文章目录
匹配工具
ACL(访问控制列表)
ACL可以匹配路由,也可以匹配流量
0表示严格匹配,1表示任意匹配与反掩码类似
配置命令
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 5 deny source 172.16.1.0 0.0.0.255
系统隐含规则为默认拒绝所有
rule 4294967294 deny
匹配机制
按照 rule 从大到小的顺序开始匹配,命中则执行动作(permit / deny),否则依次进行匹配直至命中隐含规则拒绝。
ip-prefix list(IP前缀列表)
ip-prefix只能匹配路由,不能匹配流量
将路由条目的网络地址、掩码长度作为匹配条件的过滤器,可在各路由协议发布和接收路由时使用。
[Huawei] ip ip-prefix 名字 index 序号 permit 192.168.1.0 22 greater-equal 24 less-equal 26
掩码范围
mask-length<=greater-equal-value<=less-equal-value<=32
匹配机制
参考ACL
路由策略
路由策略只会影响到路由表
Filter-Policy(过滤-策略)
一个很常用的路由信息过滤工具,能够对接收、发布、引入的路由进行过滤,可应用于IS-IS、OSPF、BGP等协议。
只能过滤路由信息,不能过滤LSA。
在入方向过滤时被过滤的路由不会出现在路由表,但在ospf 路由表中依旧存在。
在出方向过滤时被过滤的路由不会被转化成5类LSA发布出去。
配置命令
[R2-ospf-1] filter-policy 2000 import
Route-Policy
用于过滤路由信息,以及为过滤后的路由信息设置路由属性。
一个Route-Policy由一个或多个节点(Node)构成,每个节点都可以是一系列条件语句(匹配条件)以及执行语句(执行动作)的集合,这些集合按照编号从小到大的顺序排列。
Node 决定了是否通过
if-match决定了是否匹配,如果 匹配条件是deny,可以继续匹配下一个node节点
如果对于没有匹配上route-policy的路由也希望通过,需要在route-policy上增加一个permit的空节点,比如:route-policy RP permit node 50,该节点下没有任何条件或者执行语句
配置命令
[Huawei] route-policy name { permit | deny } node number
[Huawei-route-policy] if-match ?
[Huawei-route-policy] apply ?
[R1-ospf-1] import-route direct route-policy name
策略路由
策略路由:针对的是流量 不会影响路由表
PBR(Policy-Based Routing,策略路由)
PBR可以基于各种元素进行转发
创建PBR
[Huawei] policy-based-route name { deny | permit } node node-id
创建过滤条件
[Huawei-policy-based-route-PBR-10] if-match acl acl-number
[Huawei-policy-based-route-PBR-10] if-match packet-length min-length max-length
创建动作
[Huawei-policy-based-route-PBR-10] apply output-interface interface-type interface-number
- 接口PBR:
接口PBR只对转发的报文起作用,对本地始发的报文无效。接口PBR调用在接口下,对接口的入方向报文生效。缺省情况下,设备按照路由表的下一跳进行报文转发,如果配置了接口PBR,则设备按照接口PBR指定的下一跳进行转发。
[Huawei-GigabitEthernet0/0/0] ip policy-based-route Policy-name
- 本地PBR
本地PBR对本地始发的流量生效。本地PBR在系统视图调用。
[Huawei] ip local policy-based-route Policy-name
MQC(Modular QoS Command-Line Interface,模块化QoS命令行)
通过将具有某类共同特征的数据流划分为一类,并为同一类数据流提供相同的服务,也可以对不同类的数据流提供不同的服务。
- 流分类:抓取感兴趣得到兴趣流
- 流行为:对感兴趣的兴趣流重定向
- 流策略:将流分类和流行为绑定
流策略存在方向(inbound、outbound)的概念,策略中的流行为匹配入、出方向的报文,对匹配中的报文执行相应的流动作。
配置命令
创建流分类,个规则之间缺省为或
[RTA] traffic classifier 1
[RTA-classifier-1] if-match acl 3000
创建流行为
[RTA] traffic behavior 1
[RTA-behavior-1] redirect ip-nexthop 202.1.2.3
创建流策略,并绑定流分类与流行为
[RTA] traffic policy 1
[RTA-trafficpolicy-1] classifier 1 behavior 1
在g0/0/0入方向调用
[RTA] interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0] traffic-policy 1 inbound
流量过滤工具
创建ACL
[RTA] acl number 3000
[RTA-acl-adv-3000] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
接口调用Traffic-Filter
[RTA] interface GigabitEthernet 0/0/2
[RTA-GigabitEthernet0/0/2] traffic-filter outbound acl 3000