控制网络流量可达
- 路由策略:通过修改路由条目(对接受和发布的路由进行过滤)来控制流量可达性
- 流量过滤:使用Traffic-Filter工具对数据进行过滤
路由策略
- 利用Filter-Policy工具对OSPF引入的路由和写入路由表的路由进行过滤
- 使用ACL或IP-Prefix List工具来匹配目标流量
- 在协议视图下,利用Filter-Policy向目标流量发布策略
- 利用Route-Policy工具,在引入直连路由时对路由进行过滤
- 使用ACL或IP-Prefix List工具来匹配目标流量
- 在协议视图下,利用Route-Policy对引入的路由条目进行控制
ACL
- 只能匹配IP地址,不能匹配掩码长度
IP-Prefix List
- 能够同时匹配IP地址前缀和掩码长度
- 不能用于IP报文的过滤,只能用于路由信息的过滤
- 用法:
ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28- 允许通过的地址为:10.0.x.x
- 掩码长度为:24<=掩码长度<=28
- ACL既可以做流量过滤也可以做路由过滤,IP-Prefix List只能做路由过滤,不能做流量过滤
ip ip-prefix test index 10 permit 1.1.1.0 24
- 24即可以表示前三位必须精确匹配
- 24标识掩码长度必须为24位
ip ip-prefix test index 10 permit 1.1.1.0 24 less-equal 30
* 掩码长度为24-30位
ip ip-prefix test index 10 permit 1.1.1.0 24 greater-equal 25
- 掩码长度为25-32位
Filter-Policy工具介绍
- 能够对接受或发布的路由进行过滤,可应用与ISIS、OSPF、BGP等协议
- 对协议接受的路由进行过滤:
filter-policy {acl-number | ip-prefix ip-prefix-name} import - 对协议发布的路由进行过滤:
filter-policy {acl-number | ip-prefix ip-prefix-name} export
- 对协议接受的路由进行过滤:
Route-policy工具介绍
- 可以配合ACL、IP-Prefix List、AS-Path-Filter等工具还用
- Route-Policy由若干个node组成,node之间是"或"的关系。每个node下可以有若干个if-mach和apply子句,if-match之间是"与"的关系
Route-Policy:
route-policy route-policy-name {permit|deny} node node
if-match {acl/cost/interface/ip next-hop/ip-prefix}
apply {cost/ip-address next-hop/tag}
- AS-Path-Filter是BGP中特有的工具
f-match、apply如果匹配就加上一个动作- 不同的node之间,只需要满足一个就可以,if-match必须是都要满足
例:
# 名字为bad,动作是允许,节点号是1。如果匹配到ACL 2000,cost就加10
[AR1]route-policy bad permit node 1
Info: New Sequence of this List.
[AR1-route-policy]if-match acl 2000
[AR1-route-policy]apply cost 10
流量过滤
- 基于定义策略实现:使用Traffic-Filter工具对数据进行过滤
# 设置ACL
[AR1]acl 3000
[AR1-acl-adv-3000]rule deny ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
[AR1-acl-adv-3000]rule deny ip source 12.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
[AR1-acl-adv-3000]rule permit ip source any
[AR1-acl-adv-3000]q
# 接口入方向调用
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
调整网络流量路径
路由策略
- 修改cost值,实现负载
策略路由
- 采用Traffic-Policy工具
- 使用ACL工具匹配目标流量
- 对目标流量定义行为
acl 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control1 //相当于Route-Policy中的if-match
if-match acl 3000 //匹配ACL 3000
traffic behavior huawei-control1 //相当于Route-Policy中的Apply
redirect ip-nexthop 12.1.1.2 //重新修改下一跳
traffic policy huawei-control1 //将classifier和behavior结合使用
classifier huawei-control1 behavior huawei-control1
int g0/0/2 //在接口入方向调用
traffic-policy huawei-control1 inbound
Route-Policy影响的是路由的有无,策略路由影响的是允不允许流量通过或流量选择的路径
| 路由策略 | 策略路由 |
|---|---|
| 基于控制平面,会影响路由表表项 | 基于转发平面不会影响路由表表项,且设备收到报文后,会先查找策略路由进行匹配转发,若匹配失败,则再查找路由表进行转发 |
| 只能基于目的地址进行策略制定 | 可基于源地址、目的地址、协议类型、报文大小等进行策略制定 |
| 与路由协议结合使用 | 需手工逐跳配置,以保证报文按策略进行转发 |
| 常用工具:Rout-Policy、Filter-Policy等 | 常用工具:Traffic-Filter、Traffic-Policy、Policy-Based-Route等 |
以上内容均属原创,如有不详或错误,敬请指出。
本文链接:
https://blog.csdn.net/qq_45668124/article/details/106627507
版权声明:
本博客所有文章除特别声明外,均采用
CC BY-NC-SA 4.0
许可协议。转载请注明出处!