【理论-Cisco】策略路由PBR

文章目录

  • 一、策略路由重要的三大工具
    • 1.1 访问控制列表ACL
      • 1.1.1 标准ACL
      • 1.1.2 扩展ACL
      • 1.1.3 命名ACL
    • 1.2 前缀列表
    • 1.3 路由图-route-map
  • 二、策略路由与路由策略
    • 2.1 PBR(policy based routing)
    • 2.2 策略路由和路由策略的区别
    • 2.3 数据转发过程
    • 2.4 路由控制更新方法:
  • 三、常见ACL调用的端口号:


一、策略路由重要的三大工具

  • 访问控制列表ACL
  • 前缀列表
  • 路由图route-map

1.1 访问控制列表ACL


ACL特性:

  • 对数据包进行过滤

  • 需要在接口调用ACL:如果在vty线路下——针对telnet远程登陆

  • 一组按顺序排放的过滤器,从上到下按顺序执行匹配条目,一旦匹配跳出过滤器

  • 过滤动作:允许或者拒绝

  • 匹配标准:源IP、目的IP、端口号(更精确)、协议类型(也可以不写)

  • 路由器不能过滤自己产生的流量

  • 标准ACL和扩展ACL删除时,不能删除单独一个条目,要先进入表,否则删除整张列表

  • 每个过滤器前都有一个序列号

  • 把具有严格限制条件的语句放在最前面

  • 隐式拒绝器,最后一台过滤器为deny any

  • 正确的访问控制列表都至少应该有一条permit语句并且写在deny语句前面
    举个栗子:
    1.戴眼镜男生————deny
    2.男生————permit(匹配不到)
    正确做法:
    1.男生————允许(匹配到)
    2.戴眼镜男生——拒绝(匹配到)
    至少要有一条允许(否则全部拒绝,没意义)

  • 标准ACL离目的近的地方调用(只能匹配到源不能匹配到目的,否则会过滤掉其他包)

  • 扩展ACL离源近的地方调用(有严格的匹配条件,只有源和目的都符合的条件下才会匹配到,减少流量的浪费)
    注意:如果反过来,则会出现的情况——假如目的是为了只拒绝最后一台,则过程中所经过的路由器会全部拒绝。


1.1.1 标准ACL

  • 基于源IP 地址匹配,定位数据包
  • 只能基于源IP地址,不能检查上层协议
  • 匹配动作:permit或者deny
  • 编号: 1-99,1300-1999

1.1.2 扩展ACL

  • 基于源IP、目的IP、端口号、协议等定位数据包
  • 可以匹配特定的数据流包
  • 匹配动作:permit或者deny
  • 编号:100-199,2000-2699

1.1.3 命名ACL

  • 可以用英文字符命名列表
  • 既可以实现标准ACL也可以实现扩展ACL的功能
  • In方向调用:先查找ACL标准访问列表
  • Out方向调用:先查看路由条目
  • Permit ip any any,允许所有IP协议

1.2 前缀列表


  • 用来匹配前缀(网段)和前缀长度(子网掩码)

  • ge:大于等于;范围:ge-value-32
  • le:小于等于;范围:len-LE-value
  • len(掩码)

举个栗子:

  • ip prefix-list X permit 1.2.3.0/24——允许前缀1.2.3.0/24
  • ip prefix-list X permit 172.0.0.0/8 ge 16 le 24——允许前缀172.0.0.0/8、子网掩码为16-24
  • ip prefix-list X permit 192.168.16.0/22 ge 24 le 24——允许前缀192.18.16.0/22、子网掩码为24
  • ip prefix-list X permit 0.0.0.0/0 le 32 ——允许全部的条目
  • ip prefix-list X permit 0.0.0.0/0 ge 1 ——过滤除了默认路由的所有条目

1.3 路由图-route-map


  • 既可以匹配感兴趣流,又可以修改感兴趣流某些特定的属性,本身是工具,但是可以调用其他工具(ACL、前缀列表)

  • 路由图特性
    末尾隐含deny
    Match没写——就是match any
    Set没写——就是set nothing
    Or的关系:match ip add 1 2 3
    And的关系:
    match ip add 1
    match interface f0/0

  • Route-map 创建
    route-map X permit/deny 10————X:名字、10序列号,按顺序匹配
    match x1————x1:匹配条件
    set y1————y1:设置动作
    route-map X permit/deny————20序列号,按顺序匹配
    match x1
    set y1

  • 定义匹配条件与set 动作
    match ip address + 列表:ACL或者前缀列表
    match interface +f0/0:匹配某个接口
    match ip next-hop +下跳IP地址
    match metric +匹配具有指定度量值的路由
    set metric:设置metric值
    set ip next-hop:指定下一跳地址

二、策略路由与路由策略

2.1 PBR(policy based routing)

  • 策咯路由:基于数据流的策略。通过策略来决定数据流方向
  • 路由策略:通过路由信息决定数据流方向

2.2 策略路由和路由策略的区别

路由策略 策略路由
基于控制平面,会影响路由表表项。 基于转发平面,不会影响路由表表项,且设备收到报文后,会先查找策略路由进行匹配转发,若匹配失败,则再查找路由表进行转发。
只能基于目的地址进行策略制定。 可基于源地址、目的地址、协议类型、报文大小等进行策略制定。
与路由协议结合使用。 需手工逐跳配置,以保证报文按策略进行转发。
常用工具:Route-Policy、Filter-Policy等。 常用工具:Traffic-Filter、Traffic-Policy(转发)、Policy-Based-Route(本地)等。
  • 路由器存在两种类型的表:一个是路由表(routing-table),另一个是转发表(forwarding-table),转发表是由路由表映射过来的,策略路由直接作用于转发表,路由策略直接作用于路由表。由于转发在底层,路由在高层,所以直接作用在转发表的转发优先级比查找路由表转发的优先级高。
  • 路由策略是在路由发现的时候产生作用,并根据一些规则,使用某种策略来影响路由发布、接收或路由选择的参数,从而改变路由发现的结果,从而最终改变路由表内容;策略路由是在数据包转发的时候发生作用,不改变路由表中的任何内容,它可以通过设置的规则影响数据报文的转发。

2.3 数据转发过程

  • 接口收到一个数据包
    先判断接口是否应用策略路由
    ———没有,根据路由表进行转发
    ———有,match 语句是否匹配
    —————不匹配,根据路由表进行转发
    —————匹配,是否permit
    ———————否,根据路由表进行转发
    ———————是,执行策略动作set

  • 路由管理距离AD:
    直连=0
    静态=1
    Ebgp=20
    Ospf=110
    RIP=120
    EIGRP=170
    IBGP=200

2.4 路由控制更新方法:

  1. 汇总
  2. 被动接口:不发送更新,接收更新。单播更新=被动接口+单播指邻居。OSPF被动接口为禁止建立邻居关系
  3. 重分发:(环境中至少有一台路由器知道两种协议的条目:ASBR)
    为了使多种路由协议协同工作。把直连或者静态路由条目重分发进RIP默认metric值为1,可在命令后加上metric值进行修改。静态路由课改,默认路由不能改。把其他协议的条目重复分发进RIP默认metric是为无穷大。因此,Ospf重分发进RIP需要带上metric值,否则无法学到路由。
    重分发进OSPF,直连或者静态路由重分发进OSPF默认只重分发主类条目,要把明细条目重分发进OSPF,要加上subnets参数。重复分发进ospf的条目(外部条目OE2不累加)默认为20。
    要把条目重分发进哪个协议,就在哪个协议下做重分发
  4. 分发列表:控制路由条目的更新(过滤路由信息,不过滤LSA),可调用访问控制列表或者前缀列表。RIP可在in和out方向调用,OSPF只能在in方向调用。
  5. 修改管理距离
  6. 偏移列表:入站和出站是可以增大路由的度量值,只能在距离矢量路由协议中使用

三、常见ACL调用的端口号:

端口号 关键字 描述 TCP/UDP
20 FTP-DATA 文件传输协议(数据端) TCP
21 FTP 文件传输协议(控制端) TCP
23 telnet 终端连接 TCP
25 snmp 简单邮件传输协议 TCP
42 nameserver 主机名字服务器 UDP
53 domain 域名服务器(DNS) TCP/UDP
69 TFTP 普通文件传输协议(TFTP) UDP
80 http 万维网 TCP

思考:

  • IP-Prefix List可以用来过滤IP报文吗?
    IP-Prefix List可以用来过滤路由信息,但不能过滤IP报文。
  • 常用调整网络流量路径的方式都包括哪些?
    常用调整网络流量路径的方式包括:路由策略和策略路由方式。
  • 路由引入可能会带来哪些问题?常用的解决办法包括哪些?
    路由引入可能会带来次优路径、路由环路等问题,常采用路由过滤、调整协议优先级方式来解决。

你可能感兴趣的:(网络攻城狮,交换机,网络,网络协议)