标签：匹配 策略 ip route policy 路由

前言：在企业网络中，常面临非法流量访问及流量路径不优的问题，为了保护数据访问的安全性、提高链路带宽的利用率，需要对网络中的流量行为控制，如控制网络流量可达性，调整网络流量路径。

如何控制流量可达性？

　　方案一：对接收和发布的路由进行过滤来控制可达性，路由策略

　　方案二：使用Traffic-filter工具对数据进行过滤，流量过滤

　什么是路由策略?

　　通过一系列的工具或者方式对路由进行各种控制的策略，这个策略可以影响路由的产生，发布和选择等，进而影响报文的转发路径

　　在ip网络中，路由策略的用途主要有两个方面：对路由信息过滤和修改路由属性。

如图，如果使用流量过滤，使市场部的流量不能访问财务部。会有极大的局限性，若是在RTA上做traffic-filter，流量会经过RTC RTB再在RTA上被过滤极大的浪费链路带宽。若在RTC入口做traffic-filter，可能RTC不是由你进行管理的。而且流量过滤针对每一个报文进行过滤，极大的浪费设备性能，所以建议使用路由策略来进行对流量的可达性进行控制。

　路由策略使用的工具：

　　条件工具：把路由匹配出来  ，acl  ip-prefix

　　策略工具：匹配抓取的路由，执行各种各样的策略。router-policy

　　调用工具：把策略应用到某个具体的协议中。  filter-policy　import-route

 

 配置思路：配置filter-policy不让192.168.1.0路由发出给到AR1

[AR2-rip-1]filter-policy 2000 export       -----对所有接口发出的路由做过滤

[AR2-rip-1]ACL 2000

[AR2-acl-basic-2000]rule PER S 192.168.2.0 0

 

 　　filter-policy 2000 export static　　import-route static　　对引入的静态路由实现过滤，本地不存在LSDB

　当过滤本地接口的路由时

　　filter-policy 2000 export　　针对链路状态路由协议无效，链路状态路由协议发送的是LSA

　　filter-policy 2000 import　　针对链路状态协议有效，不过是在加表实现过滤，本地LSDB中依旧有此链路状态

ACL的局限性？ACL只能抓取路由的前缀，不关心掩码信息，如果两条路由拥有相同的前缀，ACL无法分别抓取

前缀列表的优势？相比ACL来说既能匹配前缀也能抓取掩码，前缀列表不能用于流量过滤。

[AR1]ip ip-prefix test index 10 permit 192.168.1.0 24   ///匹配单条路由

[AR1]ip ip-prefix test index 10 permit 192.168.1.0 24 ge 25   // 代表前24bit固定，掩码在25-32之间

[AR1]ip ip-prefix test index 10 permit 192.168.1.0 24 ge 25 le 28   //前24bit固定，掩码在25-28之间

[AR1]ip ip-prefix test index 10 permit 0.0.0.0 le 32   //匹配所有路由

[AR1]ip ip-prefix test index 10 permit 0.0.0.0 0     //匹配默认路由

[AR1]ip ip-prefix test index 10 permit 0.0.0.0 ge 32  //匹配所有主机路由

前缀列表和 ACL的区别？

　　ACL既能基于数据报文进行过滤也能基于路由条目过滤    。  前缀列表只能基于路由条目过滤

　　ACL用于路由过滤的时候只能抓取路由前缀　　　　前缀列表能匹配路由前缀也能匹配掩码信息

 

router-policy：不仅能匹配路由条目，并且可以对路由条目的某些属性就进行修改

　应用点：1.路由引入时，通过route-policy可以实现路由的过滤和属性的修改

　　　　　2.可以作为filter-policy的匹配条件

　　　　　3.BGP中实施路由策略的工具

　组成：1.名字：用于标识唯一的route-policy

　　　　2.匹配模式：permit 和deny

　　　　3.节点号：类似acl中的rule。一个route-policy有多个节点组成，按照节点号从小到大匹配。唯一匹配

　　　　4.匹配语句：if-match语句，定义匹配某些条件，一个节点中可以匹配多个if-match语句，关系为逻辑或。不配置if-match戴白哦匹配所有

　　　　5.执行语句：apply语句，指定动作。如修改路由cost  tag   路由类型等。一个节点可以配置多个apply语句，关系为逻辑与

工具关系总结：

　　

 

 　　

 

 　　

 

  route-policy配置实验

 

 

引入 192.168.1.0 cost 100 type 1   引入 192.168.2.0 cost 200 type 2    引入192.168.3.0 cost 300 tag 999

由于filter-policy只能对路由的发出和接收做过滤，此时只能用到route-polict工具

步骤一：配置接口，双方启用ospf

步骤二：配置acl ，匹配这三条路由用于if-match。注，使用三条acl语句分别匹配出这三条路由

步骤三：创建route-policy

　　AR2]route-policy sto permit node 10    // 创建route-policy 名字为sto，匹配node10节点的语句

　　[AR2-route-policy]if-match acl 2000　　//匹配acl 2000的流量

　　[AR2-route-policy]apply cost 100　　　　//将acl2000的流量sot改为100

　　[AR2-route-policy]apply cost-type type-1

　　[AR2-ospf-1]import-route static route-policy sto //最后在OSPF进程下调用route-policy

注：route-policy默认存在拒绝所有语句。 所以  route-policy sto per node 1000       此语句为匹配所有

[AR2-ospf-1]import-route static route-policy sto ?
cost Set cost
tag Specify route tag
type Metric type of the imported external routes

在引入时，也能修改cost值，当策略冲突，匹配route-policy的路由按照route-policy修改。如果路由匹配route-policy，但是没有修改属性，按import-route修改

 

 

调整网络流量路径：通过路由策略和策略路由的方式都可实现

 

 当使用OSPF时，上面的带宽比下面的更好，此时由于OSPF选路机制，下面的链路会处于空闲的状态得不到利用。

使用路由策略来实现调整路径时，可以将上面的cost与下面的cost改为一致，此时会负载

使用策略路由来实现时，可以将链路利用率最大化。因此最优。

策略路由：可以人为制定转发策略，匹配报文的某些特性，根据特征进行报文转发路径的控制。

　　优点：根据用户需求，人为的制定转发策略，增强报文转发路径选择的灵活性和可控性

　　　　　使不同的数据报文，从不同的链路上发送出去，增加链路的利用率。

　　策略路由的种类：接口策略路由，只能针对经过接口的流量生效      本地策略路由 ，只能针对自身产生的流量生效

 

 

该场景下，pc访问8.8.8.8会基于流负载 ，链路利用率得不到最大化，可以配置策略路由，使1.0走100M  2.0走50M

策略路由是基于MQC  模块化QOS命令行来完成配置

　　流分类：将满足某种特征的流量匹配出来，，，，相当于acl，前缀列表

　　流行为：配置一种动作，，类似apply   ，如重定向到某一个借口发送

　　流策略：把了流分类和流行为关联一起

策略路由只能应用在imbound方向

配置步骤

1.定义acl用于给流分类匹配条件

[AR3-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

2.定义流分类

AR3]traffic classifier 1.0

[AR3-classifier-1.0]if-match acl 2000

3.定义流行为

[AR3]traffic behavior ar1

[AR3-behavior-ar1]redirect ip-nexthop 10.0.13.1  //定义下一跳为10.0.13.1

4.定义流策略将流分类与流行为关联

AR3]traffic policy 100

[AR3-trafficpolicy-100]classifier 1.0 behavior ar1

5.将策略路由应用在接口上

[AR3-GigabitEthernet0/0/0]traffic-policy 100 inbound    

2.0的流量配置与上述大同小异。

当需要对设备本身产生的流量进行控制转发路径时。需要用到本地策略路由

 

 验证时，多改几次ip，更改流的五元组，验证其不是基于流负载分担。

 

标签：匹配,策略,ip,route,policy,路由
来源： https://www.cnblogs.com/zx-1992884121/p/14639464.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。