系列文章目录
一、前言
二、路由选择工具
1、单一路由选择工具
(1)ACL
(2)IP.Prefix list
(3)as-path List
2、复合路由选择工具
(1)Route-Policy
(2)Filter-Policy(路由协议下调用)
三、数据(流量)过滤、控制工具
(1)PBR
(2)模块化QoS命令行:MQC
前言
策略:对路由器行为做出影响
路由策略
路由控制、影响路由表构建、对象路由表、LSDB
filter-policy route-policy
流量策略
流量控制、控制流量的转发:允许发、不允许发、定义下一跳
traffic-filter
步骤: 1、定义路由或流量 对谁进行控制
2、动作:允许、过滤、修改优先级、定义tag、定义下一跳
3、关联并应用在一起
一、ACL
访问控制列表
应用场景:数据包过滤、路由选择
动作
permit 允许
deny 拒绝
ACL 分类
基本 ACL
范围:2000-2999
根据源IP地址进行匹配
高级 ACL
范围:3000-3999
根据源IP地址、目的地址、源端口、目的端口 协议号进行匹配
二层 ACL
范围:4000-4999
根据源mac、目的mac、type进行匹配
ACL 匹配规则
配置匹配(默认)
特点:按照编号依次匹配
自动匹配
特点:越精确的越优先匹配
默认动作
包过滤:允许所有数据通过
路由选择:拒绝所有
缺点:只能过滤网络前缀,不能进行匹配掩码
二、使用步骤
1.进入ACL
代码如下(示例):
ACL+编号2.
代码如下(示例):
rule deny source 192.168.1.0 0.0.0.255(反掩码---通配符掩码)二、IP.Prefix list
IP前缀列表:是将路由条目的网络地址、掩码长度作为匹配条件的过滤器,可在各路由协议发布和收路由时使用
缺点:不可以做包过滤
匹配前缀和掩码长度
index 默认10 下一个为20 30 40
匹配顺序:按照从小到大依次匹配
默认动作:拒绝所有
挑选只能用permit
三、Route-Policy
功能
可以根据选择出的路由修改参数
调用单一路由选择工具
构成
if-match
apply
匹配关系
如果有多个 if-match,那么他们的关系是“与”的关系
如果有多个node,那么他们的关系是“或”的关系,匹配顺序为编号顺序由小到大匹配
默认规则:拒绝所有!!!
基础配置
1、利用单一选择工具,选择出路由
acl number 2000
rule 5 permit source 1.1.1.1 0
2、针对选择路由修改参数
router-policy tag(名字)permit node 10
if-match acl 2000
apply tag 100
当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。
如果和所有节点都匹配失败,路由信息将被拒绝通过。
3、调用 router-policy
ospf
import-router direct router-policy tag解决次优路径
次优路径问题
R3通过ACL匹配10.1.1.0/24路由,在Route-Policy中调用该条ACL,将匹配这条ACL的路由的优先级设置为14(优于IS-IS)。在OSPF视图下使用preference ase命令调用Route-Policy修改外部路由的优先级。
[R3]acl 2000
[R3-acl-basic-2000] rule permit source 10.1.1.0 0
[R3-acl-basic-2000] quit
[R3]route-policy hcip permit node 10
[R3-route-policy] if-match acl 2000
[R3-route-policy] apply preference 14
[R3-route-policy] quit
[R3]ospf 1
[R3-ospf-1] preference ase route-policy hcip解决环路问题
解决环路问题
在R3的OSPF中引入IS-IS路由时,通过Route-Policy过滤掉10.1.1.0/24路由。(拒绝10.1.1.0/24 路由通过
[R3] acl 2001
[R3-acl-basic-2001] rule 5 deny source 10.1.1.0 0
[R3-acl-basic-2001] rule 10 permit
[R3] route-policy RP permit node 10
[R3-route-policy] if-match 2001
[R3-route-policy] quit
[R3] ospf
[R3-ospf-1] import-route isis 1 route-policy RP解决环路问题2
解决环路问题2
使用Tag实现有选择性地路由引入,在R2上将路由10.1.1.0/24从OSPF引入到IS-IS中时打上Tag 200,在R3上将IS-IS引入到OSPF中时,过滤携带Tag 200的路由。
[R2]acl 2000
[R2-acl-basic-2000]rule permit source 10.1.1.0 0
[R2-acl-basic-2000]quit
[R2]route-policy hcip permit node 10
[R2-route-policy]if-match acl 2000
[R2-route-policy]apply tag 200
[R2-route-policy]quit
[R2]isis 1
[R2-isis-1]import-route ospf route-policy hcip
[R3]route-policy hcip deny node 10
[R3-route-policy]if-match tag 200
[R3-route-policy]quit
[R3]route-policy hcip permit node 20
[R3]ospf 1
[R3-ospf-1]import-route isis route-policy hcip四、Filter-Policy
路由过滤工具
使用场景:对接收、发布、引用的路由进行过滤
在距离矢量路由协议的应用
出方向、入方向都可以做过滤(距离矢量路由协议传递路由)
IP ip-prefix aa index 10 permit 192.168.1.0 24 greater-equal 24 less-equal 24 rip 1 rip1
filter-policy ip-prefix aa export 出方向
出方向:允许哪些路由,发送哪些路由(不影响接收哪些路由)
入方向:允许哪些路由,接收哪些路由
在链路状态路由协议的应用
入方向:不影响LSA的接收 从而不影响 LSDB的构建 但是会影响从LSDB往路由表中下发路由 允许哪些往路由表中加入哪些路由
只能在入方向做
出方向:影响外部路由 LSA/LSP不发
三类和五类LSA或引入引出也可以做过滤
五、PBR
在不改变路由的情况下改变转发路径(定义下一跳、出接口)
匹配条件:基于源IP地址、源mac地址、源端口号、目的端口号、vlan-id、acl进行匹配
PBR高于路由表
数据来了后首先访问路由策略
有两部分构成
if match
apply
match之间是与的关系
node 之间是或的关系
匹配顺序为从小到大依次匹配(node)
分类
接口PBR
对转发的报文起作用,对于本地的报文不起作用
只能在入方向做,不能再出方向做
本地PBR
对于本地始发流量生效,直接在系统视图下调用
应用场景
引流
多运营商出口
配置
匹配出流量
修改下一跳
调用
六、路由引入
路由引入
双点双向路由引入
缺点
优次路径
解决方法
第二种:利用Filter-Policy 过滤路由
第一种:利用Filter-Policy过滤路由
修改优先级
acl number 2000
rule 5 permit source 5.5.5.5 0
route-policy aa permit node 10
if-match acl 2000
apply preference 90
ospf 1
preference ase route-policy aa
出现环路
解决方案
优点
提升可靠性
单点双向路由引入
优点
多协议之间路由传递
