* 1.路由策略:通过控制路由的接收/发布/路由优选进而实现对流量可达性以及流量路径的控制
2.策略路由:直接对流量进行可达性以及流量路径的控制
Filter-Policy工具(过滤策略):过滤路由表里的路由条目,不能过滤路由属性
Route-Policy工具(路由策略):修改路由属性
Traffic-Filter工具(流量过滤)
traffic-policy(流量策略)
1.控制网络流量可达性:
方式: 1.路由策略:可通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性
2.流量过滤:可使用Traffic-Filter工具对数据进行过滤
1.路由策略:可通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性
控制路由的发布:只发布满足条件的路由信息。
控制路由的接收:只接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。
过滤和控制引入的路由:一种路由协议在引入其它路由协议时,只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置,以使其满足本协议的要求。
设置特定路由的属性:为通过路由策略过滤的路由设置相应的属性
路由策略工具:
1.利用Filter-Policy工具(过滤策略),通过引用ACL或地址前缀列表,对接收或发布的路由进行过滤,可应用于ISIS、OSPF、BGP等协议
首先使用ACL或IP-Prefix List工具来匹配目标流量(定义规则)
然后在协议视图下,利用Filter-Policy向目标流量发布策略(应用规则)
作用:用于控制路由的接收和发布
部署位置:协议视图下部署
命令格式:Filter-Policy + ACL/IP-prefix + export(出方向执行过滤策略)/import(入方向执行过滤策略)
注意事项:针对链路状态路由协议,Filter-Policy在进行路由过滤时只能在入方--》是因为链路状态路由协议发布的是链路状态信息,而并非路由,因此无法在出方向进行过滤;而Filter-Policy也无法在入方向过滤链路状态信息,但可以阻止链路状态信息计算出的路由加入到路由表中,所以能达到过滤的效果(BGP为距离矢量路由协议,可以在出/入配置)
2.利用Route-Policy工具(路由策略),在引入路由时对路由进行过滤
首先使用ACL或IP-Prefix List工具来匹配目标流量(定义规则)
然后在协议视图下,利用Route-Policy对引入的路由条目进行控制(应用规则)
作用:1.控制路由的接收和发布(主要应用于BGP环境中,因为BGP属性多)
2.可以控制路由的引入
3.控制路由的属性--间接实现控制选路(如修改属性,起源属性,cost,下一跳,优先级)
部署位置:协议视图下部署
命令格式:Filter-Policy + route-policy + 策略名字 + permit/deny + node + node-id(节点号)
子语句:if-match 如果匹配……
apply 则修改……
route-policy + 策略名字 + permit/deny + node + node-id(节点号)+ if-match {acl/cost/interface/ip next-hop/ip-prefix} apply {cost/ip-address next-hop/tag}
注意:1.一个route-policy有若干个node组成,node之间是“或”的关系,进行匹配时,按序号从小到大匹配,如未能匹配,可以查后续的node
2.一个node有若干个if-match和apply子语句组成,若存在多个if-match,if-match之间是“与”的关系,只要路由同时要满足多个if-match子语句,才能被该node所匹配;
若是存在多个apply,则是修改多个属性
若是不存在if-match,则表示匹配所有
3.若一条路由未被route-policy中任何一个node所命中,则拒绝该路由(默认存在一个拒绝所有的node),所有需要打开permit
4.ACL/ip-prefix的动作和node中的结果的动作关系:
ACL/ip-prefix node 最终结果
permit permit permit
permit deny deny
deny permit deny
deny deny 无效
技巧:若写的是deny语句,则不用写apply语句
路由选择工具:筛选出需要执行路由策略的路由
1.访问控制列表(ACL)(Access Control List):
定义:是由permit或deny语句组成的一系列有顺序规则的集合,它通过匹配报文的信息实现对报文的分类
作用:匹配路由或者流量,主要用于匹配流量,通过基本ACL实现匹配路由的作用,过滤数据包
命令格式:ACL+ 编号(2000-2999)
rule+ 编号+permit/deny+source+路由网络号+通配符掩码
使用方式: rule 1 deny source 0.0.0.0 0.0.0.0 拒绝所有路由(默认存在)
permit 允许所有
permit source 192.168.2.X 0.0.0.0 允许192.168.2.0网段
permit source 192.168.2.0 0.0.0.0 允许192.168.2.0
问题:ACL可以灵活地匹配IP地址的前缀,但无法匹配掩码长度;遇到同一个前缀,不同前缀的掩码长度时ACL就不适用
基本ACL:主要基于源地址、分片标记和时间段信息对数据包进行分类定义,编号范围为2000-2999。
高级ACL:可以基于源地址、目的地址、源端口号、目的端口号、协议类型、优先级、时间段等信息对数据包进行更为细致的分类定义,编号范围为3000-3999。
二层ACL:主要基于源MAC地址、目的MAC地址和报文类型等信息对数据包进行分类定义,编号范围为4000-4999。
用户自定义ACL:主要根据用户自定义的规则对数据报文做出相应的处理,编号范围为5000-5999。
2.地址前缀列表(IP-Prefix List):
作用:匹配路由,能够同时匹配IP地址前缀及掩码长度;不能用于IP报文的过滤,只能用于路由信息的过滤。
命令格式:IP+IP-Prefix+name+index+index-id+permit/deny+路由前缀+地址范围+前缀长度(greater-equal X 大于/ less-equal X 小于)
使用方法:IP IP-Prefix 1 index 10 permit 192.168.1.0 24 允许前缀为192.168.1.0,前缀长度为24的路由
IP IP-Prefix 1 index 20 deny 192.168.2.0 24 拒绝前缀为192.168.2.0,前缀长度为24的路由
IP IP-Prefix 1 index 30 deny 10.0.0.0 8 less-equal 32 拒绝前缀为10.X.X.X,前缀长度为8-32的路由
IP IP-Prefix 1 index 40 permit 20.0.0.0 16 less-equal 20 允许前缀为20.0.X.X,前缀长度为20-32的路由
IP IP-Prefix 1 index 50 permit/deny 0.0.0.0 less-equal 32 允许/拒绝所有
前缀过滤列表由IP地址和掩码组成,IP地址可以是网段地址或者主机地址,掩码长度的配置范围为0~32。
每一条IP-Prefix都有一个序列号index,匹配的时候将根据序列号从小到大进行匹配。
不配置index,那么对应的index在上次配置的index的基础上,以步长为10进行增长。
如果配置的index和已经配置了的一项index相同,而匹配的内容不同,则该IP-Prefix 将覆盖原有的IP-Prefix
当所有前缀过滤列表均未匹配时,缺省情况下,存在最后一条默认匹配模式为deny。当引用的前缀过滤列表不存在时,则默认匹配模式为permit。
3.AS路径过滤器;
4.团体属性过滤器;
5.扩展团体属性过滤器;
6.路由标识属性过滤器
2.流量过滤:可使用Traffic-Filter工具对数据进行过滤
作用:控制流量的可达性
命令格式:interface + 接口
traffic-filter + outbound/inbound + ACL
策略路由:先做匹配路由:ACL
工具:1.traffic-filter(流量过滤)
作用:控制流量的可达性
命令格式:interface + 接口
traffic-filter + outbound/inbound + ACL
2.traffic-policy(流量策略)
作用:控制流量可达性
控制流量的路径
命令格式:traffic classifier + 名称 /流分类
if-match + 匹配条件
traffic behavior + 名称 /流动作
permit/deny
redirect IP-next-hop + 下一跳 /修改流量路径
traffic-policy + 名称 /流策略
classifier + 名称 + behavior + 名称 /将流分类和流动作进行关联
interface + 接口
traffic-policy + 名称 + outbound/inbound
2.调整网络流量路径
方式: 1.路由策略:修改协议属性来控制路由表条目,从而调整流量路径
若运行OSPF或ISIS协议,可通过调整接口Cost属性值来实现;
若运行RIP协议,可通过调整Metric或下一跳属性来实现;
若运行BGP协议,则可通过调整AS-Path、Local_Pref、MED、Community等属性来实现
路由策略的缺陷:只能依据数据包的目的地址做转发策略
2.策略路由:在查找路由表之前控制流量行为
不仅能够根据报文的目的地址来制定策略,而且还能够根据报文的源地址、报文大小和链路质量等属性来制定策略路由,以改变数据包转发路径,满足用户需求
工具:1.traffic-filter(流量过滤)
作用:控制流量的可达性
命令格式:interface + 接口
traffic-filter + outbound/inbound + ACL
2.traffic-policy(流量策略)
作用:控制流量可达性
控制流量的路径
命令格式:traffic classifier + 名称 /流分类
if-match + 匹配条件
traffic behavior + 名称 /流动作
permit/deny
redirect IP-next-hop + 下一跳 /修改流量路径
traffic-policy + 名称 /流策略
classifier + 名称 + behavior + 名称 /将流分类和流动作进行关联
interface + 接口
traffic-policy + 名称 + outbound/inbound
多协议复杂场景带来的其他问题(路由引入)
1. 次优路由:
利用路由过滤避免次优路由
调整协议优先级避免次优路由
2.路由环路:
利用路由过滤避免路由环路
调整协议优先级避免路由环路