路由控制之路由策略
一、路由控制
控制网络流量可达性:
1、可通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性,这种方式称为路由策略(ACL)。
2、可直接通过依据用户指定的策略进行转发,且该策略优于路由表转发,这种方式称为策略路由。
调整网络流量路径:
1、可通过路由策略方式修改协议属性来控制路由表条目,从而调整流量路径。
2、可采用策略路由方式在查找路由表之前控制流量行为。
二、路由策略
定义:
通过一系列工具或方法对路由进行各种控制的策略。影响路由的产生、发布、选择等,进而影响报文的转发路径。(先影响路由表再影响数据库转发。)
路由属性:
cost开销值、优先级
三、IP前缀列表
作用:能同时精确匹配网络号和前缀长度,用于精确掩码策略。
ip ip-prefix test index 10 permit 192.168.0.0 16
ospf1
filter-policy ip-prefix test export
命令详解:
只接受IP前缀中允许192.168.0.0 16位掩码的路由,然后调用在出接口中.
语法介绍:
ip ip-prefix test index 10 permit 192.168.0.0 16 greater-equal 25
##匹配192.168.0.0/16前16位掩码内大于等于25位的网络,有192.168.0.0/26-192.168.0.0/32。
实验案例:
匹配所有路由:
ip ip-prefix test index 10 permit 0.0.0.0 0 less-equal 32
匹配主机路由:
ip ip-prefix test index 10 permit 1.1.1.1 32
匹配所有主机路由:
ip ip-prefix test index 10 permit 0.0.0.0 0 greater-equal 32
不要一条其他都要:
ip ip-prefix test index 10 deny 192.168.0.0 24
ip ip-prefix test index 20 permit 0.0.0.0 0 less-equal 32
只匹配默认路由:
ip ip-prefix test index 10 permit 0.0.0.0 0
四、Filter-Policy
Filter-Policy:一种常用得路由过滤的调用工具,只能过滤路由,无法过滤LSA,不能修改路由属性。
RIP是一个设备收不收直接影响下一个设备;OSPF是数据库都是同步的,必须在2台路由器数据库生成路由表的时候时候都要做引入策略。
多区域数据转发是通过LSA3类,LSA3是路由汇总,ABR在生成路由表的时候做注入策略改变路由表后,ABR汇总的就是改变后的,所以转发也是改变后的。
1、Fliter-Policy配置实验
1.1 Filter-Policy之RIP配置
以上环境中,R1出口过滤了11.11.11.11,R2过滤了入口过滤了1.1.1.1,数据库正常情况下只能接收到111.111.111.111的路由信息,看结果:
1.2 Filter-Policy之OSPF配置
注:OSPF 1、2类LSA属于同一区域LSA,统一区域的LSDB都是互相同步的,无法使用策略过滤,只可在数据库信息同步完成后生成路由表时路由接收入口做策略过滤路由。
按照以上配置完毕后,AR2的路由表:
以此说明在在出口做策略对于注入LSA5类路由来说有效。
六、Route-Policy
是一种强大而又复杂的策略工具(过滤器),用于路由过滤和修改路由属性,与Filter Policy区别在与可以修改路由属性,但是无法直接调用,因为是策略工具,它可以调用所有条件工具,但是只能被调用工具所调用。
Question:如果route-policy中模式为允许,但是前缀列表或者ACL中为拒绝这种情况下是拒绝还是允许?
详解:
条件拒绝,规则就是不匹配,直接匹配下一条。
1、 匹配条件
2、 动作
3、 配置命令
PS: 一般都会在最后增加一条空规则作用于除设置策略外的其他路由信息。
route-policy test permit node 10 if-match acl 2000
##规则名为test索引为10的节点,模式为允许,条件是acl2000过来的路由允许通过
> route-policy test permit node 20
> if-match interface GigabitEnthernet0/0/1
> if-match ip-prefix test
> apply cost 1000
> apply tag 10
##规则名为test索引为20的节点,模式为拒绝,条件是满足名为test的IP前缀列表以及出接口为G0/0/1,开销为1000并打上10的tag
route-policy test permit node 30
##不增加任何条件即表示即没有匹配node10规则,也没有匹配node20的规则外所有数据全部允许,如果不写表示除此以外全部拒绝。
注:可以没有匹配规则、也可以没有应用动作。
七、Route-Policy 配置实例
1. 规则详解
Table-1 为实施路由策略前的路由信息表,Table2为使用路由策略后的路由表。
第一条规则为:
route-policy RP deny node 10
if-match ip-prefix Pref1
规则名为RP节点序号为10,行为拒绝,内容为匹配名为Pref1的IP前缀列表。Pref1的IP前缀列表有2条,分别为允许5.5.5.5
32和允许1.1.2.0 24,因为规则行为为Deny所以此条规则直接拒绝。
第二条规则为
route-policy RP permit node 20
if-match ip-prefix Pref2
规则名为RP节点序号为20,行为允许,内容为匹配名为Pref2的IP前缀列表。Pref2的IP前缀列表有1条,为拒绝6.6.6.6/32,因为规则行为为permit但是前缀列表里为deny所以此条规则暂时不匹配,继续匹配下一条。
第三条规则为:
route-policy RP permit node 30
if-match acl 2001
if-match next-hop acl 2002
app cost 21
规则名为RP节点序号为30,行为允许,内容为匹配名为2001的acl,下一跳匹配2002并更改开销为21。
acl2001内容为:允许1.1.3.0 0.0.0.255(1.1.13.0/24网段路由,此网段包括1.1.1.3/25);
acl2002内容为:允许13.13.13.1 0;
所以此条规则为允许1.1.3.0/24 和1.1.1.3.0/25下一跳为13.13.13.1的路由通过并修改他们的开销值为21,所以列表里有下图2条路由信息。
第四条规则为:
route-policy RP permit node 40
if-match ip-prefix Pref3
app cost 11
规则名为RP节点序号为40,行为允许,内容为匹配名为Pref3的IP前缀列表。Pref3的IP前缀列表内容为允许1.1.3.0/24路由但是掩码为大于等于25小于等于25,所以此条规则为允许1.1.3.0/25 的路由通过并修改他们的开销值为11,所以列表里有下图1条路由信息。**
第五条规则为:
route-policy RP permit node 50
规则名为RP节点序号50,行为允许,内容为空,表示除了以上4条策略规则其他意外的所有路由全部允许,固路由表中有以下3条路由。**
6.6.6.6 路由在第二条路由策略中没有匹配,所以继续匹配下面的规则,最后被第五条规则匹配。
八、 总结
以上为路由策略所有内容,下一章节策略路由。
714
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
