網絡安全之重發布與路由策略詳解

重發布；import （路由導入）

將不同方式（直連、靜態、缺省、其他協議）的路由器重發布進入RIP，OSPF中。

注意：1、華為中不能將缺省路由重發布進入RUO協議（思科也是一樣）。2、不能將缺省路由重發布進入OSPF協議中（思科同樣）。

seed-metric：種子度量值。

RIP——種子度量值為0

OSPF——默認類型2，seed-metric為1

重發布進入RIP命令為：

想要重發布哪一個協議在import-route 后就跟什么協議，若是相同協議，則注意協議后要有協議號，比如在RIP 100中重發布引入RIP 200，則為import-route rip 200

修改seed-metric值：

方法一、修改RIP協議seed-metric值，在華為中針對所有方式重發布生效（思科中不針對重發布的直連生效）。命令為：

種子度量值修改值范圍為0-15.

方法二、在重發布過程中指定度量值（針對某一方式）。命令為：

比如重發布OSPF 100，引入RIP的種子度量值范圍都為0-15。

如果同時部署，則方法二優于方法一生效（一般來講，若針對某項參數進行修改時，出現了歧義，命令匹配更精確的優先生效，即加入我們上面使用方法一修改了種子度量值為13，而后又使用了方法二對OSPF 100種子度量值設置為了6，那么在查看的時候，重發布進入的OSPF 100度量值為6，其余重發布的路由種子度量值為13）。

重發布進入OSPF協議，默認不能將缺省進行重發布，重發布引入的默認類型為類型2，seed-metric值為1.

修改seed-metric值：

方法一、修改seed-metric，也可以修改LSA類型。

修改LSA類型命令：

修改seed-metric值命令為：范圍為0-16777214.

方法二、重發布過程中，可以修改seed-metric，也可以修改LSA類型。

命令為：修改重發布進入OSPF的RIP 100的seed-metric為100，LSA類型為類型1。

以上，重發布定義：將A協議重發布進入B協議時，進入B協議實施，將本路由器上通過A協議學習并加表的路由以及通告進入A協議接口對應的路由重發布進行B協議（除ODR ISIS）。注意：ODR是一個很老的協議，不滿足重發布的定義、ISIS若要重發布到另一個協議中，只能將ISIS學習并加表的路由進行重發布，而通告到ISIS協議中，接口對應的路由是不能重發布的。如果要將ISIS學習加表的所有路由以及通告到ISIS接口對應的路由進行重發布，除了要重發布ISIS，還要重發布一個直連路由進行一個這個路由器上接口的路由的重發布。

重發布中有兩個分類；點和向，其中重發布點的類型又分為單點、雙點、多點。重發布向的類型又分為單向、雙向、多向。

單點：只在一個路由器上做重發布。

雙點：同時在兩個路由器上做重發布。這可以做一個備份，增強網絡的穩定性，一個設備壞了，還有另一個設備，不至于讓網絡直接崩潰。

多點：在兩個以上的路由器上做重發布。效果與雙點重發布一致。

單向：

雙向：就是在單向的基礎上，可以讓雙方協議都能互相學習到對方協議中的路由，將A協議重發布進B協議，再將B協議重發布進A協議。（但是A重發布進B，B重發布進C就不叫雙向重發布了）

多向：

重發布是強行將一個協議的路由重發布進另一個協議中的路由，在進行多點多向重發布時，會出現嚴重的網絡問題，輕則路由不優選，重則出現路由環路。

1、次優路徑（原因是不同的路由協議AD值不同，以及計算metric值得方式不同，是一定要出現的）

2、路由環路（原因：路由回饋）

以上，如果重發布過程中沒有路由回饋就沒有路由環路。還有一個嚴重問題就是次優路徑，還是如上圖例子，R1要學習R3的路由，R2在給R1傳，R4也在給R1傳，如果他們的默認種子度量值一樣，而且跳數也一樣的話，R1只有一個選擇就是負載均衡，因為分判斷出來走哪一個好。R3學習到R1的路由也是同理，如果最優的路徑是R1走R2去學習R3，再從R4返回。那么執行了負載均衡或走其他路徑就是次優路徑。簡而言之我們到達目標網段沒有走最優路徑就是次優路徑。該負載均衡沒有負載均衡，該走上面接口走了另一個接口都是有可能的。

綜上，我們進行重發布后，很多路由學到的都不是最優路由，走的次優路徑。所以，在我們進行重發布后要通過一些技術手段來進行調優，保證我們最終學到的每條路由都是最優路由。

需要使用網絡工具來解決次優路徑以及路由環路。

思路：1、先解決路由回饋（保證所有進行重發布的路由器上是正確的），就解決了路由環路。2、根據不同的路由協議進行次優路徑的調整。

以上，接下來講解，路由策略和策略路由。

路由策略：控制層面的路由控制。（通過調整路由的策略）比如一個R1有三個路由，R2去學習R1的三個路由，我們通過策略讓R2只允許學習其中的一條路由，不學習另外兩條，這就是路由策略。

策略路由：數據層面針對數據層面，使用一些列表控制數據的發送。（通過策略去影響路由）比如R1有A/B兩個網段，R1有F0/1和F0/2兩個端口連接到R2，我們通過策略讓A網段的數據只能走F0/1到R2，B網段的數據只能走F0/2網段到R2，這就是策略路由。

學習路由的方式分為兩步：

1、對路由進行抓取。路由抓取工具：1、ACL。2、前綴列表 prefix-list。

2、對路由屬性進行控制。實施策略工具列表：fitter-policy（過濾策略列表）、route-policy（對路由屬性進行調整，也能過濾路由）。

ACL ，可以查看該文章進行一個簡單的了解學習：網絡安全之ACL-CSDN博客?

ACL可以對路由進行一個調整，但是有一個瑕疵的，那就是不能對網絡掩碼進行一個抓取。

比如下面這個命令：抓取的并不是1.1.1.0 255.255.255.0，沒有后面的網絡掩碼，抓取的只是1.1.1.0，通配符是全0，表示前面三十二位bit固定為1.1.1.0，所以抓取的并不是1.1.1.0/24，而是1.1.1.0。

ACL除了不能精確匹配網絡掩碼之外，還不能范圍性匹配，當我們要大范圍抓取路由時，使用ACL就不合適了，可能就只能一條一條的去抓取，比如抓取網絡掩碼24到28的，就不太好抓了。

prefix-list：前綴列表

特點：1、僅僅抓取路由信息。（ACL可以抓數據也可以抓路由）2、能嚴格匹配網絡掩碼（以及可以范圍性匹配掩碼）。3、存在序列號，從小到大匹配，一經匹配立即執行。4、末尾隱含了拒絕所有（沒有說允許的話剩下的路由就全拒絕）。

前綴列表命令：

這個C1只是個名稱，可以隨便取。部署的前綴列表的序列號默認第一個是10，第二個20，后面的一次增加10。

下面的這個命令就是抓取2.2.2.0/24的網段

若是要抓2.2.2開頭的/28網段，其中2.2.2.0代表著是2.2.2.0這個網段，24代表這個網段的前二十四位固定，網絡掩碼由后面的大于等于greater-equal 和小于等于less-equal 決定。也就是說這個代碼說的就是網絡號前二十四位2.2.2固定，網絡掩碼為28的網絡。

再比如以下這代碼就是2.2.2這前24位固定，掩碼為大于等于28小于等于30，也就是掩碼為28，29或30的網絡號。

如果只寫大于等于28，則就是范圍28-32的即28，29，30，31，32的網絡掩碼，若是只寫了小于等于30，則掩碼范圍為24-30。若是大于等于和小于等于都沒有寫，只有

則將其length長度作為網絡掩碼長度，也就是其中的24，作為固定長度和網絡掩碼，一旦后面有大于等于，小于等于的條件，則只作為固定長度，固定前多少多少位固定。

比如要抓缺省路由就是：

若是允許所有就是：代表著32位bit沒有一位固定，網絡掩碼小于等于32，也就是0-32，所有網絡掩碼都允許。

如果要匹配所有的主機路由：因為主機路由是32位網絡掩碼，所以前面三十二位bit不固定網絡號隨便，但是掩碼必須是32位，才能是主機路由，也就是說，三十二位的網絡掩碼的所有路由都抓取。

若是要抓取所有的A類主網段路由：A類網段第一位固定，掩碼為255，所以是下面這種，B，C類網段同理。

抓取所有B類網段路由：128開頭，前兩位固定，網絡掩碼為255.255，一共16位網絡掩碼。

抓取所有C類網段）包括子網段和主網段：其中/24掩碼的是主網段，大于/24的掩碼是子網段。

fitter-policy：過濾策略列表，進行路由信息的過濾。

特點：

1、自身不具備過濾功能。

2、可以在同種路由協議之間使用或不同路由協議之間使用（重發布）過程中使用。

3、同種路由協議之間分為距離矢量型（可以在出和入兩個方向實施）和鏈路狀態型協議（僅僅在路由學習的入方向使用，并且不過濾LSA，只是阻止LSA的加表，備注：華為設備中可以在出方向上針對5類和7類LSA進行過濾）

4、在不同協議之間使用時，必須為export+A協議（需要被重發布的協議）

距離矢量型協議：可以在in out方向實施。

做好的ip-prefix c1直接在運行的協議里去調用，比如下面的在入方向的接口G0/0/0調用，也可以不跟接口。

fitter-policy雖然能做什么東西，但是功能太單一，只能做過濾，若是要將路由的一些屬性進行調整，fitter-policy就不行了，我們就可以使用router-policy來進行調整。

router-policy：策略列表——route-map

使用環境：1、重發布（在同種路由協議里不能使用route-policy，但可以使用fitter-policy。）。2、BGP。3、PBR（QOS，是數據層面的控制，將數據的轉發可以不按照路由表來轉發甚至于沒有路由表靠PBR也能轉發）

特點：

1、自身具有過濾功能。

2、序列號由小及大匹配（默認10，20，30……）。

3、可以過濾路由或者改變路由的屬性。

4、末尾隱含拒絕所有。

5、每一個條目中包含邏輯語句（if-match apply 注意：橫向if-match match任意，豎向if-match match所有）沒有 match 匹配all 沒有apple?apple?nothing

第五點中如果匹配的permit就有兩句話，比如if-match acl 2000 apply?cost 1000（如果是acl 2000里的路由，就將路由的開銷值設置為1000），if-match ip-prefix c1 apply?oe 1（如果是ip-prefix名字為c1發布的路由，就將其默認的五類LSA類型2改為類型1）。

橫向：可以這樣寫if-match acl 2000 2001 2002…… apply?cost 99也就是將acl2000 2001等多個acl一起匹配，如果匹配到其中任意一個acl條件，就可以執行apple的動作，這種就是橫向if-match也就是橫向任意any的意思。

豎向：if-match acl 2000 cost 5 oe 2 apply?tag 999，其中匹配條件為acl 2000，cost為2，五類LSA類型為2，這三個條件全部匹配才能執行動作tag 999打上標記999，這種就是豎向if-match也就是豎向所有all的意思。

什么時候用橫向，什么時候用豎向：橫向只能用在條件都相似類似的情況下，比如上面例子中的匹配acl 2000 2001 2002……都是acl這種同一類的條件就是橫向，豎向就是條件都不一樣，又是acl又是cost的，如果多了不同類的條件就變為豎向。

apple只有豎向沒有橫向，if-match acl 2000 cost 5 oe 2 apply?tag 999 cost 20 oe 1，將都匹配的數據打上標記999開銷值改為20，五類LSA類型改為1。apple不可能出現橫向，因為要是橫向的比如apply cost 10 20 30這樣，那么符合條件的修改cost是改為10還是20或是30，沒辦法修改，所以只有豎向。

比如將3.3.1.0這條路由改為類型1，3。3.3.2.0metric值改為100，3.3.3.0進行過濾，3.3.4.0tag標記修改為8888，23.1.1.0允許通過。為了滿足這幾個條件就需要寫router-policy，router-policy和fitter-policy一樣要去調用ACL或前綴列表，只是不一樣的是router-policy自身具備過濾的功能，它調用ACL和前綴列表時只需要ACL列表和前綴列表抓取路由就行，抓取之后讓router-policy去進行調試即可。

拓撲圖如下：

所以接下來我們只需寫四條前綴列表將3.3.1./2/3/4.0抓取出來，23.1.1.0是允許通過，其余的全部放行，所以只需要寫四條ACL或前綴列表或ACL與前綴列表交叉使用就行了。

我們將這四條前綴列表寫好了，接下來寫router-policy。

router-policy后跟的bb為名字可以隨便取，只要調用時別調用錯就行，后面的node 10為編號10表示第一條，若是第二條就要寫20。

接著去匹配ip-policy b1。

再執行動作改為類型1

接著寫第二條：

第三條：因為是過濾，所以deny掉匹配到b3即可沒有apply

第四條：

因為末尾是拒絕所有，所以我們要進行一個放通所有：

如果if-match沒有寫就默認匹配所有，如果沒有寫apply就相當于不做任何動作，當if-match沒有寫，apply也沒有寫的時候就代表著router-policy后跟的動作是permit就是所有都通過，若是deny就是拒絕所有（拒絕所有的話，可以不寫這個router-policy，因為只要做了router-policy，其末尾就隱含了拒絕所有。）。

然后進行一個查看router-policy bb這個的應用就可以看到1-5條的應用，都修改成功b1修改類型為1，b2修改開銷值為100，b3過濾掉了，b4修改tag標記8888，node50允許所有。

接著在重發布中使用：

以上就是當我們進行雙點雙向重發布時或更復雜的重發布時，路由不正常，使用以上的工具將路由進行一個修改正常即可。

———————————————————————————————————————————

雙點雙向重發布小實驗例子：

拓撲圖如下

我們將IP配置好以及RIP協議和OSPF協議的通告等完成后，先第一步檢查路由。比如R4上檢查RIP和OSPF學習到的路由以及鄰居關系建立，其他路由器上同理。

接著在R2和R4上做重發布，在做重發布之前，我們要了解知道R4和R2上學習到的路由是從哪里學的，比如R4上學到的R2的RIP路由是痛過RIP中學習到的，而再重發布之后，就變成了從OSPF中學習到的R2的RIP路由，就將RIP路由又重發布回去了，這就是路由回饋，就形成了路由環路，出現路由環路就意味著有路由回饋，要解決掉重發布后出現的路由環路就要解決掉路由回饋，也就是說，再進行重發布前后，作為進行重發布的路由器所學習到的路由是沒有變化的，這就解決了路由回饋。沒有路由回饋之后就沒有路由環路，接著我們就要著重去解決一個次優路徑的問題。

下面在R2和R4上進行雙向重發布；

這時再去查看R2和R4的路由表有沒有一個變化。在華為設備中是沒有變化的，因為在華為設備的OSPF中，有兩個優先級，一個內部優先級10，一個外部優先級150，一個比RIP優先級100大，一個比RIP優先級小，這就會導致RIP重發布進OSPF后，R4和R2不會學習的一個錯誤的OSPF路由。沒有學習一個錯誤的OSPF路由，其路由表就不會變，就不會出現一個路由回饋進而出現一個路由環路。若是一個協議只有一個優先級，沒有分外部和內部的，比如在思科中RIP優先級固定為120，OSPF優先級固定為110，只要沒有分一個外部內部優先級，在它做一個雙點及以上的重發布的時候，必定會出現路由回饋。

在以下R2上可以查看到OSPF學習到了RIP中的路由，但是還沒有加表，沒有加表的原因是因為它的優先級為150，R4上查看也是同理

所以在華為設備上做雙點以上重發布就很簡單，不會出現路由回饋問題。若是在做其他廠商設備的雙點以上重發布出現路由回饋，我們可以修改其優先級來解決，但是優先級并不是改所有的優先級，只能改由A協議重發布進B協議中的路由的優先級，且重發布過來的優先級要改的比原協議的優先級要大才行。

路由回饋沒有出現問題，那么就要查看次優路徑的問題了，此時查看R1和R3上的路由。我們發現R1到達R3的環回，R4的環回，23網段，34網段都是走的負載均衡，在結合我們的拓撲圖，R1學習R3的環回負載均衡是沒問題的，但是到23網段，走R2應該更優，到R4的網段，走R4更優，到34網段，走R4更優，所以，這些不是最優的路徑就是次優路徑。R4上查看的路由問題同理。

出現次優路徑了，就需要我們使用本文前面講解到的路由策略等來進行一個解決，在RIP這個距離矢量型協議中解決也很簡單，就是兩點，改優先級和改開銷值。但是改優先級不能對單個路由的路由協議進行控制，因此不適用于在同種協議中使用，只適用于在不同協議之間使用。

這里只能修改開銷值，比如R1到23網段是負載均衡，R2和R4重發布進來的默認種子度量值都為0，等傳到R1的時候，R1到達R2和R4的開銷值都為1，所以執行負載均衡，所以我們要么將R2發給R1的23網段的度量值降低，要么將R4發給R1的23網段的度量值增加，而在RIP中的度量值不能減少，我們只能將R4發給R123網段的度量值增加。增加度量值的方法也有很多，第一個就使用metric-in和metric-out，在R1與R4之間的接口使用，比如在R4的接口上就是out出口，R1上就是in入口，在這兩個接口之中選擇一個接口將23.1.1.0這個網段抓到，再把它的開銷值增加。第二個就是在R4重發布過程中使用router-policy，在router-policy中將23.1.1.0抓到再把這條路由的metric值修改的高一些，也就是說在R4重發布的過程中將23.1.1.0這個網段的度量值調整大點（進入RIP的默認種子度量值為0）。第三種就是路由過濾，R2傳給R1的23.1.1.0網段路由正常通行，將R4傳給R1的23.1.1.0網段路由過濾掉，使R1學不到R4傳來的23.1.1.0路由即可（而在路由過濾這個方法中又有兩種方法去過濾，一、在重發布過程中使用fitter-policy進行路由過濾，用的是out+A協議的形式。二、在同種路由協議之間，也就是R1和R4之間使用路由過濾，將R4發來的路由進行過濾，可以在R4的出接口方向做，也可以在R1的入接口方向做）。以上就有四種方法進行選擇最優路徑。第一種R1R4之間修改開銷值，第二種在重發布過程中修改開銷值，第三種在重發布過程中進行路由過濾，第四種在同種路由協議之間進行路由過濾。具體使用哪種方法無所謂，在平時做實驗時候就可以使用fitter-policy過濾列表，將這條路由列表過濾掉，但在實際應用中，一般不建議做路由過濾，因為如果做了路由過濾就沒有備份路徑，原本這個重發布的路由器也可以學，但過濾之后就不能學，另一個重發布的路由器故障后，網絡就崩潰了。所以，實際應用中能不用fitter-policy就不使用fitter-policy。

我們在R1和R4之間選擇R4上修改開銷值。第一步將23.1.1.0這個網段路由抓取出來，使用ACL或前綴列表都可以。

比如這里我使用的ACL 2000

抓取出來后進行調用。因為是在R4是通過連接R1的接口將23.1.1.0網段路由傳給R1的，所以在這個接口上進行調用修改。2000是ACL的名字，后面的2為增加的metric值，注意增加的metric值是有范圍的2-15.

然后我們在R1上查看23.1.1.0的路由變化。可以發現R1到23.1.1.0網段的下一跳為12.1.1.2不再是負載均衡，恢復正常了。其他路由還在負載均衡也是同理進行調整。

到4.4.4.0以及34.1.1.0的修改方法用上面的也是一樣的，現在在重發布的過程中使用router-policy進行開銷值的增加。這次在R2上做，第一把還是先抓取這兩個網段的路由，使用ACL或前綴列表都行。

抓到之后寫router-policy。因為開銷值默認為0，所以隨便寫個5。

但注意的是，router-policy默認隱含拒絕所有，所以我們在做完router-policy的時候要記得檢查，是放通剩下的所有路由，還是拒絕剩下的所有路由。這里我們只是修改一個開銷值，并不是要拒絕其他所有，所以要允許所有，即加一個空語句。

接下來進行調用，在重發布的過程中調用。

然后再在R1上進行查看。發現整體的路由都恢復正常了，路由表全部優選。所以，在距離矢量型協議里調整就是修改它的開銷值。

RIP這里的次優路徑問題解決了，接著我們去查看OSPF中的問題，在R3上查看OSPF路由表。除了到達R4的環回，其他走的都是負載均衡。結合拓撲圖，R3到1.1.1.0負載均衡是沒問題的，到2.2.2.0因該走R2，到12.1.1.0走R2，到14.1.1.0走R4。

接著我們在R2上針對路由進行控制，這時就牽扯到五類LSA的一個選路比較，五類LSA的選路時，優先級沒有用，只有去調整開銷值，調整開銷值又可以調整兩種開銷值，一個是種子度量值，一個是沿途累加度量值，它在比較的時候，先比較種子度量值（越小越優），如果種子度量值一樣則比較沿途累加度量值。所以在R3學習12.1.1.0的路由時，可以在R2上將發給R3的12.1.1.0網段和2.2.2.0的開銷值降低，也可以R4上將發給R3的12.1.1.0網段和2.2.2.0的開銷值增加（增加的時候可以增加沿途的累加度量值）。注意的是，在進行路由控制的時候，盡量不改變沿途累加度量值就不改變，因為沿途累加度量值影響的不是這一兩條LSA，而是影響的所有路由。所以我們盡量不去修改沿途累加度量值，而是去增加其種子度量值。在調整14.1.1.0或4.4.4.0不是最優的時候也是同理。在OSPF中五類LSA的類型1永遠優于五類LSA的類型2。

在R2上做，先將12.1.1.0和2.2.2.0的路由抓取出來，再用router-policy將它的類型2改為類型1，R3在學習的時候直接優選。同時在R2上順便將14.1.1.0網段抓取出來，在重發布過程中用router-policy將它的開銷值改的比1還大，這樣R3學習14.1.1.0網段的路由就優先學習R4傳來的。這樣就可以一次性解決問題。

也可以使用路由過濾的方法（分為在重發布過程中過濾和同種路由協議之間過濾），在重發布的過程中我們也可以過濾（fitter-policy或router-policy都可以），同種路由協議之間也能過濾，使用fitter-policy，而fitter-policy在鏈路狀態型協議中使用時，只能在入方向進行過濾，入方向阻止路由加表，出方向做不會生效。但現在需要進行控制過濾的LSA是五類LSA，五類LSA是路由LSA，所以使用fitter-policy可以在out方向上做（三類五類七類都可以做，一二類做不了），一二類只能在入方向上做，但只能阻止本路由器的路由加表，不影響LSA的同步，學習。

這里最簡單的方法就是在重發布過程中將路由分別調整抓取出來，對它們的屬性進行修改。可以在R2上做也可以在R4上做，比如現在在R2上做。

接下來進行調用。

然后在R3上進行查看。問題一次性解決。

———————————————————————————————————————————

策略路由：在數據層面對傳輸的數據包進行控制（優先于路由層面），是一種策略。

PBR：policy based route——基于策略的路由

PBR分為兩種：一種是本地PBR，另一種是遠程PBR。

本地PBR：針對本設備產生的流量進行策略控制

遠程PBR：針對途經本設備的流量進行策略控制

本地PBR實驗演示拓撲如下：R1和R2之間有一個12.1.1.0網段R1上面有環回，R2上面也有環回。寫了R2到達R1的路由，但是沒有寫R1到達R2的環回路由，正常情況下R1不能ping通R2的環回接口，當使用本地PBR時，就能通，因為這個策略優于路由。這個PBR及其強大，強大到沒有路由，純聽策略。