标签:datacom 数通 route rule acl traffic policy 路由
策略路由和路由策略
路由策略:filter-policy、route-policy、
策略路由:policy-based-route、traffic-policy
区别和联系:两者都是为了改变网络流量的转发路径,目的一 样,但实现的方式不一样。
路由策略是通过更改某些路由参数影响路由表的路由条目来影响 报文的转发.
route-policy关键字总结:
案例1:
ospf 1
filter-policy 2000 import
acl 2000
rule 5 deny source 2.2.2.2 0
rule 10 permit
注意:由于ospf 传递的是链路信息,因此filter-policy import 指令只能阻止链路信息进入路由表。 LSA会继续传递给其邻居。
案例2:
也可用于isis的路由引入类似于:
import-route isis level-2 into level-1 filter-policy 2005
---------------------------------------------------------------
route-policy关键字总结:
(用于后面的ospf章节中的不同AS之间路由引入时可选择过滤,也可用于BGP的控制选路)
ospf 1
import-route rip 1 route-policy aa
route-policy aa permit node 10
if-match acl 2005
acl 2005
rule 5 deny source 9.9.8.0 0.0.0.255
rule 10 permit
---------------------------------------------------------------
cost值修改
[]dis ospf int gx/x/x 查看port的cost值
int gx/x/x/
ospf cost 5
---------------------------------------
优先级修改等。。。。。。
int gx/x/x
ospf dr-pri 10
策略路由是通过管理员在路由器上面配置策略强制数据包按照策 略转发 ,策略路由优先于路由表。(比如:策略路由可以基于源 地址定制数据的转发路径)
策略路由配置—本地方式:只能对由本机主动触发的流量生 效。对流经本机的(转发流量)无效。
R1:
acl number 3000
rule 5 permit ip destination 4.4.4.4 0
policy-based-route aa permit node 10
if-match acl 3000
apply ip-address next-hop 13.1.1.3 (强制下一跳)
ip local policy-based-route aa 本地调用
tracert 4.4.4.4 查看下一跳
dis policy-based-route 查看本地策略路由
策略路由-接口方式(基于接口策略路由)
① 分类
acl 2006
rule 5 permit source 1.1.1.2 0
acl 2007
rule 5 permit source 1.1.1.3 0
traffic classifier aa
if-match acl 2007
traffic classifier bb
if-match acl 2006
② 动作
traffic behavior aazu
redirect ip-nexthop 13.1.1.3
traffic behavior bbzu
redirect ip-nexthop 12.1.1.2
③ 关联 (策略)
traffic policy temp
classifier aa behavior aazu
classifier bb behavior bbzu
④ 接口调用
interface GigabitEthernet0/0/2
ip address 1.1.1.1 255.255.255.0
traffic-policy temp inbound
注意:目前基于接口的策略路由只针对入方向生效
dis traffic-policy applied-record查看分类和动作绑定、接口调用情况
## ACL 访问控制列表
ACL:traffic-filter
① ACL 简介 (三层技术) ACL :access control list 访问控制列表 用于数据包的访问控制。
acl 常用两种:
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端 口、目标端口等三层和四层的字段。
ACL 两种作用:
① 用来对数据包做访问控制
② 结合其他协议用来匹配范围
**②基本ACL:basic acl**
基础配置:ip地址和静态路由 使全网互通 略
需求:在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络
```bash
R2:
acl 2000 创建
acl 2000 rule deny source 192.168.10.1 0
int gi 0/0/1 在接口的出方向调用acl
traffic-filter outbound acl 2000 outbound
调试:dis acl 2000
③ 高级ACL
需求:在R2上配置高级acl 拒绝PC1和PC2 ping server,但 是允许其HTTP 访问server。
注意:只有报文是① icmp、且② 源地址是192.168.10.x 、且③ 目标地址是172.16.10.2 才会被拒绝。需同时满足 这三个条件才会被匹配。
acl number 3000
rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
interface GigabitEthernet0/0/1
traffic-filter outbound acl 3000
其他需求:
需求:拒绝源地址192.168.10.2 telnet 访问 12.0.0.2
acl 3005
rule deny tcp source 192.168.10.2 0 destination 12.0.0.2 0 destination-port eq 23
需求:允许源地址1.1.1.1访问2.2.2.2.其他剩下的报文全部被拒绝。
acl 3008
rule 5 permit ip source 1.1.1.1 0 destination 2.2.2.2 0 rule 10 deny ip
需求:拒绝任何人上QQ :传输层 UDP 8000
acl 3101
rule deny udp destination-port eq 8000
注意: ① 如果某acl 没有被调用,该acl不起任何作用
② acl 属于三层技术 只能部署在三层设备上面 ,acl适合 用于不同网段互访的访问控制
③ 相同vlan 和网段的pc互访控制(这种情况不适合用 acl),建议使用端口隔离来实现。
④ ACL用于控制telnet
例如:只允许12.1.1.5 远程telnet R2
R2开启telnet (略)
R2:
acl number 2008
rule 5 permit source 12.1.1.5 0
rule 10 deny
user-interface vty 0 4 到vty 接口调用
acl 2008 inbound
⑤ACL 用于多层交换机
方式1:acl 写法和路由器保持一致。华为设备需在物理接 口下调用acl。
```bash
int Gi0/0/2
traffic-filter outbound acl 3006
方式2:
[ ]traffic-filter vlan 10 inbound acl 2000
acl 2000 只对vlan 10 生效,类似将acl 2000 调用到了vlanif 10口。
注1:一个接口的同一个方向,只能调用一个acl
注2:一个acl里面可以有多个rule 规则,从上往下依次执 注3:数据包一旦被某rule匹配,就不再继续向下匹配
注4: 用来做数据包访问控制时,默认隐含放过所有(华为 设备)
总结分析:
区别ACL和路由策略和策略路由:
在这里要区分ACL是用于数据包的访问控制,而路由策略和策略路由是为了改变网络流量的转发路径,目的一 样,但实现的方式不一样。。
路由策略:filter-policy、route-policy、
策略路由:policy-based-route、traffic-policy
ACL:traffic-filter
标签:datacom,数通,route,rule,acl,traffic,policy,路由 来源: https://blog.csdn.net/u013965752/article/details/121461547
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。