策略路由(本地策略和接口策略)

已于 2022-11-08 13:10:39 修改
阅读量3.2k 收藏 17
点赞数 2
分类专栏: 路由交换 文章标签: 网络
于 2022-11-08 13:07:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45309500/article/details/127748344
版权

策略路由(本地策略和接口策略)

会影响数据包的转发过程,不依赖于路由表,只要匹配到定义的策略,就可以进行转发

策略路由和路由策略差别:

路由策略可以对路由的引入,转发等行为进行控制,属于控制平面,为路由协议服务,并且路由策略中没有匹配到的会直接丢弃

策略路由是基于策略的转发,属于转发平面,需要逐跳配置策略,以保证策略可以正常转发,如果策略未匹配,再按照路由表转发

可以得出:策略路由是在查看路由表之前就执行,并且不会因为没有匹配就对数据包丢弃

策略路由分类:

1. 本地策略
需要在本机(配置的那台设备)下发,只会对本机发送的数据包进行匹配,如果是别的设备转发过来的不会生效

2. 接口策略
会对其他设备转发的数据包进行匹配,需要在接口的入方向进行调用(如果在出方向,路由表都以及查看完毕了,路也选好了,还要策略干啥呢)

语法格式:
本地策略使用的是:policy-based-route

一个policy里面可以绑定多个if-match,if-match之间是与关系
也可以都多个节点(node),不同的节点是或关系

policy-based-route xxx(策略名)  permit/deny  node 10
if-match xxxx  (eg:acl)
apply xxxxx  (eg:指定下一跳,优先级,开销....)

接口策略使用的MQC流策略

一个策略里面可以绑定多对流分类和流行为

traffic classifier xxx(name)---->里面调用acl一类的匹配工具(流分类)
traffic behavior xxx(name)-->里面配置匹配对匹配到的感兴趣流的行为(流行为)
traffic policy xxx(name)----->将流分类和流行为进行绑定

实验环境:

在这里插入图片描述整个拓扑使用ospf协议,划分了一个区域area 0 ,主机的地址通过dhcp获取
配置:

sw1
undo te mo
sys
sys sw1
vlan ba 10 20 30 100
int g0/0/1
port l ac
port de vlan 10
int g0/0/2
port l ac
port de vlan 20
int g0/0/3
port l ac
port de vlan 30
int g0/0/4
port l ac
port de vlan 100
dhcp en
int vlan 10
ip add 192.168.10.254 24
dhcp select int
int vlan 20
ip add 192.168.20.254 24
dhcp select int
int vlan 30
ip add 192.168.30.254 24
dhcp select int
int vlan 100
ip add 192.168.100.253 24
ospf 1 router-id 100.100.100.100
a 0
net 192.168.0.0 0.0.255.255
----------------------------------------------------------------------
sys
sys rt1
int g0/0/0
ip add 192.168.100.1 24
int g0/0/1
ip add 12.0.0.1 24
int g0/0/2
ip add 13.0.0.1 24
ospf 1 router-id 1.1.1.1
a 0
net 12.0.0.0 0.0.0.255
net 13.0.0.0 0.0.0.255
net 192.168.0.0 0.0.255.255
----------------------------------------------------------------------
sys 
sys rt2 
int g0/0/0
ip add 12.0.0.2 24
int g0/0/1
ip add 24.0.0.2 24
ospf 1 router-id 2.2.2.2
a 0
net 12.0.0.0 0.0.0.255
net 24.0.0.0 0.0.0.255
---------------------------------------------------------------------
sys 
sys rt3 
int g0/0/0
ip add 13.0.0.3 24
int g0/0/1
ip add 34.0.0.3 24
ospf 1 router-id 3.3.3.3
a 0
net 12.0.0.0 0.0.0.255
net 34.0.0.0 0.0.0.255
--------------------------------------------------------------------
sys 
sys rt4
dhcp en
int g0/0/0
ip add 24.0.0.4 24
int g0/0/1
ip add 34.0.0.4 24
int g0/0/2
ip add 10.0.0.254 24
dhcp select int
ospf 1 router-id 4.4.4.4
a 0
net 24.0.0.0 0.0.0.255
net 34.0.0.0 0.0.0.255
net 10.0.0.0 0.0.0.255

配置完成后,主机分配到的地址分别是:

pc1192.168.10.253/24
pc2192.168.20.253/24
pc3192.168.30.253/24
pc410.0.0.253/24

如果通过本地策略配置pc1到pc4从rt3上走,会有什么效果
配置:

rt1 
acl 2000
rule 5 permit source 192.168.10.0 0.0.0.255
policy-based-route ops permit node 10
 if-match acl 2000
 apply ip-address next-hop 13.0.0.3 
ip local policy-based-route ops

发现pc1仍旧从RT2上走,并没有匹配上RT1的策略

在这里插入图片描述但是

在RT1上测试却发现,只有RT1的192.168.10.0才会从RT3上走(在RT1上设置了一个地址为192.168.10.100的回环口)
从抓包来看,对方回应的包并没有走RT3这条路

在这里插入图片描述
在这里插入图片描述

如果用接口策略配置会有什么样的效果

配置:

acl number 2000  
 rule 5 permit source 192.168.10.0 0.0.0.255 
#
traffic classifier pc1 operator or
 if-match acl 2000
#
traffic behavior pc1
 redirect ip-nexthop 13.0.0.3
#
traffic policy link
 classifier pc1 behavior pc1

手动指定下一跳是13.0.0.3,当pc1的数据包到达RT1后,接口处调用策略,查看是否匹配classifier中的if-match,匹配后按照行为将数据包发送到下一跳为13.0.0.3的路由器上,到达RT3后,发现没有策略,于是按照正常的路由表进行转发

并且不仅仅是对于本机(被配置的设备),转发设备也可以被匹配上

在这里插入图片描述整体策略的配置:

acl number 2000  
 rule 5 permit source 192.168.10.0 0.0.0.255 
acl number 2001  
 rule 5 permit source 192.168.20.0 0.0.0.255 
#
traffic classifier pc2 operator or
 if-match acl 2001
traffic classifier pc1 operator or
 if-match acl 2000
#
traffic behavior pc2
 redirect ip-nexthop 12.0.0.2
traffic behavior pc1
 redirect ip-nexthop 13.0.0.3
#
traffic policy link
 classifier pc1 behavior pc1
 classifier pc2 behavior pc2

因为pc3的网段需求是默认路径,则不需要进行额外的配置
验证可以看出pc2和pc3都是从RT2上进行转发

在这里插入图片描述

番茄上的Tomato
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
策略路由 本地策略+接口策略
weixin_55773152的博客
05-23 1245
PBR:Policy-Based-Route,该技术打破了路由表的传统选路规则,可以根据管理员定义的策略条件来选择性的转发数据包。 路由策略策略路由区别: 路由策略中,拒绝的将不会被通过。 策略路由中,拒绝的将做正常转发。 策略路由规则: 本地策略路由:仅对本机下发的报文进行处理,对转发的报文不起作用。 接口策略路由:仅对转发的报文起作用,对本地下发的报文不起作用。 本地策略路由配置: apply out...
策略路由(Policy Route)
热门推荐
whoim_i的博客
12-22 1万+
目录什么叫策略路由策略路由优点策略路由流程route-map概念定义route-map格式route-map特征相关配置基于源地址的策略路由基于目的地址的策略路由基于报文长度的策略路由 什么叫策略路由? 所谓策略路由,顾名思义,即是根据一定的策略进行报文转发,因此策略路由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进...
面试官必问的,策略路由(Policy-Based-Route,如果不想35岁被淘汰这篇文章必看
最新发布
2401_83739727的博客
04-09 328
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。最近我才对这些路线做了一下新的更新,知识体系更全面了。
策略路由的配置
weixin_50281314的博客
07-24 7524
MQC包含三个要素:流分类(traffic classifier)、流行为(traffic behavior)和流策略(traffic policy)。
华为策略路由
qq_51142269的博客
08-15 1820
主要介绍了华为策略路由的相关配置以及案例分析
策略路由配置
A soul tortured by desire
11-05 1万+
策略路由:通过配置数据包下一跳决定数据路径,可以实现源地址或目的地址(IP或网段)路由出口所走的路由器进出口; 策略路由具体配置可以分为3个部分: 1、配置acl,用作配置允许访问列表; acl number 3000 //高级acl rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0....
本地策略路由配置(转)
eighteenxu的博客
06-24 1761
基于报文协议类型的本地策略路由配置举例 组网需求 通过策略路由控制Switch A产生的报文: · 指定所有TCP报文的下一跳为1.1.2.2; · 其它报文仍然按照查找路由表的方式进行转发。 其中,Switch A分别与Switch B和Switch C直连。 组网图 图1-1 基于报文协议类型的本地策略路由的配置举例组网图 配置步骤 (1) ...
策略路由综合实验
04-30
1、 公司甲、乙各申请一个C类地址接入Internet,网关分别是222.31.45.1和222.31.46.1,本地局域网均使用私有地址。由于业务需要,又租用城域光纤实现专线连接。参照拓扑示意,完成设备接口配置。
策略路由和QOS常见应用介绍.pptx
03-15
在 R1 上应用本地 IP 策略路由。这个策略将将大小为 64 ~ 100 字节的报文设置 150.1.1.2 作为下一转发 IP 地址;而将大小为 101 ~ 1000 字节的报文设置 151.1.1.2 作为下一转发 IP 地址。所有其它长度的报文都按...
Linux 策略路由简介.docx
09-23
在Linux中,策略路由主要涉及到多路由表和路由规则两个核心概念。 一、多路由表 1. 本地路由表(Local table,表号255):存放本地接口地址、广播地址和NAT地址,由系统自动维护,用户不可直接修改。 2. 主路由表...
基于策略的路由具体应用
05-12
此外,路由器A还通过“ip local policy route-map lab1”命令使策略路由适用于本地产生的报文,确保路由器自身产生的数据包也受到策略路由的控制。访问列表1和2定义了需要匹配的IP地址,而route-map lab1中的permit ...
7-NAT_策略路由.pptx
09-23
配置策略路由通常包括定义匹配条件和指定下一跳接口。 总的来说,NAT和策略路由网络设计和管理的关键组成部分,它们帮助组织有效地利用有限的公网IP地址,同时提供了网络流量管理和控制的灵活性。了解和掌握这些...
华为网络配置(策略路由
1风天云月的博客
12-12 1万+
目录 前言 一、策略路由概述 1、策略路由介绍 2、策略路由优点 3、本地策略路由 4、本地策略路由实现原理 5、接口策略路由 6、接口策略路由实现原理 7、智能策略路由 8、智能策略路由产生背景 9、特性依赖和限制 二、策略路由配置 1、案例 2、配置过程 (1)AR1 (2)AR2 (3)AR3 (4)AR4 3、测试 (1)接口策略路由 (2)本地策略路由 结语 前言 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可...
路由策略策略路由区别
09-06 6404
路由策略策略路由区别这两中方案都是为了控制网络流量的可达性或调整网络流量的路径:一、路由策略。(Route-Policy)路由策略是通过修改路由表的路由条目来控制数据流量的可达性。即对接受和发布的路由进过滤。这种方式称为路由策略。路由策略由于仅仅在路由发现的时候产生作用,在路由表产生且稳定之后,如果网络不发生变化,路由表通常都不会变化,这时候,路由策略没有应用就不会占用资源。 二、策略路由。(...
Windows与网络基础-15-本地安全策略
w辣条小王子
09-02 7312
本地管理员为计算机进行设置以确保其安全。例如,限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。这些安全设置分组管理,就组成了的本地安全策略
找不到“本地策略”,没有“本地策略”的解决办法
Bawei_的博客
11-20 2951
本文提供找不到 本地策略 的解决办法 只需4步,结果如下图: 1.首先打开记事本,并输入以下内容 @echo off pushd “%~dp0” dir /b %systemroot%\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >gp.txt dir /b %systemroot%\servicing\Packages\Microsoft-Windows-G
详解策略路由和路由策略区别
weixin_34391445的博客
01-27 1820
 一、路由策略 路由策略,是路由发布和接收的策略。其实,选择路由协议本身也是一种路由策略,因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的。通常我们所说的路由策略指的是,在正常的路由 协议之上,我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,注意,...
[HCIP] 04 - 路由控制之策略路由
weixin_42728126的博客
07-25 1748
路由控制之策略路由一、策略路由二、PBR三、需求场景四、路由策略策略路由区别五、配置规则六、策略配置实验 一、策略路由 二、PBR PBR:Policy-Based-Route,基于策略的路由,该技术打破了路由表的传统选路规则,可根据管理员定义的策略条件来选择性的转发数据包。(忽视路由表,根据定义的策略进行转发。) 三、需求场景 1、不同网段走不同运营商 2、不同业务流量走不同网段 因为路由策略只会根据你三层的目标IP地址、查看路由信息然后转发数据;而不同的流量走的是传输层,所以路由策略无法影
nestjs 自定义守卫和自定义本地策略有什么不同
06-10
NestJS 中的自定义守卫和自定义本地策略都是用于保护路由的工具,但它们的工作方式略有不同。 自定义守卫是一个类,它实现 `CanActivate` 接口并包含一个名为 `canActivate` 的方法。在 `canActivate` 方法中,您可以编写逻辑来检查用户是否可以访问该路由。如果 `canActivate` 方法返回 `true`,则表示用户可以访问该路由。如果方法返回 `false` 或抛出异常,则表示用户无法访问该路由。 以下是一个示例自定义守卫: ```typescript import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common'; @Injectable() export class MyGuard implements CanActivate { canActivate(context: ExecutionContext) { const request = context.switchToHttp().getRequest(); return request.user && request.user.role === 'admin'; } } ``` 在上面的代码中,我们定义了一个名为 `MyGuard` 的自定义守卫。在 `canActivate` 方法中,我们检查请求对象中的用户对象是否存在,并且用户具有 `admin` 角色。如果这些条件都为真,则返回 `true`,表示用户可以访问该路由。否则,返回 `false`。 自定义本地策略是一个类,它实现 `PassportStrategy` 接口并包含一个名为 `validate` 的方法。在 `validate` 方法中,您可以编写逻辑来验证用户凭据并返回用户对象。如果用户凭据有效,则返回用户对象。如果凭据无效,则抛出异常。 以下是一个示例自定义本地策略: ```typescript import { Injectable } from '@nestjs/common'; import { PassportStrategy } from '@nestjs/passport'; import { Strategy } from 'passport-local'; import { AuthService } from './auth.service'; @Injectable() export class MyStrategy extends PassportStrategy(Strategy) { constructor(private readonly authService: AuthService) { super(); } async validate(username: string, password: string) { const user = await this.authService.validateUser(username, password); if (!user) { throw new UnauthorizedException(); } return user; } } ``` 在上面的代码中,我们定义了一个名为 `MyStrategy` 的自定义本地策略。在 `validate` 方法中,我们调用 `AuthService` 中的 `validateUser` 方法来验证用户凭据。如果凭据有效,则返回用户对象。否则,抛出 `UnauthorizedException` 异常。 总的来说,自定义守卫和自定义本地策略都是用于保护路由的工具。自定义守卫用于检查请求对象中的信息,以确定用户是否可以访问该路由。自定义本地策略用于验证用户凭据,并返回用户对象。您可以根据您的需求选择使用其中的一个或两个。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

番茄上的Tomato

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值