华为网络之路由策略
前言:在企业网络的设备通信中,常面临一些非法流量访问的安全性及流量路径不优等问题,故为保证数据访问的安全性、提高链路带宽利用率,就需要对网络中的流量行为进行控制,如控制网络流量可达性、调整网络流量路径等。
而当面对更加复杂、精细的流量控制需求时,就需要灵活地使用一些工具来实现,本课程将主要介绍一些有关流量控制的常用工具及其使用场景。
场景1例子
比如,公司要求财政部要求数据流量走运营商1,技术部的数据流量走运营商2,这是最典型的案例。
例子2
需求(控制网络流量可达性):老板可以访问所有部门,但是技术部不可以访问资料部为了保证安全性
需求(调整网络流量路径)优先选择好的链路走向至关重要,优化网络路径
解决方案
解决方案一:可通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性,这种方式称为路由策略。
解决方案二:可使用Traffic-Filter工具对数据进行过滤,这种方式称为流量过滤。
过滤技术部到资料部的流量数据,禁止访问,可使用Traffic-Filter工具对数据进行过滤,这种方式称为流量过滤。
控制流量走向有两种解决方案
上面链路带宽高,故走上面是最合理的,下方链路可备用闲置
解决方案一:可通过路由策略方式修改协议属性来控制路由表条目。
解决方案二:可采用策略路由方式在查找路由表之前控制流量行为。
路由策略
常见的便是ACL,IP-Prefix List,Route-Policy
策略工具有哪些和之间的关系
策略工具分为三类,类型分别为,条件工具,策略工具,调用工具
功能:
条件工具:把需要的路由抓取出来
策略工具:把抓取出来的路由执行动作,允许,拒绝,修改属性等
调用工具:将路由策略应用到某个具体的路由协议里面,使其生效
工具有哪些:
调用工具:
在所有路由协议中通用的有:filter-policy(此工具可直接调用条件工具) import-route
在BGP中专用的有 dampening network peer
策略工具:route-policy
条件工具:
1:在所有路由协议中通用的有: ACL(访问控制列表) IP Prefix List(地址前缀列表)
2:BGP专用的: AS_Path filter(AS路径过滤器) Community Filter (团队属性过滤器) Extcommunity Filter (扩展团队属性过滤器) Route Distinguisher Filter (RD属性过滤器)
IP-Prefix List :前缀列表
优缺点:
1:能同时精确匹配网络号和前缀长度
2:性能和可控性比ACL更高,(ACL无法匹配掩码/前缀长度)
3:前缀列表不能用于数据包的过滤,(ACL可以直接调用在接口实现过滤)
所有,ACL无法实现
那么就需要使用前缀列表了
验证:
成功
前缀列表的规则
[heng]ip ip-prefix mingzisuiyi index 10 permit 192.168.0.0 16 **注释:正常匹配前缀长度16的**
[heng]ip ip-prefix mingzisuiyi index 10 permit 192.168.0.0 16 greater-equal 16 less-equal 32 **注释:匹配16到32前缀长度的**
[heng]ip ip-prefix mingzisuiyi index 10 permit 192.168.0.0 16 greater-equal 24 **注释:匹配最小为24的,也就是24-32前缀长度的**
[heng]ip ip-prefix mingzisuiyi index 10 permit 192.168.0.0 16 less-equal 26 **注释:匹配最大为26的,也就是16-26的前缀长度的**
一个小习题: