路由控制(traffic policy、route policy)
路由策略
控制流量可達性問題
方式一:路由策略(對接受和釋出的路由進行過濾或改變路由資訊屬性)
控制路由釋出:只發佈滿足條件的路由
控制路由接受:只接收必要的路由,提高網路安全性
過濾和控制引入的路由:在引入其他協議路由時只引入一部分滿足
條件的路由
設定路由屬性:為通過路由策略的路由設定相應屬性
路由策略工具:
filter-policy:
1.首先使用ACL或ip-prefix工具匹配路由
2.在協議檢視下,使用filter-policy釋出策略
RIP中使用filter-policy(協議程序下配置)
filter-policy import命令用來配置接收的RIP路由資訊時的過濾策略
filter-policy export命令用來配置RIP路由的出口過濾策略
引入其他的路由(靜態或者isis協議)通過過濾加入RIP路由表,並作為
RIP路由釋出出去
OSPF使用filter-policy(區域中配置過濾3類LSA;在ABR上配置生效)
filter import命令用來配置對區域內入方向的Type3 LSA進行過濾
filter export命令用來配置對區域內出方向的Type3 LSA進行過濾
filter-policy import命令用來按照過濾策略,設定OSPF對接收的路由進行過濾
filter-policy import命令對接收的路由設定過濾策略,只有通過過
濾策略的路由才被新增到路由表中,沒有通過過濾策略的路由不會被新增
進路由表,但不影響對外發布出去。OSPF的路由資訊記錄在LSDB中,
filter-policy import命令實際上是對OSPF計算出來的路由進行過濾,
不是對釋出和接收的LSA進行過濾
filter-policy export命令用來按照過濾策略,設定對引入的路由在向外釋出時進行過濾(ASBR上配置)
OSPF通過命令import-route引入外部路由後,為了避免路由環路的產生,通過 filter-policy export命令對引入的路由在釋出時進行過濾,只將滿足條件的 外部路由轉換為Type5 LSA(AS-external-LSA)併發布出去
route-policy:
1.首先使用ACL或ip-prefix工具匹配路由
2.在協議檢視下,使用route-policy釋出策略
兩種模式:permit和deny
permit:滿足所有if-match字句,允許通過該node過濾並執行
apply字句,且不進入下一個node;如果不滿足該node,進入
下一個node繼續過濾
deny:滿足所有if-match字句,拒絕通過該node過濾。此時
apply字句不執行,不進入下一個node;否則進入下一個node
繼續過濾
一個ACL可以由多條“deny | permit”語句組成,每一條語句描述了一條規則。
裝置收到資料流量後,會逐條匹配ACL規則,看其是否匹配。如果不匹配,
則繼續匹配下一條。一旦找到一條匹配的規則,就會執行規則中定義的動作,
且不再繼續與後續規則進行匹配;如果找不到匹配的規則,則裝置會對報文
直接進行轉發
ACL定義裡萬用字元匹配規則:0必須匹配,1不必須匹配
ACL只能匹配IP地址的字首,不能匹配掩碼長度;所以ip-prefix list出現了
ip-prefix list能夠同時匹配IP地址字首和掩碼;但是不能用於IP報文的過濾,只能
用於路由資訊的過濾
注:1、index序列號,匹配是按照index從小到大匹配
2、如果所有字首列表不匹配,預設情況下存在一條匹配模式為Deny
3、關鍵字greater-equal和less-equal來指定待匹配的字首掩碼長度範圍。
如果沒有配置關鍵字greater-equal或less-equal,字首過濾列表會進行精
確匹配,即只匹配掩碼長度為與字首過濾列表掩碼長度相同的IP地址路由
策略路由
控制流量可達性問題
方式二:策略路由(使用traffic-filter對路由進行過濾)
調整網路流量問題
方式一:路由策略(對接受和釋出的路由進行過濾或改變路由資訊屬性)
採用解決方案一來實現以上需求,由於其只能依據資料包的目的地址做轉發策略,所以無法滿足需求;故當出現基於源地址、目的地址或基於應用層等一些複雜的控制需求時,就體現出其侷限性,所以出現了策略路由
方式二:策略路由(根據自己定義的策略進行報文轉發和選路。策略路由使網路管理者不僅能夠根據報文的目的地址來制定策略,而且還能夠根據報文的源地址、報文大小和鏈路質量等屬性來制定策略路由,以改變資料包轉發路徑,滿足使用者需求)
常用traffic-policy工具實現(基於介面入方向):
介面策略路由:對本裝置轉發的報文生效,對本機下發的報文不生效。
當用戶需要將收到的某些報文通過特定的下一跳地址進行轉發時,需要配置介面策略路由。使匹配重定向規則的報文通過特定的下一跳出口進行轉發,不匹配重定向規則的報文則根據路由表直接轉發。介面策略路由多應用於負載分擔和安全監控。
常用Traffic-Policy工具來實現。
traffic classfier:if-match字句
traffic behavior:指定匹配路由的動作(下一跳等)
traffic policy:繫結classfier和behavior
介面:繫結traffic-policy inbound
路由策略和策略路由的區別:
