zoukankan      html  css  js  c++  java
  • 策略路由,路由策略

    前言:在企业网络中,常面临非法流量访问及流量路径不优的问题,为了保护数据访问的安全性、提高链路带宽的利用率,需要对网络中的流量行为控制,如控制网络流量可达性,调整网络流量路径。

    如何控制流量可达性?

      方案一:对接收和发布的路由进行过滤来控制可达性,路由策略

      方案二:使用Traffic-filter工具对数据进行过滤,流量过滤

     什么是路由策略?

      通过一系列的工具或者方式对路由进行各种控制的策略,这个策略可以影响路由的产生,发布和选择等,进而影响报文的转发路径

      在ip网络中,路由策略的用途主要有两个方面:对路由信息过滤和修改路由属性。

    如图,如果使用流量过滤,使市场部的流量不能访问财务部。会有极大的局限性,若是在RTA上做traffic-filter,流量会经过RTC RTB再在RTA上被过滤极大的浪费链路带宽。若在RTC入口做traffic-filter,可能RTC不是由你进行管理的。而且流量过滤针对每一个报文进行过滤,极大的浪费设备性能,所以建议使用路由策略来进行对流量的可达性进行控制。

     路由策略使用的工具:

      条件工具:把路由匹配出来  ,acl  ip-prefix

      策略工具:匹配抓取的路由,执行各种各样的策略。router-policy

      调用工具:把策略应用到某个具体的协议中。  filter-policy import-route

     配置思路:配置filter-policy不让192.168.1.0路由发出给到AR1

    [AR2-rip-1]filter-policy 2000 export       -----对所有接口发出的路由做过滤

    [AR2-rip-1]ACL 2000

    [AR2-acl-basic-2000]rule PER S 192.168.2.0 0

       filter-policy 2000 export static  import-route static  对引入的静态路由实现过滤,本地不存在LSDB

     当过滤本地接口的路由时

      filter-policy 2000 export  针对链路状态路由协议无效,链路状态路由协议发送的是LSA

      filter-policy 2000 import  针对链路状态协议有效,不过是在加表实现过滤,本地LSDB中依旧有此链路状态

    ACL的局限性?ACL只能抓取路由的前缀,不关心掩码信息,如果两条路由拥有相同的前缀,ACL无法分别抓取

    前缀列表的优势?相比ACL来说既能匹配前缀也能抓取掩码,前缀列表不能用于流量过滤。

    [AR1]ip ip-prefix test index 10 permit 192.168.1.0 24   ///匹配单条路由

    [AR1]ip ip-prefix test index 10 permit 192.168.1.0 24 ge 25   // 代表前24bit固定,掩码在25-32之间

    [AR1]ip ip-prefix test index 10 permit 192.168.1.0 24 ge 25 le 28   //前24bit固定,掩码在25-28之间

    [AR1]ip ip-prefix test index 10 permit 0.0.0.0 le 32   //匹配所有路由

    [AR1]ip ip-prefix test index 10 permit 0.0.0.0 0     //匹配默认路由

    [AR1]ip ip-prefix test index 10 permit 0.0.0.0 ge 32  //匹配所有主机路由

    前缀列表和 ACL的区别?

      ACL既能基于数据报文进行过滤也能基于路由条目过滤    。  前缀列表只能基于路由条目过滤

      ACL用于路由过滤的时候只能抓取路由前缀    前缀列表能匹配路由前缀也能匹配掩码信息

    router-policy:不仅能匹配路由条目,并且可以对路由条目的某些属性就进行修改

     应用点:1.路由引入时,通过route-policy可以实现路由的过滤和属性的修改

         2.可以作为filter-policy的匹配条件

         3.BGP中实施路由策略的工具

     组成:1.名字:用于标识唯一的route-policy

        2.匹配模式:permit 和deny

        3.节点号:类似acl中的rule。一个route-policy有多个节点组成,按照节点号从小到大匹配。唯一匹配

        4.匹配语句:if-match语句,定义匹配某些条件,一个节点中可以匹配多个if-match语句,关系为逻辑或。不配置if-match戴白哦匹配所有

        5.执行语句:apply语句,指定动作。如修改路由cost  tag   路由类型等。一个节点可以配置多个apply语句,关系为逻辑与

    工具关系总结:

      

       

       

      route-policy配置实验

    引入 192.168.1.0 cost 100 type 1   引入 192.168.2.0 cost 200 type 2    引入192.168.3.0 cost 300 tag 999

    由于filter-policy只能对路由的发出和接收做过滤,此时只能用到route-polict工具

    步骤一:配置接口,双方启用ospf

    步骤二:配置acl ,匹配这三条路由用于if-match。注,使用三条acl语句分别匹配出这三条路由

    步骤三:创建route-policy

      AR2]route-policy sto permit node 10    // 创建route-policy 名字为sto,匹配node10节点的语句

      [AR2-route-policy]if-match acl 2000  //匹配acl 2000的流量

      [AR2-route-policy]apply cost 100    //将acl2000的流量sot改为100

      [AR2-route-policy]apply cost-type type-1

      [AR2-ospf-1]import-route static route-policy sto //最后在OSPF进程下调用route-policy

    注:route-policy默认存在拒绝所有语句。 所以  route-policy sto per node 1000       此语句为匹配所有

    [AR2-ospf-1]import-route static route-policy sto ?
    cost Set cost
    tag Specify route tag
    type Metric type of the imported external routes

    在引入时,也能修改cost值,当策略冲突,匹配route-policy的路由按照route-policy修改。如果路由匹配route-policy,但是没有修改属性,按import-route修改

    调整网络流量路径:通过路由策略和策略路由的方式都可实现

     当使用OSPF时,上面的带宽比下面的更好,此时由于OSPF选路机制,下面的链路会处于空闲的状态得不到利用。

    使用路由策略来实现调整路径时,可以将上面的cost与下面的cost改为一致,此时会负载

    使用策略路由来实现时,可以将链路利用率最大化。因此最优。

    策略路由:可以人为制定转发策略,匹配报文的某些特性,根据特征进行报文转发路径的控制。

      优点:根据用户需求,人为的制定转发策略,增强报文转发路径选择的灵活性和可控性

         使不同的数据报文,从不同的链路上发送出去,增加链路的利用率。

      策略路由的种类:接口策略路由,只能针对经过接口的流量生效      本地策略路由 ,只能针对自身产生的流量生效

    该场景下,pc访问8.8.8.8会基于流负载 ,链路利用率得不到最大化,可以配置策略路由,使1.0走100M  2.0走50M

    策略路由是基于MQC  模块化QOS命令行来完成配置

      流分类:将满足某种特征的流量匹配出来,,,,相当于acl,前缀列表

      流行为:配置一种动作,,类似apply   ,如重定向到某一个借口发送

      流策略:把了流分类和流行为关联一起

    策略路由只能应用在imbound方向

    配置步骤

    1.定义acl用于给流分类匹配条件

    [AR3-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

    2.定义流分类

    AR3]traffic classifier 1.0

    [AR3-classifier-1.0]if-match acl 2000

    3.定义流行为

    [AR3]traffic behavior ar1

    [AR3-behavior-ar1]redirect ip-nexthop 10.0.13.1  //定义下一跳为10.0.13.1

    4.定义流策略将流分类与流行为关联

    AR3]traffic policy 100

    [AR3-trafficpolicy-100]classifier 1.0 behavior ar1

    5.将策略路由应用在接口上

    [AR3-GigabitEthernet0/0/0]traffic-policy 100 inbound    

    2.0的流量配置与上述大同小异。

    当需要对设备本身产生的流量进行控制转发路径时。需要用到本地策略路由

     验证时,多改几次ip,更改流的五元组,验证其不是基于流负载分担。

  • 相关阅读:
    表删除 准备
    爱可生技术文档
    Bran的内核开发指南_中文版
    LINUX 内核内存管理
    Linux Container测试之block IO
    【实时文件同步】rsync+inotify-tools的安装与配置
    openlayer3 加载geoserver发布的WFS服务
    Geoserver跨域请求设置
    Bitmap 图片格式并用 C++ 读写 Bitmap
    C++中的对象初始化
  • 原文地址:https://www.cnblogs.com/zx-1992884121/p/14639464.html
Copyright © 2011-2022 走看看