一:作者序: 在常見的組網中,對於一些大規模的網絡,如超過200台路由器的中小型網絡中,可能就需要一些動態路由協議,來適應大規模網絡的組網需求。 通常在我們把網絡通過各種協議,如OSPF,ISI,RIP等組建好后。涉及到對於不同網絡層面的控制就顯得尤為重要, 如何時允許數據包通過這條鏈路,是那條網段被指定允許通過這條網絡段。以上列舉的只是一小部分,如果把思維方向看遠一點,如應對網絡的一些防范與攻擊,來自非法地址的偽造,如果我們部署的網絡沒有像防火牆那樣的過濾規則,可想而知這樣的網絡也只是空中樓宇。 在路由器的各種協議隨着歷史的被智慧的推崇出來之時,各種路由策略也為了整體提高路由器的功能和優化網絡的性能而隨之產生。可見研究者們是聰慧的,敢於從各種失敗中吸取研發經驗.
二: 以下是我總結的一些常用的路由過濾工具:
{ 1:prefix-list :地址前綴列表 使用規則: { prefix_index {premit|deny ip_address mask {g-q(大於)|l-q(小於) }
2:silent :靜默端口; { [interface_name]silent {all|type} }
3:acl:訪問控制列表; { acl numer(2000-2999,3000-3999,4000,4999,5000,5999) rule {prefix|deny} }
4:fiter-policy(過濾策略) 這里對過濾策略做一些說明,過濾策略可結合acl和ip-prefix結合使用,說白了,過濾策略是一把瑞士軍刀, 可把多種功能結合使用,達到更好的過濾效果. { 列1:(地址前綴列表和過濾策略的導入) rip 100 filter-policy ip-prefix 3 import ip ip-prefix 1 index 10 deny 10.0.1.0 24 ip ip-prefix 2 index 10 deny 10.0.2.0 24 ip ip-prefix 3 index 10 permit 0.0.0.0 0 less-equal 32 列2:(訪問控制列表和過濾策略的導出) acl number 200 rule 5 deny rule 10 deny source 10.0.0.0 0.0.0.255 rule 15 permit ip 100 filter-policy ip-prefix 3 import filter-policy 2000 export }
5:router-policy(路由策略) 有了過濾策略,必然有路由策略,其應用規則和過濾策略功能更加完善,除了對進入和進出數據包進行 過濾,還可以對路由的屬性進行過濾。此外其具有if-else的邏輯程序結構分支規則 { router-policy policy_name index index_name rule if-match apply }
6:PBR(policy-based-router):路由基礎策略 [interaface_name]ip policy-based-route policy_name:在接口啟用這個策略 [sysname]policy-based-route policy_name {permit|deny} node index_name:創建一個PBR策略規則,指定名稱和索引 [policy-based-route-policy_name] if-match {ip_prefx|acl} :與規則進行匹配 [policy-based-route-policy_name]apply ip-precedence network:應用這個策略 display ip policy-based-route:顯示PBR的策略全局信息 display ip policy-based-route statistics :顯示PBR的配置統計信息