大家好,我是小杜,不知不觉的已经学习了一个月了,从一个只知道些基础的“菜鸟”到现在的"普鸟",争取尽快进化成“老鸟”。

今天继续对相关的行为管理方面的学习,相信以后会经常遇到这种问题,需要完全熟悉的掌握。话不多说,开始今天对路由设备的行为管理学习。

一、ACL过滤

1、配置acl规则(一定要先配置ACL,再调用)

  ip access-list extended 100

  10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量

  20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量

  30 permit ip any any       //最后一定要允许所有!!!

2、接口下调用acl

  interface GigabitEthernet 0/0

  ip access-group 100 in //可以调用在接口in方向和out方向

二、流过滤(全局acl)

1、配置acl规则(一定要先配置ACL,再调用)

   ip access-list extended 100

   10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量

   20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量

   30 permit ip any any     //最后一定要允许所有!!!

2、全局调用acl

  ip session filter 100

  或者:ip fpm session filter 100

RSR在默认情况下,是先建立会话流表再去匹配ACL,也就是说,就算在接口配置 deny ip any any 的ACL,这个时候一个数据包来到接口后,还会先建立一条会话,再去匹配ACL被丢弃。那么这种特性就会有一个问题,如果遇到大量的伪源IP攻击,或者是端口扫描时,虽然有ACL拒绝了这种报文的转发,但是还是会把流表给占满,而导致正常的数据无法建流而被丢弃。ip session filter 就是为解决以上问题而开发的,ip session filter的原理就是,在建立流表前去匹配调用的ACL,如果被ACL拒绝就不会再去建流了。

注意:

1、被ip session filter调用的ACL是全局生效的,而且是在建立流表前匹配,也就是说被此ACL拒绝的数据不会建流而直接被丢弃,所以一定要确保该放通的资源都放通后再启用。

2、ip session filter对设备本身所发出的数据是不生效的。

3、通过IP session filter的流量,回来时不会再匹配ip session filter所调用的ACL,也就是说能出去就能回来。

 

三、策略路由

1、创建策略路由条目

route-map route_map_name [permit | deny] sequence

route_map_name:命名策略路由

permit:对符合条件的数据包实施策略

deny:对符合条件的数据包不实施策略

sequence:0-65535,route-map语句的执行顺序,

route-map每个条目都被赋予编号,可以任意地插入或删除条目;

按照序号大小顺序查找匹配,Route-map中的每个序列号语句相当于于访问控制列表中的各行。

缺省最后有一条deny any的语句,对于没有匹配到策略路由的流量,不会丢弃,而是做正常的ip 路由转发。

2、匹配规则

match ip address 匹配访问列表或前缀列表

3、设置策略

set interface 出接口,先匹配策略路由,再匹配明细路由,最后匹配默认路由。

set default interface 默认出接口,先匹配明细路由,再匹配策略路由,最后匹配默认路由。

set ip next-hop 下一跳,先匹配策略路由,再匹配明细路由,最后匹配默认路由。

set ip default next-hop 默认下一跳,先匹配明细路由,再匹配策略路由,最后匹配默认路由。

注意:

(1)带不带default的区别:

  不带default:策略路由优先级高于明细路由

  带default:策略路由优先级低于明细路由;

(2)什么时候设置出接口,什么时候设置下一跳:

  以太网接口必须设置下一跳,PPP链路则设置出接口

 

4、应用策略路由

接口策略路由:

Ruijie(config)#interface gigabitEthernet 0/0

Ruijie(config-GigabitEthernet 0/0)#ip policy route-map ruijie //接口策略路由,对接口收到的报文进行策略路由

本地策略路由:

Ruijie(config)#ip local policy route-map ruijie //对本地发出的符合规则的报文进行策略路由

注意:

(1)策略路由一定要应用到数据包的in方向接口,不能应用到数据包的out方向接口。因为策略路由实际上是在数据包进路由器的时候,强制设置数据包的下一跳,out方向接口,路由器已经对数据包做完ip路由,把数据包从接口转发出去了,故out方向策略路由不生效。

(2)本地策略路由是对设备自身发出的报文进行策略路由选路(源地址为设备自身)。

(3)策略路由匹配逻辑:

行为管理(锐捷路由篇)_源地址

5、冗余模式/负载模式

如果策略路由中设置了两个下一跳,默认是采用冗余模式,也可以更成为负载模式

Ruijie(config)#ip policy load-balance //更改成为负载模式

Ruijie(config)#ip policy redundance //更改成为冗余模式

 

6、举例--完整的策略路由配置

(1)配置ACL匹配规则

ip access-list extended 100

10 permit ip 192.168.10.0 0.0.0.255 any //匹配源地址为192.168.10.0/24的所有流量

20 permit ip 192.168.20.0 0.0.0.255 any //匹配源地址为192.168.20.0/24的所有流量

30 permit ip 192.168.30.0 0.0.0.255 114.114.114.114 0.0.0.0 //匹配192.168.30.0/24访问114的流量

(2)配置策略路由

route-map ruijie permit 10 //创建名为ruijie的策略路由,“permit”指对匹配

match ip address 100 //匹配ACL100

set ip next-hop 100.0.0.254 //设置下一跳为100.0.0.254

(3)内网接口下调用策略路由

interface GigabitEthernet 0/0

ip policy route-map ruijie //内网接口下调用策略路由

 

四、限速配置

1、rate-control和rate-limit的区别

rate-control是对ACL里每一个用户做带宽和会话限制;rate-limit是以ACL或接口为一个组,限定一个总体的带宽

rate-limit一般在in/out两个方向都可使用;rate-control一般用在出口,可以对上传和下载两个方向进行控制。

rate-limit

行为管理(锐捷路由篇)_源地址_02

rate-control

行为管理(锐捷路由篇)_策略路由_03

2、流量整形

通用流量整形(Generic Traffic Shaping,GTS)可以对不规则或不符合预定流量特性的报文流进行整形,以利于网络上下游之间的带宽匹配。

GTS使用报文缓冲区和令牌桶来完成,当报文流发送速度过快时,首先在缓冲区进行缓存,在令牌桶的控制下,再均匀地发送这些被缓冲的报文。

流量整型(GTS)与流量监管(rate-limit)的区别:

1、GTS有缓存机制,对于超出预定流量的报文进行缓存,使得流量更平滑;rate-limit无缓存机制,对于超出预定流量的报文直接丢弃。

2、GTS功能模块是在接口队列机制之后进行,而rate-limit是在报文进队列前进行;导致的结果是,如果使用rate-limit进行了限速,那么队列机制即使配置也起不到作用;而GTS可以和队列机制配合使用,组成完整的QoS保障机制。

行为管理(锐捷路由篇)_数据_04

哇,都是底层命令行配置的,这会比管理页面配置会复杂,但是这个难不倒我小杜,学习是已经学习好了,还需要再多加练习才能够熟练的使用。加油!!!今天就分享到这了哈。