路由策略:
基於三層目的地址的轉發
基於控制平面,控制路由協議和路由表,決定生成什么路由表項
與路由協議結合完成
命令 route-policy
策略路由:
基於策略的轉發,失敗后再查找路由表轉發
基於轉發平面
需要手工逐跳配置,保證報文按照策略轉發
命令: policy-based-route
路由策略工具:
filter-policy 和route-policy 是控制路由表項的工具,決定dis ip route-table 中的 數據
filter-policy 在協議中使用例如: ospf rip 中使用
router-policy 是比 filter-policy 更強大的工具能控制路由,或者優先級之類的更精細的參數
filter-policy:
1.首先使用ACL或ip-prefix工具匹配路由
2.在協議視圖下,使用filter-policy發布策略
RIP中使用filter-policy(協議進程下配置)
filter-policy import命令用來配置接收的RIP路由信息時的過濾策略
filter-policy export命令用來配置RIP路由的出口過濾策略
引入其他的路由(靜態或者isis協議)通過過濾加入RIP路由表,並作為
RIP路由發布出去
OSPF使用filter-policy(區域中配置過濾3類LSA;在ABR上配置生效)
filter import命令用來配置對區域內入方向的Type3 LSA進行過濾
filter export命令用來配置對區域內出方向的Type3 LSA進行過濾
filter-policy import命令用來按照過濾策略,設置OSPF對接收的路由進行過濾
filter-policy import命令對接收的路由設置過濾策略,只有通過過
濾策略的路由才被添加到路由表中,沒有通過過濾策略的路由不會被添加
進路由表,但不影響對外發布出去。OSPF的路由信息記錄在LSDB中,
filter-policy import命令實際上是對OSPF計算出來的路由進行過濾,
不是對發布和接收的LSA進行過濾
filter-policy export命令用來按照過濾策略,設置對引入的路由在向外發布時進行過濾(ASBR上配置)
OSPF通過命令import-route引入外部路由后,為了避免路由環路的產生,通過
filter-policy export命令對引入的路由在發布時進行過濾,只將滿足條件的
外部路由轉換為Type5 LSA(AS-external-LSA)並發布出去
route-policy:
1.首先使用ACL或ip-prefix工具匹配路由
2.在協議視圖下,使用route-policy發布策略
兩種模式:permit和deny
permit:滿足所有if-match字句,允許通過該node過濾並執行
apply字句,且不進入下一個node;如果不滿足該node,進入
下一個node繼續過濾
deny:滿足所有if-match字句,拒絕通過該node過濾。此時
apply字句不執行,不進入下一個node;否則進入下一個node
繼續過濾
一個ACL可以由多條“deny | permit”語句組成,每一條語句描述了一條規則。
設備收到數據流量后,會逐條匹配ACL規則,看其是否匹配。如果不匹配,
則繼續匹配下一條。一旦找到一條匹配的規則,就會執行規則中定義的動作,
且不再繼續與后續規則進行匹配;如果找不到匹配的規則,則設備會對報文
直接進行轉發
ACL定義里通配符匹配規則:0必須匹配,1不必須匹配
ACL只能匹配IP地址的前綴,不能匹配掩碼長度;所以ip-prefix list出現了
ip-prefix list能夠同時匹配IP地址前綴和掩碼;但是不能用於IP報文的過濾,只能
用於路由信息的過濾
注:1、index序列號,匹配是按照index從小到大匹配
2、如果所有前綴列表不匹配,默認情況下存在一條匹配模式為Deny
3、關鍵字greater-equal和less-equal來指定待匹配的前綴掩碼長度范圍。
如果沒有配置關鍵字greater-equal或less-equal,前綴過濾列表會進行精
確匹配,即只匹配掩碼長度為與前綴過濾列表掩碼長度相同的IP地址路由
策略路由
是基於流量的控制,和路由表項無關比路由表更高級的處理,控制的是數據包的源目的地址和協議,來處理流量是 permit 還是deny 並且還有更高級的控制,例如下一跳之類
實現一個功能可以基於路由策略或者策略路由,我感覺應該使用策略路由,不對底層路由表向做變動,做更精細的控制
控制流量可達性問題
方式二:策略路由(使用traffic-filter對路由進行過濾)
調整網絡流量問題
方式一:路由策略(對接受和發布的路由進行過濾或改變路由信息屬性)
采用解決方案一來實現以上需求,由於其只能依據數據包的目的地址做轉發策略,所以無法滿足需求;故當出現基於源地址、目的地址或基於應用層等一些復雜的控制需求時,就體現出其局限性,所以出現了策略路由
方式二:策略路由(根據自己定義的策略進行報文轉發和選路。策略路由使網絡管理者不僅能夠根據報文的目的地址來制定策略,而且還能夠根據報文的源地址、報文大小和鏈路質量等屬性來制定策略路由,以改變數據包轉發路徑,滿足用戶需求)
常用traffic-policy工具實現(基於接口入方向):
接口策略路由:對本設備轉發的報文生效,對本機下發的報文不生效。
當用戶需要將收到的某些報文通過特定的下一跳地址進行轉發時,需要配置接口策略路由。使匹配重定向規則的報文通過特定的下一跳出口進行轉發,不匹配重定向規則的報文則根據路由表直接轉發。接口策略路由多應用於負載分擔和安全監控。
常用Traffic-Policy工具來實現。
traffic classfier:if-match字句
traffic behavior:指定匹配路由的動作(下一跳等)
traffic policy:綁定classfier和behavior
接口:綁定traffic-policy inbound
路由策略和策略路由的區別:
traffic-filter 命令用來在全局或VLAN上配置基於ACL的報文過濾。
使用實例 # 在VLAN100上配置基於ACL的報文過濾,拒絕源IP地址為192.168.0.2/32的報文通過。 <HUAWEI> system-view [HUAWEI] vlan 100 [HUAWEI-vlan100] quit [HUAWEI] acl name test 3000 [HUAWEI-acl-adv-test] rule 5 deny ip source 192.168.0.2 0 [HUAWEI-acl-adv-test] quit [HUAWEI] traffic-filter vlan 100 inbound acl name test
ttr
traffic-policy 令用來創建一個流策略,並指定該流策略中流分類的匹配順序。
使用實例 # 創建流策略p1,並關聯流分類c1和流行為b1。 <HUAWEI> system-view [HUAWEI] traffic classifier c1 [HUAWEI-classifier-c1] if-match any [HUAWEI-classifier-c1] quit [HUAWEI] traffic behavior b1 [HUAWEI-behavior-b1] remark 8021p 2 [HUAWEI-behavior-b1] quit [HUAWEI] traffic policy p1 [HUAWEI-trafficpolicy-p1] classifier c1 behavior b1 # 刪除已經應用在接口GE0/0/1入方向上的流策略p1。 <HUAWEI> system-view [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] undo traffic-policy p1 inbound [HUAWEI-GigabitEthernet0/0/1] quit [HUAWEI] undo traffic policy p1