网络笔记_路由策略

最新推荐文章于 2024-05-16 19:17:57 发布
最新推荐文章于 2024-05-16 19:17:57 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: 网络笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45839854/article/details/107643477
版权

目录

背景

对流量行为的控制需求分析

控制网络流量可达性

调整网络流量路径-单协议简单场景

路由策略

定义

目的

作用

实现机制

 地址前缀列表 IP Prefix List

语法规则

Filter-Policy 

距离矢量路由协议(RIP)进行传递的原理

链路状态路由协议(OSPF)路由传递原理

OSPF 只有一个区域进行路由过滤 图解

OSPF 区域间进行过滤 图解

配置

路由策略控制实验

Route-Policy

匹配规则

动作

配置命令   

Route-Policy 案例分析

分析1

分析2

分析3

分析4

分析5

背景

在企业网络的设备通信中,常面临一些非法流量访问的安全性及流量路径不优等问题,故为保证数据访问的安全性、提高链路带宽利用率,就需要对网络中的流量行为进行控制,如控制网络流量可达性、调整网络流量路径等。
而当面对更加复杂、精细的流量控制需求时,就需要灵活地使用一些工具来实现,本课程将主要介绍一些有关流量控制的常用工具及其使用场景。
 
 
 

对流量行为的控制需求分析

  1. 控制网络流量可达性
  2. 调整网络流量路径
 
 
 
 

路由策略

定义

  • 通过一系列工具或方法对路由进行各种控制的“策略"。
  • 影响路由的产生、发布、选择等,进而影响报文的转发路径。
 
 

目的

 
作用
结果
对路由进行过滤
要不要这条路由
修改路由属性
将这条路由的某个属性值修改为一个特定值

作用

  • 控制路由的接收、发布和引入,提高网络安全性
  • 修改路由属性,对网络数据流量进行合理规划,提高网络性能
 

实现机制

路由策略的核心内容是过滤器,通过使用过滤器,定义一组匹配规则
过滤器
应用范围
访问控制列表(ACL)
各动态路由协议
地址前缀列表(IP-Prefix List)
各动态路由协议
AS路径过滤器(AS-Path-Filter)
BGP协议
团体属性过滤器(Community-Filter)
BGP协议
拓展团体属性过滤器(Extcommunity-Filter)
VPN
RD属性过滤器(Route Distinguisher-Filter)
VPN 
路由策略(Route-Policy)
各动态路由协议
备注:路由策略(Route-Policy)可以使用前面6种过滤器定义自己的匹配规则,不仅可以匹配路由属性,还可以改变路由属性。
 
 
 
路由策略各工具之间的调用关系
 
 
路由类型
路由传递原理
距离矢量
过滤路由的发送和接收
链路状态
过滤路由表的生成,不影响LSDB的完整性
 

距离矢量路由协议(RIP)进行传递的原理

可在一台设备的出端口或在另一台设备的入端口进行设置
 
 
 

链路状态路由协议(OSPF)路由传递原理

LSA信息进入-->组建LSDB(LSDB是一定要保持完整性) 
可在LSDB生成路由表的过程中(SPF算法过程中)进行设置:此为入方向 
 
 
 

OSPF 只有一个区域进行路由过滤 图解

  • 只能在入方向进行过滤
  • 不会影响本设备的LSDB生成,是在LSDB生成后,进行SPF算法时候进行过滤的
  • 如果均运行OSPF且在同一区域,仅过滤一台设备不影响其他设备对该路由的获取(仅修改一台设备的配置不会影响其他设备的路由信息)
 
 

OSPF 区域间进行过滤 图解

  • 由于OSPF 区域间的路由是通过三类LSA进行学习转发的,而三类LSA又是通过将上一区域的路由经过打包
  • 在ABR进行过滤后,此ABR设备向其他设备发送路由信息就不会再包含该路由信息
 
 
 

配置

 
命令
备注
filter-policy 2000 export
在协议 出方向调用过滤策略(通过ACL过滤)
filter-policy prefix-list wakin import
在协议 入方向调用过滤策略(通过前缀列表过滤)
 
 
 

路由策略控制实验

拓扑图及配置如下:
  • R1、R2同属一个OSPF的Area 0 区域,R1上配置两个LoopBack口且宣告在OSPF进程中。
  • 需求:不允许12.12.12.12访问R2路由器
 
 
 
分析:
  • 需要对路由进行过滤,那么可以使用 ACL访问控制列表前缀列表进行控制。
  • 由于同属一个区域,那么只能对R2设备的 入方向做访问控制。
 
方法一(ACL)配置:
R2: 
acl 2000
rule deny source 12.12.12.12 0
rule permit---------------做一条保底路由,允许所有其他路由通过
ospf 
filter-policy 2000 import-----进入OSPF进程,在入方向调用ACL 2000进行流量过滤

方法二(前缀列表)配置:

R2: 
ip ip-prefix guolv deny 12.12.12.12 32 -------最后的32表示指定该主机
ospf
filter-policy ip-prefix guolv import

 

验证:
在R2上 ping  12.12.12.12
 
 
 

Route-Policy

一种强大而复杂的过滤器,用于 路由过滤修改路由属性
  • Route-Policy由若干个node构成,node之间是“或”的关系
  • 每个node下可以有若干个if-mach 和 apply 子句
  • if-match 之间是“与”的关系
  • 默认是拒绝(可在下面加一条空语句 "route-policy name permit node 1000",进行修改为允许)
 
 
 
 
 
Rule
Mode
匹配结果
permit
permit
  • 匹配该节点if-match子句的路由在本节点允许通过Route-Policy,匹配结束
  • 不匹配if-match子句的路由进行route-policy下一个节点的
permit
deny
  • 匹配该节点if-match子句的路由在本节点不允许通过Route-Policy,匹配结束
  • 不匹配if-match子句的路由进行Route-Policy下一个节点的匹配。
deny
permit
  • 匹配该节点if-match子句的路由在本节点不允许通过Route-Policy,继续进行Route-Policy下一个节点的匹配
  • 不匹配if-match子句的路由进行Route-Policy下一个节点的匹配
deny
deny
  • 匹配该节点if-match子句的路由在本节点不允许通过Route-Policy,继续进行Route-Policy下一个节点的匹配
  • 不匹配if-match子句的路由进行Route-Policy下一个节点的匹配
注1 :Rule 表示if-match子句中包含的匹配面膜是是permit 还是 deny
注2 :Mode表示Route-Policy中node节点对应的匹配模式Permit 还是 deny
 
 

匹配规则

 
匹配规则(if-match)
描述
ACL
路由信息的目的IP地址范围的匹配条件
prefix-list (前缀列表)
路由信息的目的IP地址范围的匹配条件
ip next-hop
路由信息的 下一跳地址的匹配条件
interface
路由信息的 出接口的匹配条件
route-type
路由信息类型的匹配条件
tag
RIP、OSPF、IS-IS路由信息的 标记域的匹配条件
cost
路由信息的 路由开销的匹配条件
 

动作

 
动作(apply)
描述
ip-address next -hop
设定通过过滤后路由信息的下一跳地址
preference
设定通过过滤够路由协议的优先级
tag
设定通过过滤后RIP、OSPF、IS-IS路由信息的标记域
cost
设定通过过滤后路由信息的路由开销
cost-type
设定通过过滤后路由信息的路由开销类型
 
 

配置命令   

 
命令
备注
route-policy name permit/deny node 10
创建route-policy
    if-match acl 2000
配置匹配规则
    apply cost 10
配置应用动作
display route-policy
验证route-policy
 
 

Route-Policy 案例分析

Table-1:原路由表
右方为设备的配置命令
Table-2:配置后的路由信息
 
案例图如下:
 

分析1

route-policy RP deny node 10
    if-match ip-prefix perf 1
解释:
首先查看第一个node,即node 10,并且注意:这里是deny 拒绝(即如果命中下列匹配规则,该路由一定不会通过)
它命中的是前缀列表1,查看前缀列表1中的信息: ip ip-prefix Pref 1 index 10 premit 5.5.5.5 32,和 ip ip-prefix Pref1 index 2 permit 1.1.2.0 24即允许5.5.5.5 /32 和 1.1.2.0 /24 此两条路由通过。
所以,总的来说,node 10 不允许5.5.5.5 /32 和 1.1.2.0 /24 这两条路由通过,且不向后继续查询
 
 

分析2

route-policy RP permit node 20
    if-match ip-prefix Pref2
解释:
  • 第一条node查询完成后,接着查询第二条node,即node 20,这里的状态的permit 允许(即先查看下面的过滤信息,再向后继续查询)
  • 过滤信息为 if-match ip-prefix Pref2,即匹配到前缀列表2,--->ip ip-prefix Pref2 index 10 deny 6.6.6.6 32,所以:本node不允许 6.6.6.6 /32 路由通过,可继续向下查询(因为node20状态为permit)
 
 

分析3

route-policy RP permit node 30
    if-match acl 2001
    if-match ip next-hop acl 2002
    apply cost 21
解释:
  • node30状态为permit,即先查看下面的过滤信息,再向后继续查询
  • 过滤规则第一条为acl 2001-->rule 0 permit source 1.1.3.0 0.0.0.255,即允许源地址为1.1.3.0 /24的路由通过 (注意:由于这里是ACL,/25网段也包含在/24网段内,所以此条ACL允许/24 /25两条路由通过)
  • 过滤规则第二条为 next-hop acl 2002,即下一跳应用ACL2002-->rule 0 permit source 13.13.13.1 0,即下一跳必须为13.13.13.1 。
  • 第三条为命中后的动作:将以上命中的路由,开销值修改为21
总的来看:node30的route-policy过滤信息为允许源地址为1.1.3.0 /24和 1.1.3.0 /25两条路由的 目的地址为13.13.13.1 的路由通过。并且将两条路由信息的开销值修改为21
 
 
 

分析4

route-policy RP permit node 40
    if-match ip-prefix Pref3
    apply cost 11
  • 首先node40的状态为允许,再查看下面的过滤信息
  • 过滤信息命中前缀列表3-->ip ip-prefix Pref3 index 10 permit 1.1.3.0 24    greater-equal 25 less-equal 25 即允许 1.1.3.0 /25此路由通过
  • 再查看信息:apply cost 11,即将上面命中的路由开销值修改为11
总的来看:;允许1.1.3.0 /25路由通过,且将该路由开销值修改为11
 
 
 

分析5

route-policy RP permit node 50
该node50的状态为允许
且没有过滤信息,即其余未命中路由全部允许通过
 
即:其他未命中路由全部允许通过
 
 
xxaafwqrtjmuio12850
关注
专栏目录
华为数通笔记-路由策略
qq_45959697的博客
04-07 6201
简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1.控制路由的接收和发布,只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2.控制路由的引入,在一种路由协议引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3.设置特定路由的属性,修改通过路由策略过滤的路
网工笔记-路由策略和策略路由整理
Fallenleaf_的博客
11-15 729
通过一系列工具或方法对路由进行各种控制的“策略”影响路由的产生、发布、选择等,进而影响报文的转发路径策略路由手工逐条配置,在哪个设备上配了就会对流量进行单独处理。有策略则按照策略转发,没有则按照普通报文正常转发。apply动作一般指定出接口或下一跳(假设把路由协议A引入进B,A→B)引入是在关键设备上(边界路由器)配置的直连/静态跟A有关的所有路由会引入进B1.从A学习到的路由会引入进B2.启用了A接口所有的网络路由会进入B引入的路由必须位于路由表中 (一定是最优的)
路由策略专题-第2期-Route-Policy详解
钟言的博客
08-01 1万+
本篇转载自华为企业互动社区的交换机在江湖,为路由策略专题-第2期-Route-Policy详解,详细包含了:一、Route-Policy的组成 二、路由策略匹配结果 三、路由策略使用案例等等
H3C基础配置文档抄录7-三层技术-IP路由配置(2)
阿元的笔记
09-02 1240
4、BGP 4.1BGP简介 BGP(Border Gateway Protocol,边界网关协议)是一种既可以用于不同 AS(Autonomous System,自治系统)之间,又可以用于同一 AS 内部的动态路由协议。当 BGP 运行于同一 AS 内部时,被称为 IBGP(Internal BGP);当 BGP 运行于不同 AS 之间时,称为 EBGP(External BGP)。AS 是...
路由控制配置 filter-policy import命令解析
将勤补拙
12-19 1万+
filter-policy import 命令 1.命令功能 filter-policy import命令用来按照过滤策略,设置对接收的路由进行过滤。 undo filter-policy import命令用来取消对接收的路由进行过滤。 缺省情况下,不对接收的路由进行过滤。 2.命令格式 filter-policy( acl-number I acl-name acl-name I ip-pref...
Linux_Tcpip协议栈笔记_linux_Linux_Tcpip协议栈笔记_
10-01
这篇笔记深入探讨了Linux系统下的TCP/IP协议栈工作原理和实现细节,对于学习网络通信、操作系统内核以及网络安全的研究者非常有价值。 首先,TCP/IP协议栈分为四层模型:应用层、传输层、网络层和数据链路层。在...
Linux网络之策略路由
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-16 1204
日常维护工作中,有时候会遇到单台主机多张网卡的情况,尤其云上环境,云主机多张网卡是一种常见网络配置场景,那如何让多网卡正常工作呢,本期基于此北京,回顾下Linux策略路由的相关知识;策略路由PBR:(Policy-Based-Route),它是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。该技术打破了路由表的传统选路规则,可以根据管理维护人员自定义的策略条件来选择性的转发数据包。
华三网络学习笔记路由策略与OSPF解析
"这是一份关于华三网络设备学习的心得笔记,主要涵盖了网络架构中的接入层、汇聚层和核心层的特点,路由选择原理,OSPF协议的组播地址,接口配置,VLAN操作,MVRP(Multiple VLAN Registration Protocol)的注意事项...
网络SE路由、广域、园区网络的学习笔记
08-02
总的来说,华三H3CSE的路由、广域、园区网络学习笔记是全面深入理解网络技术的好资源,涵盖了从基础概念到高级应用的诸多内容。通过阅读“笔记.zip”中的文档,你将能够提升自己的网络技术能力,为成为一名合格的...
contiki源代码及学习笔记_contiki_
09-29
- **研究网络协议**:深入理解RPL和6LoWPAN的工作原理,掌握如何配置和调整路由策略。 - **开发新应用**:尝试为Contiki开发新的传感器应用或服务,如环境监测、智能家居控制等。 - **参与社区**:加入Contiki的...
华三不同路由协议双向双点引入解决方式
weixin_45457085的博客
12-28 2816
双向双点引入产生的问题 1、双点引入导致路由回注,容易产生环路问题 2、解决路由回注问题后由于不同的路由协议计算的路由优先不同,会产生次优链路问题 拓扑介绍 1、SW1/2/3/4/5运行OSPF协议,采用P2P模式; 2、SW4/5/6运行ISIS协议,采用COST-STYLE :WIDE模式; 3、需要在SW4/5上进行双向双点引入,使两端互通并避免产生环路和次优路径 底层协议配置略过 在两台设备上进行互相引入后产生问题如下 1、在SW3上有回注路由,查看OSPF进程下的LS...
路由控制配置if-match ip-prefix命令解析
将勤补拙
12-19 9211
if-match ip-prefix命令解析 1.命令功能 if-match ip- prefix命令用来创建一个基于IP地址前缀列表的匹配规则。 undo if- match ip- prefix命令用来删除指定的基于IP地址前缀列表的匹配规则。 缺省情况下,路由策略中无IP地址前缀列表的匹配规则。 2.命令格式 if-match ip-prefix ip-prefix-name undo if...
Route-Policy 路由策略 规则详解
热门推荐
yiluyangguang1234的专栏
07-14 4万+
ROUTE-POLICY 路由策略 规则详解  在实际工程中经常用到route-policy的情况,下面对route-policy和ACL的详细匹配规则做以说明:  一、 标准访问列表:  #  acl number 2000    rule 0 permit source 192.168.1.0 0.0.0.255  此类ACL用于route-policy时做前缀匹配,即路由条目
策略路由 本地策略+接口策略
weixin_55773152的博客
05-23 1342
PBR:Policy-Based-Route,该技术打破了路由表的传统选路规则,可以根据管理员定义的策略条件来选择性的转发数据包。 路由策略和策略路由的区别: 路由策略中,拒绝的将不会被通过。 策略路由中,拒绝的将做正常转发。 策略路由规则: 本地策略路由:仅对本机下发的报文进行处理,对转发的报文不起作用。 接口策略路由:仅对转发的报文起作用,对本地下发的报文不起作用。 本地策略路由配置: apply out...
数通-综合实验案例
weixin_45695945的博客
04-10 3203
数通-综合实验案例 本次实验拓扑分为技术部、销售部、工程部,使用C类地址段(192.168.0.0)共六个网段 分别使用OSPF(开放式最短路径优先)、ACL(访问控制列表)、DHCP(接口模式)、rip(路由信息协议)、单臂路由的协议技术,让技术部可以和销售部ping通,技术部可以和工程部ping通但是销售部不能和工程部ping通。 实验拓扑图 实验平台 ENSP510 实验设...
使用route-policy对引入路由进行过滤
GRQ的博客
02-15 1631
R1有192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 三条静态路由 现在把静态路由引入ospf中时只保留192.168.1.0/24这一条路由并把开销改为20 拓扑图如下(先建立ospf邻居关系) R1 [Huawei]ip route-static 192.168.1.0 24 NULL 0 [Huawei]ip route-static 192.168.2.0 24 NULL 0 [Huawei]ip route-static 192.168...
路由控制配置ip ip-prefix命令解析
将勤补拙
12-18 3万+
ip ip-prefix命令 1.命令功能 ip ip- prefix命令用来创建IPv4地址前缀列表或增加其中一个表项。 undo ip ip-prefⅸ命令用来删除指定的IPV4地址前缀列表或其中一个表项。 缺省情况下,系统中无IPV4地址前缀列表。 2.命令格式 ip ip-prefix ip-prefix-name[ index index-number ] {permit | deny...
Route-Policy
A soul tortured by desire
07-10 1690
基本概念 Route-Policy路由策略,它是拥有一个或多个节点(Node)的列表,每个节点都可以是一系列条件语句及执行语句的集合,这些节点按照编号从小到达的顺序排列。在Route-Policy被执行的时候,设备从编号最小的节点开始进行路由匹配,如果被匹配的对象满足所有条件,则执行该节点中的执行语句,并且不会再继续往下一个节点进行匹配。如果在最小节点中有任何一个条件不满足,则前往下一个节点,以此类推。 如图,该Route-Policy的名称为hcnp,一共有三个节点,序号分别为5、10、15,之所
路由控制配置 peer route-policy命令解析
将勤补拙
12-20 4907
peer route-policy命令 1.命令功能 peer route-policy命令用来对来自对等体的路由或向对等体发布的路由指定 Route- Policy。 undo peer route-policy命令用来恢复缺省配置。 缺省情况下,对来自对等体的路由或向对等体发布的路由不使用路由策略。 2.命令格式 peer ( ipv4-address) route-policy route-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xxaafwqrtjmuio12850

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值