路由引入
路由重分布: 把其他协议(或同一协议不同进程)学习到的路由表,以及运行该协议的直连引进到本协议的数据库 (为什么会有“运行该协议的直连”:比如一个路由器既跑rip,也跑ospf,此时要讲ospf引入到rip中。此时一定有既是直连网段,又被宣告进ospf进程中的网段,因为直连网段的优先级高于ospf,所以在查看路由表(经过ospf筛选)时,时不会有该直连网段的,而该网段是要被引入到rip中的) 从不同协议学习到同一条路由,比较外部度量值,越小越优;如果外优先级一样,比较内部优先级,越小越优 根据我现在的理解, 1.不同的动态路由协议拥有各自的数据库, 2.不同的动态路由协议的数据库中若有同一条路由,即网络前缀+掩码完全一致,则会进行优先级比较,择优选入路由表中 所以路由重分布会将某动态路由的数据库(仅激活)和宣布在该动态路由协议的直连网段,进行重分布
1.将ospf引入到rip中,在R1上查看路由表(筛选rip),看不到宣告在ospf中的路由网段 2.在1的基础上,将rip引入到isis中,在R1上查看路由表(筛选isis),看不到宣告在ospf中的路由网段(确实如此,已实测) 重分布猜测:上例中,只会将在通过rip学习到的路由(在R1中激活的路由),以及R1在rip中的直连网段,引入到isis中
路由引入时,要注意开销值的变化
当我们引入OSPF或者ISIS路由到RIP的时候,如果不指定COST,开销值将默认设为1。应该手工配置开销值以反映网络的真实拓扑
引入到OSPF,默认为1
引入到ISIS,narrow时默认为64,wide为 10
路由协议的优先级(思科叫AD值或者管理距离),华为分两种优先级,外部和内部 可以用命令prefrence修改外部优先级,如果外优先级一样,比较内部优先级,越小越优 路由协议类型 路由协议外部优先级 路由协议内部优先级(无法修改) direct 0 0 ospf区域内 10 10 ISIS 15 15(isis level-1) 18(isis level-2) static 60 60 rip 100 100 ospf ASE 150 150 ospf NSSA 150 150 IBGP 255 200 EBGP 255 20
割接---原来网络使用OSPF协议,现在要迁移到ISIS协议: 方法步骤: 1、此时网络中只运行OSPF,执行硬件和软件检查并进行升级以确保硬件和软件能够支持迁移; 2、配置IS-IS,设置合适的优先级,保证IS-IS只在后台运行,这样在每台路由器上都建立了IS-IS链路状态数据库,但路由表和转发表保持不变。在这个阶段对IS-IS的运行情况进行验证,只有当每台路由器都建立了LSDB并且数据库中已存在所有预期的LSP,同时已确认可以产生反映当前IP路由表中路由的IS-IS路由时,这个阶段可以结束; 3、改变优先级,使得IS-IS取代原来的IGP,从而在前台运行; 4、网络运行正常后,把原来的IGP删除。
我们使用主备链路的方式连接远程网络,主链路上,跑动态路由协议;备用链路一般是拨号链路,费用昂贵,带宽小,按时长收费等,所以备用链路通常不运行动态路由协议,只是配置一条指向远端网络的静态路由。作为备份链路
[Huawei]ip route-static 0.0.0.0 0 12.0.0.2 preference 50
所有路由协议都可以下发缺省路由 OSPF可以配置多种下发方式 在ABR上下发 在ASBR上下发 强制下发 非强制下发 IS-IS没有命令实现类似OSPF的非强制下发功能,但是可以通过路由策略来实现 我总结的ospf下发默认路由的情况 1.stub区域---3类LSA的默认路由到ABR 2.nass区域---7类LSA的默认路由到ABR 3.当路由器上有默认路由时,非强制下发 [AR5-ospf-10]default-route-advertise 4.强制下发[AR5-ospf-10]default-route-advertise always NSSA区域ABR下放默认路由: 1.ABR配置了NSSA就会下放一条包含默认路由的7类LSA 2.ABR配置了nssa no-summary会同时下放一条包含默认路由的3类LSA和一条包含默认路由的7类LSA NSSA区域ASBR下放默认路由 1.ASBR配置nssa default-route-advertise。。。。。 2.totally NSSA 区域,ASBR是无法下放默认路由,即使ASBR有默认路由也不会下放 ospf下发缺省路由 区域类型 是否自动产生 产生者 是否需要存在缺省路由 LSA类型 范围 配置命令 普通区域 否 ASBR 是 5类 路由域 [Huawei-ospf-10]default-route-advertise 普通区域 否 ASBR 否 5类 路由域 [Huawei-ospf-10]default-route-advertise always stub 是 ABR 否 3类 stub 无需配置 完全stub 是 ABR 否 3类 stub 无需配置 NSSA 否 ABR 否 7类 NSSA [Huawei-ospf-10-area-0.0.0.20]nssa default-route-advertise NSSA 否 ASBR 是 7类 NSSA [Huawei-ospf-10-area-0.0.0.20]nssa default-route-advertise
路由操纵
路由操纵的主要目的: 1. 解决次优路径 2. 解决路由回馈和路由环路 3. 保证有冗余路径 涉及的工具: ACL prefix-list route-policy tag preference metricin/metricout //同思科的offset-list PBR import-route //正是因为大量的路由引入带来了以上的问题 traffic-filter //接口下 filter-policy //进程下
策略路由与路由策略(Routing Policy)存在以下不同: 操作对象的不同: 路由策略的操作对象是路由信息。路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。 操作依据的不同: 路由策略只能基于目的地址进行策略制定 策略路由可基于源地址、目的地址、协议类型、报文大小等进行策略制定 xxx的不同: 路由策略与路由协议结合使用。 策略路由需要手工逐跳配置,以保证报文按策略进行转发 常用工具的不同: 路由策略:route-policy、filter-policy等 策略路由:traffic-filter、traffic-policy、policy-based-route等 路由器存在两个表:路由表、转发表(fib),转发表是路由表映射过来的。 策略路由直接作用于转发表,路由策略直接作用于路由表。由于转发在底层,路由在高层,所以直接作用在转发表的转发优先级比查找路由表转发的优先级高。
路由策略
filter-policy路由过滤(同思科的distribute-list) 路由过滤的作用: 避免路由引入导致的次优路由 避免路由回馈导致的路由环路 进行精确的路由引入和路由通告控制 拒绝路由时在ACL或前缀列表中要用deny 路由过滤规则: 可以在出方向过滤路由:例如[r2-ospf-1]filter-policy ip-prefix 22 export 只能过滤路由信息,链路状态信息是不能被过滤的。对于OSPF,只能过滤3/5/7类路由 可以在入方向过滤路由:例如[r2-ospf-1]filter-policy ip-prefix 23 import 对于链路状态路由协议,仅仅是不把路由加入到路由表中 可以过滤从其他路由协议引入的路由: 只能在出方向过滤,可以在ASBR重分布时操作or在某节点使用filter-policy 在入方向过滤是没有意义的 可以使用filter-policy进行过滤,也可以使用ip-prefix进行过滤 filter-policy基本是动态路由协议视图下的配置 filter-policy只能过滤路由信息,无法过滤LSA,不能修改路由属性值。 filter-policy import命令用来按照过滤策略,设置对接收的路由进行过滤。 filter-policy export命令用来按照过滤策略,设置对引入的路由在向外发布时进行过滤。(生效的是同个路由协议内的,并不影响跨路由协议的传递)
ACL:可以用来过滤路由或数据包,可以应用于所有路由协议的路由条目的选择和控制 前缀列表:只能用来过滤路由,可以应用于所有路由协议的路由条目的选择和控制 as-path-filter:只能用于BGP,对as-path属性的路由进行过滤 community-filter:只能用于BGP,对团体属性的路由进行过滤 route-policy:是一个强大的过滤工具,但是它还是策略工具。 作为过滤工具,它可以用if-match语句来匹配路由和数据包,而且if-match语句还可以调用其它过滤工具。 作为策略工具,它可以使用apply语句来修改路由属性或者数据包的转发行为。
访问控制列表既可以用来匹配数据包也可以用来匹配路由信息。即同时匹配数据包和路由信息!!! 访问控制列表ACL按照用途可以分为三类: 2000-2999,基本的访问控制列表:可以匹配源IP地址 3000-3999,高级的访问控制列表:可以匹配源目IP地址、源目端口号、协议号等。 1000-1999,基于接口的访问控制列表:匹配接口 基本ACL只能匹配IP 高级ACL则是匹配协议号+(源目IP,源目端口)4选一;过滤的是具体某种协议的流量 ACL只能过滤过路流量,本地设备发起的流量不会被过滤。 ACL的匹配顺序有两种:配置顺序、自动排序。 自动排序:反掩码越小,排位越靠前 acl number 2000 rule 5 permit source 0.0.0.0 0 匹配默认路由 0—精确匹配,1—忽略
前缀列表用来过滤IP前缀,能同时匹配前缀号和前缀长度 前缀列表的性能比访问控制列表高 前缀列表不能用于数据包的过滤 前缀列表用来匹配前缀(网络号)和前缀长度(子网掩码)。 ACL做不到,因为ACL无法针对路由的子网掩码长度进行过滤 -------------------------------- ip ip-prefix AABB permit 10.10.0.0 16 greater-equal 24 less-equal 28 固定前缀的前16位必须以10.0开始,后面的ge、le是可选的 如果不加后面的ge、le则16代表两层含义: (1) 匹配前缀的bit位数 (2) 精确匹配掩码的长度位数 即同时控制前缀匹配的位数和掩码的位数 上例如果不加后面的ge、le,则为精确匹配16位掩码的路由,其他位数匹配不中 ----------------------------- ip ip-prefix 1 index 10 permit 0.0.0.0 0 //匹配默认路由 ip ip-prefix 1 index 10 permit 0.0.0.0 0 le 32 //匹配所有路由,相当于any ip ip-prefix 1 index 10 permit 0.0.0.0 0 ge 32 le 32 //匹配所有主机路由 匹配出所有的A类的主网路由: ip ip-prefix 1 index 10 permit 0.0.0.0 1 ge 8 le 8 //掩码位数只为8的 匹配出所有的A类的主网和子网路由: ip ip-prefix 1 index 10 permit 0.0.0.0 1 le 32 匹配出所有的B类的主网路由: ip ip-prefix 1 index 10 permit 128.0.0.0 2 ge 16 le 16 匹配出所有的C类的主网路由: ip ip-prefix 1 index 10 permit 192.0.0.0 3 ge 24 le 24 ip ip-prefix Pref1 index 10 permit 1.1.1.0 24 greater-equal 24 less-equal 24 ip ip-prefix Pref1 index 10 permit 1.1.1.0 24 这两条效果一样 没有设置less-equal,则默认less-equal 32 没有设置greater-equal,则默认最大为前面的掩码(前缀长度?)
Route-policy(同思科的route-map)是对acl/ip-prefix等工具的综合使用 Route-policy是强大的过滤工具和策略工具。它由一系列的if-match子句和Apply子句构成。 If-match子句可以用来匹配acl, ip-prefix, as-path-filter, community-filter, interface, ip, extcommunity-filter, cost, mpls-label, route type, tag等。Apply子句可以用来修改路由的属性。 If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 route-policy 路由策略就是控制路由的接收、发布、引入,设置特定路由的属性 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: •控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 •控制路由的引入 在一种路由协议引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 •设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 注意:在Route-Policy的If-match子句中只支持基本ACL。 ---------------------------------------------- route-policy QYT permit node 10 apply cost 50 #没有if-match,就是匹配所有 route-policy默认有条deny any ---------------------------------------------- route-policy应用一(修改特定路由的优先级) rip 1 version 2 network 12.0.0.0 preference route-policy A#修改特定路由的优先级 route-policy A permit node 10 if-match acl 2000 apply preference 200 acl 2000 rule 5 permit source 2.2.2.2 0 虽然route-policy中没有第二条node 20的语句,但22.22.22.22的路由仍然可以正常接收,优先级为默认的100 dis route-policy A // route-policy的名字可以tab出来 ------------------------------------------------ route-policy应用二(路由精确引入时) rip 1 version 2 network 12.0.0.0 import-route direct route-policy C#路由精确引入 route-policy C permit node 10 if-match acl 2000 acl 2000 rule 5 permit source 2.2.2.2 0 如果没有第二条node 20的语句,则其他直连路由无法引入进来 ------------------------------------------------ 路由器A在ospf进程中控制外部路由的发布 ospf 1 filter-policy ip-prefix a2b export static ip ip-prefix a2b index 10 permit 172.1.17.0 24 ip ip-prefix a2b index 20 permit 172.1.18.0 24 ip ip-prefix a2b index 30 permit 172.1.19.0 24 ------------------------------------------------ 路由器C在ospf进程中控制路由的接收 ospf 1 filter-policy ip-prefix in import ip ip-prefix in index 10 permit 172.1.18.0 24 ------------------------------------------------ 路由器在ospf进程中引入外部路由时,对外部路由增加开销or设置tag ospf 1 import-route isis 1 route-policy isis2ospf route-policy isis2ospf permit node 10 if-match ip-prefix prefix-a apply cost 100 # route-policy isis2ospf permit node 20 if-match acl 2002 apply tag 20 使用display route-policy [ route-policy-name ]命令查看路由策略的详细配置信息。
<Huawei>display route-policy #有时路由策略配置后,重启进程什么的无效,必须重新配置该路由策略??? [Huawei-ospf-10]preference 30 #修改ospf内部路由的路由优先级为30;默认为10 [Huawei-ospf-10]preference ase 50#修改ospf外部路由的路由优先级为50;默认为150 [Huawei-ospf-10]preference ase route-policy BBB#不设置优先级的话,默认150,查看配置可以看到150 当然,也可以在route-policy中搞很多事情。。。
策略路由
策略路由的三种: 1、本地策略路由仅对本机下发的报文进行处理,对转发的报文不起作用。 一条本地策略路由可以配置多个策略点,并且这些策略点具有不同的优先级,本机下发报文优先匹配优先级高的策略点。 2、接口策略路由:接口策略路由只对转发的报文起作用,对本地下发的报文(比如本地的Ping报文)不起作用 3、智能策略路由是基于业务需求的策略路由,通过匹配链路质量和网络业务对链路质量的需求,实现智能选路 路由器存在两种类型的表:一个是路由表(routing-table),另一个是转发表(forwarding-table),转发表是由路由表映射过来的,策略路由直接作用于转发表,路由策略直接作用于路由表。由于转发在底层,路由在高层,所以直接作用在转发表的转发优先级比查找路由表转发的优先级高。 路由策略是在路由发现的时候产生作用,并根据一些规则,使用某种策略来影响路由发布、接收或路由选择的参数,从而改变路由发现的结果,从而最终改变路由表内容;策略路由是在数据包转发的时候发生作用,不改变路由表中的任何内容,它可以通过设置的规则影响数据报文的转发。
配置本地策略路由的匹配规则 执行命令display ip policy-based-route,查看本地已使能的策略路由的策略。 •执行命令display ip policy-based-route setup local [ verbose ],查看本地策略路由的配置情况。 •执行命令display ip policy-based-route statistics local,查看本地策略路由报文的统计信息。 •执行命令display policy-based-route [ policy-name [ verbose ] ],查看已创建的策略内容。 执行命令policy-based-route policy-name { deny | permit } node node-id,创建策略路由和策略点,若策略点已创建则进入本地策略路由视图。 1.执行命令if-match acl acl-number,设置IP报文的ACL匹配条件。 2.执行如下命令,配置策略路由的动作。一个策略点中至少包含一条apply子句,也可以多条apply子句组合使用。 在系统视图,执行命令ip local policy-based-route policy-name,使能本地策略路由。 ------------------------------------------------------------------ 本地策略路由示例1: 用户希望实现本机下发的不同长度的报文通过不同的下一跳地址进行转发 采用如下思路配置本地策略路由: 1.在RouterA上配置IP报文长度匹配条件,以实现本机下发的不同长度的报文匹配不同的策略点。 2.在RouterA上配置本地策略路由的动作,以实现本机下发的不同长度的报文通过不同的下一跳地址进行转发。 3.使能本地策略路由。 policy-based-route lab1 permit node 10 if-match packet-length 64 1400 apply ip-address next-hop 192.168.1.2 policy-based-route lab1 permit node 20 if-match packet-length 1401 1500 apply ip-address next-hop 192.168.2.2 # ip local policy-based-route lab1 -------------------------------------------------------- 本地策略路由示例2 acl number 2001 rule 5 permit source 192.168.10.0 0.0.0.255 acl number 2002 rule 5 permit source 192.168.20.0 0.0.0.255 # policy-based-route PBR permit node 10 if-match acl 2001 apply ip-address next-hop 12.1.1.2 policy-based-route PBR permit node 20 if-match acl 2002 apply ip-address next-hop 13.1.1.3 ip local policy-based-route PBR
配置接口策略路由 1.配置流分类 b.执行命令traffic classifier classifier-name [ operator { and | or } ],创建一个流分类,进入流分类视图。 c.配置if-match 2.配置流行为 a.执行命令traffic behavior behavior-name,创建一个流行为并进入流行为视图,或进入已存在的流行为视图。 •执行命令redirect ....... 3.配置流策略 a.执行命令system-view,进入系统视图。 b.执行命令traffic policy policy-name,创建一个流策略并进入流策略视图,或进入已存在的流策略视图。 c.执行命令classifier classifier-name behavior behavior-name [ precedence precedence-value ],在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。 4.应用流策略 在接口视图下,执行命令traffic-policy policy-name inbound,在接口或子接口的入方向应用流策略。 目前,接口策略路由仅支持在接口的入方向上应用。 -------------------------- 示例1 详细配置见华为文档 ----------------------- 示例2 # acl number 2001 rule 5 permit source 192.168.10.0 0.0.0.255 acl number 2002 rule 5 permit source 192.168.20.0 0.0.0.255 traffic classifier C1 operator or if-match acl 2001 traffic classifier C2 operator or if-match acl 2002 # traffic behavior B1 redirect ip-nexthop 12.1.1.2 traffic behavior B2 redirect ip-nexthop 13.1.1.3 # traffic policy P classifier C1 behavior B1 classifier C2 behavior B2 interface GigabitEthernet0/0/2 ip address 192.168.10.254 255.255.255.0 traffic-policy P inbound [AR1]display traffic policy user-defined User Defined Traffic Policy Information: Policy: P Classifier: C1 Operator: OR Behavior: B1 Redirect: Redirect ip-nexthop 12.1.1.2 Classifier: C2 Operator: OR Behavior: B2 Redirect: Redirect ip-nexthop 13.1.1.3
traffic-redirect nexthop命令用来将报文重定向到单个下一跳IP地址的动作。 # 在全局入方向,将匹配ACL 3001的报文重定向到下一跳,下一跳地址为10.1.1.1。 <HUAWEI> system-view [~HUAWEI] traffic-redirect acl 3001 nexthop 10.1.1.1 global inbound -------------------------------------------------------------------------------------- # 在接口10GE1/0/1的入方向,将匹配ACL 3001的报文重定向到下一跳,下一跳地址为10.1.1.1。 <HUAWEI> system-view [~HUAWEI] interface 10ge 1/0/1 [~HUAWEI-10GE1/0/1] traffic-redirect acl 3001 nexthop 10.1.1.1 inbound
策略路由的应用举例
防火墙的安装方式有直通和旁挂2种
若是旁挂的方式,其实就是路由器把流量送到防火墙那里走一趟,进行过滤,
然后防火墙会把流量送回来
公网IP FRR
公网IP FRR适用于公网IP网络中对于丢包、时延非常敏感的业务。 ip frr route-policy ip_frr_rp#在RouterT上使能公网IP FRR功能 ip ip-prefix frr1 index 10 permit 172.17.1.0 24 route-policy ip_frr_rp permit node 10 if-match ip-prefix frrl apply backup-nexthop 192.168.20.2 #直接设置了备份路由。这样在主路由失效了之后,可以迅速切换,而不需要重新计算路由 apply backup-interface GigabitEthernet3/0/0 执行命令display ip routing-table [ verbose ],查看IPv4路由表信息。 #可以看到有备份路由的条目
其他
华三设备限速策略配置 <xxxxx-B-POP-S12508-01>dis cu | inc xiansu qos apply policy xiansu global inbound #配置qos-policy策略全局的入方向生效 <xxxxx-B-POP-S12508-01>dis cu configuration qospolicy qos policy xiansu classifier 10M behavior 10M ……………… classifier 500M behavior 500M <xxxxx-B-POP-S12508-01>dis cu conf classifier traffic classifier 500M operator and if-match acl 3520 <xxxxx-B-POP-S12508-01>dis cu conf behavior traffic behavior 500M car cir 512000 cbs 32000000 ebs 0 green pass red discard yellow pass <xxxxx-B-POP-S12508-01>dis cu configuration acl-ipv4-adv acl advanced 3520 description 500M rule 5 permit ip source 21.4.211.0 0.0.0.255 rule 10 permit ip source 21.4.210.128 0.0.0.127 rule 1005 permit ip destination 21.4.211.0 0.0.0.255 rule 1010 permit ip destination 21.4.210.128 0.0.0.127 ----------------------------------------------------------------------------------------------------------------------------- qos apply policy iptv-out global outbound #在全局配置路由策略,出方向 qos policy iptv-out classifier management-permit behavior permit classifier iptv-port-deny behavior deny classifier iptv_permit behavior permit classifier iptv_deny-2 behavior deny classifier iptv_deny-13 behavior deny …………………省略几十条…………… classifier iptv_deny-133 behavior deny classifier iptv_deny-1 behavior deny <xxxxx-B-POP-S12508-01>dis cu configuration classifier traffic classifier iptv_permit operator and if-match acl 3511 traffic classifier iptv_deny-2 operator and if-match acl 3512 if-match service-vlan-id 368 acl advanced 3511 description IPTV-SECURITY-OUT-1 rule 10 permit udp source-port eq bootps destination-port eq bootpc rule 20 permit ip source 218.108.213.0 0.0.0.255 destination 21.0.0.0 0.255.255.255 rule 30 permit ip source 218.108.226.0 0.0.1.255 destination 21.0.0.0 0.255.255.255 …………中间省略数百条………… rule 3720 permit ip source 101.89.125.232 0.0.0.7 destination 26.0.0.0 0.255.255.255 rule 3730 permit ip source 203.119.205.0 0.0.0.255 destination 26.0.0.0 0.255.255.255 rule 3740 permit ip source 203.119.169.0 0.0.0.255 destination 26.0.0.0 0.255.255.255 acl advanced 3512 rule 0 permit ip destination 21.0.0.0 0.255.255.255 rule 10 permit ip destination 22.0.0.0 0.255.255.255 rule 20 permit ip destination 10.0.0.0 0.255.255.255 rule 30 permit ip destination 26.0.0.0 0.255.255.255 POP未在ospf进程中配置任何策略
解决该次优路径的方法 1.在RB本地过滤从ISIS学习到的目标路由,缺点:这样就没了备份路由 isis 15 filter-policy 2001 import import-route rip 1 # acl number 2001 rule 5 deny source 2.2.2.2 0 rule 10 permit 2.修改该段路由的优先级,缺点:这下轮到RIP这边的路由引入有问题了。。。 若是针对明细路由进行修改的话,还行吧。。 isis 15 is-level level-2 network-entity 47.0134.4444.4444.4444.00 preference route-policy Pre_isis acl number 2001 rule 5 permit source 2.2.2.2 0 preference route-policy Pre_isis
双点双向环路的解决: 使用路由策略进行过滤,避免路由回馈 总结一下过滤的原则就是避免路由回馈;引入外部路由时,避免引入本区域原本就有的外部路由 具体思路(后期总结,未实践): 1.匹配tag进行解决会更加方便 2.在将rip引入到ospf中,将rip的路由打上tag 3.在将ospf引入到isis中,若有匹配到tag,则打上新tag ISIS注意改度量值方式,改为wide,才可以支持tag 4.在可能形成路由回馈的路由器上,根据新tag,进行路由过滤 R3 [AR3-ospf-10] dis cu con route [V200R003C00] # route-policy O2I deny node 10 if-match tag 241 # route-policy O2I permit node 20 apply tag 132 # route-policy I2O deny node 10 if-match tag 142 # route-policy I2O permit node 20 apply tag 231 # route-policy PRE permit node 10 if-match tag 200 apply preference 10 [AR3-ospf-10]dis cu con ospf [V200R003C00] # ospf 10 import-route isis 1 route-policy I2O preference ase route-policy PRE 150 area 0.0.0.0 network 13.1.1.3 0.0.0.0 # return [AR3-ospf-10]dis cu co isis [V200R003C00] # isis 1 is-level level-2 cost-style wide network-entity 47.0134.3333.3333.3333.00 import-route ospf 10 route-policy O2I R4 [AR4-ospf-10]dis cu con route [V200R003C00] # route-policy I2O deny node 10 if-match tag 132 # route-policy I2O permit node 20 apply tag 241 # route-policy O2I deny node 10 if-match tag 231 # route-policy O2I permit node 20 apply tag 142 # route-policy PRE permit node 10 if-match tag 200 apply preference 10 [AR4-ospf-10]dis cu con ospf [V200R003C00] # ospf 10 import-route isis 1 route-policy I2O preference ase route-policy PRE 150 area 0.0.0.0 network 14.1.1.4 0.0.0.0 # return [AR4-ospf-10]dis cu co isis [V200R003C00] # isis 1 cost-style wide network-entity 47.0134.4444.4444.4444.00 import-route ospf 10 route-policy O2I #