
3.
5配置continue子句表1-6配置continue子句操作命令说明进入系统视图system-view-1-7操作命令说明进入路由策略视图route-policyroute-policy-name{deny|permit}nodenode-number-配置下一个执行节点continue[node-number]缺省情况下,没有配置下一个执行节点需要注意的是,下一个执行节点序列号必须大于当前节点序列号当配置continue子句的多个节点配置相同的apply子句(没有叠加属性)只是子句的值不相同时,以最后一个节点的apply子句为准;如果配置的是有叠加属性的apply子句(命令applyas-path不指定参数replace/命令applycost指定参数+或-/命令applycommunity指定参数additive/命令applyextcommunity指定参数additive),属性会全部叠加到路由上.
当配置continue子句的多个节点配置applycommunity子句时,使用命令行applycomm-listdelete不能删除前面节点中配置的团体属性.
1.
4路由策略显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后路由策略的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除路由策略的统计信息.
表1-7路由策略显示和维护操作命令显示IPv4地址前缀列表的统计信息displayipprefix-list[nameprefix-list-name]显示IPv6地址前缀列表的统计信息displayipv6prefix-list[nameprefix-list-name]显示路由策略信息displayroute-policy[nameroute-policy-name]清除IPv4地址前缀列表的统计信息resetipprefix-list[prefix-list-name]清除IPv6地址前缀列表的统计信息resetipv6prefix-list[prefix-list-name]1.
5路由策略典型配置举例1.
5.
1在IPv6路由引入中应用路由策略配置举例1.
组网需求在SwitchA和SwitchB上使能RIPng.
1-8在SwitchA上配置三条静态路由,并设置在引入静态路由时应用路由策略,使三条静态路由部分引入、部分被屏蔽掉——20::/32和40::/32网段的路由是可见的,30::/32网段的路由则被屏蔽.
通过在SwitchB上查看RIPng路由表,验证路由策略是否生效.
2.
组网图图1-1在IPv6路由引入中应用路由策略配置组网图3.
配置步骤(1)配置SwitchA#配置接口Vlan-interface100和Vlan-interface200的IPv6地址.
system-view[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]ipv6address10::132[SwitchA-Vlan-interface100]quit[SwitchA]interfacevlan-interface200[SwitchA-Vlan-interface200]ipv6address11::132[SwitchA-Vlan-interface200]quit#在接口下使能RIPng.
[SwitchA]interfacevlan-interface100[SwitchA-Vlan-interface100]ripng1enable[SwitchA-Vlan-interface100]quit#配置三条静态路由,其下一跳为11::2,保证静态路由为active状态.
[SwitchA]ipv6route-static20::3211::2[SwitchA]ipv6route-static30::3211::2[SwitchA]ipv6route-static40::3211::2#配置路由策略.
[SwitchA]ipv6prefix-listaindex10permit30::32[SwitchA]route-policystatic2ripngdenynode0[SwitchA-route-policy-static2ripng-0]if-matchipv6addressprefix-lista[SwitchA-route-policy-static2ripng-0]quit[SwitchA]route-policystatic2ripngpermitnode10[SwitchA-route-policy-static2ripng-10]quit#启动RIPng协议并引入静态路由.
[SwitchA]ripng[SwitchA-ripng-1]import-routestaticroute-policystatic2ripng(2)配置SwitchB#配置接口Vlan-interface100的IPv6地址.
1-9system-view[SwitchB]interfacevlan-interface100[SwitchB-Vlan-interface100]ipv6address10::232#启动RIPng协议.
[SwitchB]ripng[SwitchB-ripng-1]quit#在接口下使能RIPng.
[SwitchB]interfacevlan-interface100[SwitchB-Vlan-interface100]ripng1enable[SwitchB-Vlan-interface100]quit4.
验证配置#查看SwitchB的RIPng路由表.
[SwitchB]displayripng1routeRouteFlags:A-Aging,S-Suppressed,G-Garbage-collectPeerFE80::7D58:0:CA03:1onVlan-interface100Destination10::/32,viaFE80::7D58:0:CA03:1,cost1,tag0,A,18secsDestination20::/32,viaFE80::7D58:0:CA03:1,cost1,tag0,A,8secsDestination40::/32,viaFE80::7D58:0:CA03:1,cost1,tag0,A,3secs