一、防火墙路由基本原理

1.路由分类

2.路由优先级

3.路由查询先后顺序

4.静态路由基本原理

（1）指定出接口场景

（2）指定下一跳地址场景

5.静态路由与多出口

（1）主备备份

（2）均衡式负载分担

（3）溢出式负载分担

二、逐流与逐包报文分担方式

三、OSPF链路状态路由协议

1.基本原理

2.OSPF的优点

3.网络类型

4.各网络类型拓扑

5.OSPF认证

（1）两种验证方式

（2）支持的验证模式按加密算法不同分为

四、BGP路由协议

1.介绍

2.特点

3.自治系统（Autonomous System）

4.BGP的运行方式

5.BGP的报文类型

6.BGP状态机

7.BGP通告原则

8.BGP路径属性

9常见BGP路由属性

五、策略路由

1.原理

2.策略路由支持的匹配过程

（1）匹配条件

（2）匹配后的动作

3.智能选路基本原理

4.ISP选路基本原理

五、命令配置

1.配置多出口：主备模式

2.配置多出口：均衡负载分担

3.配置多出口：溢出式负载分担

4.配置OSPF基本功能

（1）配置route id

（2）配置区域及宣告网络

（3）配置接口类型及开销

（4）通告默认路由，强制通告默认路由

（5）配置安全策略

5.配置OSPF高级功能

（1）配置vlink-peer

（2）配置ABR汇总

（3）配置ASBR汇总

（4）配置认证

6.配置BGP基本功能

（1）配置IBGP对等体

（2）配置EBGP对待体，配置认证

（3）宣告路由引入路由

7.配置BGP高级功能

（1）配置BGP反射器

（2）配置BGP路由过滤

（3）配置BGP属性

8.配置策略路由

（1）配置IPlink

（2）配置策略路由

9.配置ISP选路

一、防火墙路由基本原理

1.路由分类

（1）策略路由、智能选路

（2）静态路由、静态路由多出口

（3）动态路由

按作用范围分

IGP路由：RIP,OSPF,ISIS

EGP路由：BGP

按使用算法分

链路状态协议：OSPF,ISIS

距离矢量协议：RIP,BGP

2.路由优先级

协议	优先级
DIRECT	0
OSPF	10
IS-IS	15
STATIC	60
RIP	100
OSPF ASE	150
OSPF NSSA	150
IBGP	255
EBGP	255
UNKNOWN	255

3.路由查询先后顺序

NGFW进行流量转发时，查询路由的先后顺序是策略路由、明细路由、缺省路由。其中，明细路由是子常用的，包括动态动态路由和静态路由

4.静态路由基本原理

配置静态路由可以在路由选择中国实施非常精确的控制，但是当网络发生变化或者故障时需要手工配置

静态路由可以指定出接口或指定下一跳地址

（1）指定出接口场景

PPP，PPPoE

（2）指定下一跳地址场景

NBMA接口，以太网接口，Virtual-template

5.静态路由与多出口

多出口指的是USG通过多个接口连接到internat或其他网络，多个接口之间形成主备备份或负载分担关系，从而提高了业务可靠性

多出口功能生效的前提是USG上存在多条等价路由

多出口支持的模式：主备模式、负载分担模式：均衡式（缺省模式）、溢出式

（1）主备备份

在主备备份方式下，主接口正常工作时，所有流量都通过主接口传输。只有当主接口故障时，流量才暂时由从接口传输以避免业务中断。一旦主接口恢复正常，设备就将流量重新交由主接口传输。

USG放在智能选路中来实现

（2）均衡式负载分担

在均衡式负载分担方式下，所有接口同时承担流量，USG最多支持8个接口进行负载分担

按百分比负载

按分担方式负载

（3）溢出式负载分担

在溢出式负载分担方式下，正常情况下主接口传输流量，只有当主接口流量超过一定阈值时，才启用从接口共同承担流量。

USG已经不支持，AR路由器仍支持

二、逐流与逐包报文分担方式

根据同一条数据流的多个报文是否由同一个接口转发，负载分担的报文分担方式又分为逐流转发与逐包转发两种

逐包转发可能会导致报文来回路径不一致，这回对依赖于状态检测的特性或者场景的正常使用有影响（比如NAT）

当需要保证报文来回路径一致的情况下请不要选择逐包负载分担方式

负载分担方式	报文分担方式
均衡式负载分担（按百分比）	逐包转发和逐流转发都支持，缺省使用逐流转发
均衡式负载分担（按分担方式负载分担）	逐流转发
溢出式负载分担	逐包转发

三、OSPF链路状态路由协议

1.基本原理

OSPF(Open Shortest Path First)是IETF组织开发的一个基于链路状态的内部网关协议。目前针对IPv4协议使用的是 OSPF Version 2(RFC2328)。OSPF是不属于任何一个厂商或组织私有的路由协议，使用Dijkstra的最短路径(SPF) 算法计算路由。

2.OSPF的优点

适应范围广、快速收敛、无自环

区域划分、路由分级、等价路由

支持验证、组播发送

3.网络类型

支持广播，NBMA（非广播多路访问），P2MP（点到多点），P2P（点到点）四种网络类型

类型	缺省支持链路	组播发送报文	单播发送的报文
广播	以太网	Hello,LSU,LSAck	DD,LSR
NBMA	帧中继	无	Hello,LSU,LSAck,DD,LSR
P2MP	无	Hello	LSU,LSAck,DD,LSR
P2P	PPP,HDLC,LAPB	Hello,LSU,LSAck,DD,LSR	无

4.各网络类型拓扑

5.OSPF认证

OSPF支持报文验证功能，只有通过验证的OSPF报文才能接受，否则将不能正常建立邻居

（1）两种验证方式

区域验证方式，接口验证方式

（2）支持的验证模式按加密算法不同分为

Null，Simple，MD5，HMAC-MD5

当两种验证方式都存在时，优先使用接口验证方式

四、BGP路由协议

1.介绍

BPG是一种自治系统AS之间的动态路由协议

2.特点

EGP协议：在AS之间进行路由选择和控制

可靠性高：使用TCP作为传输层协议，侦听端口号为179

支持CIDR，增量更新

路径矢量，避免环路

提供防止路由震荡机制

3.自治系统（Autonomous System）

自治系统是由一个技术管理机构、使用统一选录策略的一些路由器的集合

自治系统内部的路由协议——IGP

自治系统之间的路由协议——EGP

4.BGP的运行方式

IBGP和EBGP

5.BGP的报文类型

报文类型	功能
Open	负责和对等体建立邻居关系
KeepAlive	该消息在对等体之间周期性地发送，用以维护连接
Update	被用作在BGP对等体之间传递路由信息
Notification	当BGP Speaker检测到错误的时候，就发送该消息给对等体
Route-refresh	Route-refresh报文用来通知对等体自己支持路由刷新能力，并触发对方重新发送其路由信息

6.BGP状态机

7.BGP通告原则

（1）存在多条有效路由时，BGP Speaker只将最优路由发布给对等体

（2）BGP Speaker只把自己使用的路由发布给对等体

（3）BGP Speaker从EBGP获得的路由会向它所有BGP对等体发布（包括EBGP对等体和IBGP对等体）

（4）BGP Speaker从IBGP获得的路由不向它的IBGP对等体发布

（5）BGP Speaker从IBGP获得路由发布给它的EBGP对等体

（6）连接一旦建立，BGP Speaker将把自己所有BGP路由发布给新对等体

8.BGP路径属性

BGP路径属性是一组描述BGP前缀特性的参数

BGP路径属性可以被分为四大类:

公认必遵(Well-known mandatory)

公认任意(Wel-known discretionary)

可选过渡(Optional transitive)

可选非过渡(Optional non-transitive)

9常见BGP路由属性

1、Origin

2、AS_PATH

3. Next hop

4、MED

5、Local-Preference

6、Atomic_Aggregate

7、Aggregator

8、Community

9、Originator_ID

10、Cluster-List

11、MP_Reach_NLRI

12、MP_Unreach_NLRI

13、Extended_Communities