10 元
下载资源

第十一次课边界网关协议(3)

上传人:痛*** 文档编号:244092054 上传时间:2024-10-02 格式:PPT 页数:45 大小:865.50KB
返回 下载 相关 举报
第十一次课边界网关协议(3)_第1页
第1页 / 共45页
第十一次课边界网关协议(3)_第2页
第2页 / 共45页
第十一次课边界网关协议(3)_第3页
第3页 / 共45页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,计算机科学与技术学院 网络工程教研室,高等计算机网络边界网关协议,BGP,(,3,),计算机科学与技术学院 网络工程教研室 袁卫华,第八次课,计算机科学与技术学院 网络工程教研室,主要内容,一、复习,二、,BGP,路由聚合,四、,BGP,应用,三、,BGP,路径过滤,五、小结和作业,计算机科学与技术学院 网络工程教研室,问 题,1,、,根据路由协议是,AS,内部的还是外部的,路由协议分成哪几类?,一、复习,3,、什么情况下不需要运行,BGP,协议?,4,、什么情况下需要,BGP,?,5,、,BGP,有几种邻居关系?,6,、简述,BGP,的路由通告原则。,2,、,BGP,协议有什么特点?,计算机科学与技术学院 网络工程教研室,1.,自动聚合,二、,BGP,路由聚合,BGP,支持路由聚合,(,默认不进行路由聚合,),(,config-router)#no,auto-summary,只对通过,redistribute,命令导入,BGP,的,IGP,、直连路由、静态路由等起作用。,如果这些路由是子网路由,在进入,bgp,表时将被自动汇总成有类路由条目。,对,network,通告的路由,ibgp,或,ebgp,邻居通告的路由等不起作用。,计算机科学与技术学院 网络工程教研室,2.,手工聚合,二、,BGP,路由聚合,(,config-router)#noaggregate-address,AggNetAdd,mask summary-only,summary-only,:只向邻居公告聚合路由,不公告特定,(specific),路由,公告聚合路由的,BGP,路由器在自己的,routing table,中添加:聚合路由,null0,的记录,计算机科学与技术学院 网络工程教研室,3.,路由聚合举例,二、,BGP,路由聚合,f0/0:10.1.1.1/24,f0/0:10.1.1.2/24,L0:172.16.0.1/24,L1:172.16.1.1/24,L2:172.16.2.1/24,L2:172.16.3.1/24,AS 1,rb,ra,AS 2,计算机科学与技术学院 网络工程教研室,3.,路由聚合举例,二、,BGP,路由聚合,f0/0:10.1.1.1/24,f0/0:10.1.1.2/24,L0:172.16.0.1/24,L1:172.16.1.1/24,L2:172.16.2.1/24,L2:172.16.3.1/24,AS 1,rb,ra,AS 2,计算机科学与技术学院 网络工程教研室,3.,路由聚合举例,二、,BGP,路由聚合,Null0,接口,如果RB通告聚合路由,那么在RB的路由表中就会产生一条NULL0接口的聚合路由,。,Null0,接口是个逻辑接口,它有一个很重要的特性:永远是,UP,的,并且发送到该接口的数据报都会被丢弃。,计算机科学与技术学院 网络工程教研室,3.,路由聚合举例,二、,BGP,路由聚合,Null0,接口,如果在路由器上配置一条静态路由,该路由的出口就是,NULL0,,那么该路由会有以下特性:,1.,该静态路由永远有效,因为接口不会,Down,掉。,2.,使用该路由转发数据帧消耗的系统资源很少,因为路由器只是丢弃接收的数据报。,3.,路由器可以根据配置的参数要么向数据源发送一个丢弃通知(,ICMP,消息通知),要么不做任何反应。,计算机科学与技术学院 网络工程教研室,3.,路由聚合举例,二、,BGP,路由聚合,Null0,接口,NULL0,作为备用路由使用,在路由器上做如下配置,:,Routerip,route-static 0.0.0.0,0.0.0.0,Serial 0 preference 60 ,Routerip,route-static 0.0.0.0,0.0.0.0,NULL0 preference 20,即使,SERIAL0,接口断掉,路由器也会继续使用下条路由进行转发。转发的结果就是丢弃数据报,并且不会给源发送一个,ICMP,不可达消息。这在路由摆动比较频繁的情况下可以使用,因为这样就不至于影响其他路由器,而仅仅把路由震荡限制在自己身上。,计算机科学与技术学院 网络工程教研室,三、,BGP,路由过滤,1,.,基于访问控制列表的路由过滤,1,)什么是访问控制列表,2,)进方向和出方向的,ACL,3,),ACL,的类型和操作过程,4,),ACL,命令的基本格式,5,)利用路由映射,route-map,使用访问控制列表,(ACL),进行路由过滤,6,)应用举例,2,.,基于,prefix,前缀列表的路由过滤,1,),ip,prefix-list,功能和匹配原则,2,),ip,prefix-list,命令格式,3,)前缀的定义,4,)在路由过滤中应用前缀列表,5,)应用举例,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,访问控制列表ACL是网络安全保障的第一道关卡,可以控制和过滤通过路由器的不同接口去往不同方向的信息(数据)流。,ACL,的应用,预先定义好ACL,放置在路由器的接口上,对接口进方向或者出方向的数据包进行过滤。,对路由器自己产生的数据包,应用在接口上的ACL是不能过滤的。,1,)什么是访问控制列表,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,2,)进方向的,ACL,负责过滤进入接口的数据流量,进方向的,ACL,进入接口的数据包,不允许通过,丢弃,允许通过,路由表,没有相应的路由,丢弃,数据包从,E0,接口被转发,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,3,)出方向的,ACL,负责过滤从接口发出的数据流量,接口上是否有,出方向的,ACL,进入接口的数据包,有,没有,数据包被直接转发,路由表,没有相应的路由,丢弃,数据包被送到,E0,接口,出方向的,ACL,不允许通过,丢弃,允许通过,数据包被转发,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,4,),ACL,的类型,从,1,到,99,的访问控制列表是基本访问控制列表,控制基于网络地址的信息流,且只允许过滤源地址。,从,100,到,199,的访问控制列表是扩展访问控制列表,通过网络地址和协议类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据,同一个列表号的语句组成了同一个访问控制列表,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,5,),访问控制列表的操作过程,与条件匹配吗?,否,允许,拒绝,第一条语句,是,是,与条件匹配吗?,否,与条件匹配吗?,否,隐含语句,全部拒绝,丢弃,发往目的接口,拒绝,是,拒绝,允许,第二条语句,是,允许,第三条语句,是,是,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,5,),访问控制列表的操作过程,ACL,对匹配其条件的数据包有两种操作:,permit,或者,deny,访问控制列表在进行语句过滤的时候按照自上而下的顺序对,ACL,中的条件进行比较,直到找到符合条件的语句。,如果与,ACL,中所有的语句都不匹配,在,ACL,的最后有条隐含的,deny all,语句,将包丢弃。,ACL,中至少应该有一条,permit,语句,否则应用,ACL,将无法让任何数据包通过,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,5,),访问控制列表的操作过程,ACL,语句的顺序非常重要,数据包一旦在,ACL,中找到符合条件的语句作出判断,就不会再与,ACL,中后面的语句进行比较了。,在,ACL,中将最有限制性的语句放在,ACL,的首行。,将,ACL,应用到接口前一定要先建立,ACL,。,ACL,不能逐条被删除,只能一次性删除整个,ACL,。,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,6,),ACL命令的基本格式,定义访问控制列表,Router(config)#access,-list list-num permit|deny,ip,-address wildcard-bits,删除访问控制列表,Router(config)#no,Access-list access-list-number,例如,(,config,)#access-list 1 deny 172.16.1.0 0.0.0.255,(,config,)#access-list 1 permit any,访问控制列表号,用来与数据包信息比较的条件,通配符掩码,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,6,),ACL命令的基本格式,通配符掩码:,wildcard-bits,0,表示网络位,,1,表示主机位。,0,表示“检查相应的位”,,1,表示“不检查相应的位”。,例如,0.0.0.0 255.255.255.255,对应的,IP,地址机器掩码为,0.0.0.0,0.0.0.0,,表示所有,IP,地址,通常简写为,any,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,6,),ACL命令的基本格式,通配符掩码:,wildcard-bits,例如,172.16.1.0 0.0.0.255,对应的,IP,地址及其掩码为多少呢?,172.16.1.0 255.255.255.0,192.168.1.1 0.0.0.0,通常简写为,host 192.168.1.1,,对应的,IP,地址及其掩码为多少呢?,对应的,IP,地址及其掩码为,192.168.1.1 255.255.255.255,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,7,)查看,ACL,Show protocol access-list access-list-number,Show,ip,access-lists,查看建立的,ACL,Show,ip,interface f0/0,查看在接口上应用的,ACL,及其方向,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,8,)利用路由映射,route-map,使用访问控制列表,(ACL),进行路由过滤,Router-map,主要用于路由的再发布和策略路由,每个,route map,包含许可或拒绝操作以及一个序列号,#route-map Hagar permit 20,#match,ip,address 1,#set metric 50,#route-map Hagar permit 15,#match,ip,address 3,Set metric 80,Route-map,的名字为,Hagar,,一个,route-map,可以有多个陈述,Hagar,的一个陈述,序号为,20,匹配,ACL number,为,1,的特征的路由,计算机科学与技术学院 网络工程教研室,1.,访问控制列表,ACL,三、,BGP,路由过滤,8,)利用路由映射,route-map,使用访问控制列表,(ACL),进行路由过滤,#route-map Hagar permit 20,#match,ip,address 1,#set metric 50,#route-map Hagar permit 15,#match,ip,address 3,Set metric 80,序号没有给出的情况下默认是,10,尽管陈述,15,的定义排在,20,后面,但,IOS,仍然将,15,排在,20,前面。,匹配的时候按照从上到下的顺序进行,如果一个陈述匹配成功,不会再和后面的陈述进行匹配,删除个别陈述,no route-map Hagar 15,删除整个,route-map,no route-map Hagar,添加,match,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!