路由策略&策略路由
控制层面—路由信息、路由条目的流量传递层面
数据层面—基于本地路由表发送的数据流量
路由策略—在控制层面对流量进行抓取,之后进行策略修改,最终影响到路由条目的加表;核心目的为干涉选路;
一、抓流量
(1)ACL访问控制列表–实现访问控制(针对数据层面流量)
主要作用:在路由器接口上对进出的数据层面流量进行限制
次要作用:为控制层面的路由策略抓取流量
因为ACL仅匹配一个范围的地址,不关注数据包中的子网掩码;故在特定环境下无法精确匹配 一个网络号;
华为ACL匹配数据包时默认隐含允许;匹配路由时默认隐含拒绝
(2)前缀列表–专用于抓取控制层面的网络号
[r1]ip ip-prefix xixi(随便取个名字) permit 3.3.3.0 24
[r1]ip ip-prefix xixi index 15 deny 4.4.4.0 24
[r1]ip ip-prefix permit 1.1.1.0 24 less-equal 32 #掩码长度为24到32
[r1]ip ip-prefix permit 5.5.5.0 24 greater-equal 30 #掩码长度为30到32(由32位掩码之内比30高的构成)
[r1]ip ip-prefix permit 6.6.6.0 24 greater-equal 29 le 31 #掩码长度为29到31
规则:length < ge < le
匹配规则:至上而下逐一匹配,上条匹配,按上调执行,不再查看下条;末尾隐含拒绝所有
[r1]ip ip-prefix xixi permit 0.0.0.0 0 le 32 #允许所有
二、策略
(1)cisco的偏移列表
在cisco体系中算一种路由策略,在华为体系中不是策略;而是RIP这样的距离矢量协议专用,**修改度量(rip为跳数)**的操作;在cisco中偏移列表只能在RIP和eigip这样的距离矢量协议中使用,华为也一样;在cisco下只能用ACL为其服务;华为下,acl和前缀列表都可以;
[r1]ip ip-prefix aa permit 2.2.2.0 24 #使用前缀列表抓取acl也可
[r1]interface GigabitEthernet 0/0/1 #进入控制层面流量传输的接口
[r1-GigabitEthernet0/0/1]rip metricin ip-prefix aa 2 #流量入,匹配前缀列表aa,度量加2
metricout 2000 2 #流量出,匹配acl 2000,度量加2
该策略为逐跳行为,效果可以叠加操作;整段路径中流量经过的多个接口均配置了度量增加,最终为总增加度量;
(2)cisco下的分发列表(华为为过滤策略)
先使用ACL或前缀列表,匹配流量;然后在控制层面流量的入或出接口上限制路由条目的传递;
[r2]ip ip-prefix qq deny 2.2.2.0 24 #拒绝某一条
[r2]ip ip-prefix qq permit 0.0.0.0 0 less-equal 32 #允许所有
[r2]rip 1
[r2-rip-1]fifter-policy ip-prefix qq ?
export specify an export policy #出方向
import specify an import policy #入方向
[r2-rip-1]fifter-policy ip-prefix qq export GigabitEthernet 0/0/0
切记:若使用ACL定义流量,正常华为ACL末尾允许所有,但在过滤策略中一定手工配置允许所有命令;
OSPF协议中正常无法在出方向调用,因为OSPF使用的拓扑更新,在同一个区域内不可以限制拓扑的传递;正常只能在入向调用,并不影响数据库的同步,仅仅是不将该LSA计算所得的路由加载到路由表,若想出口调用,可以在ABR/ASBR上针对3/4/5/7类LSA进行;
(3)cisco的route-map(PBR策略路由)
route-map只能在重发布的环境中使用
配置指南:
1.即便要拒绝一个流量,在抓取时也必须使用允许,之后再路由策略来拒绝;
2.至上而下逐一匹配,上条匹配按上条执行,不再查看下条,末尾隐含拒绝所有
3.在一条规则中,若没有进行流量匹配那就是匹配所有,若没有应用那么仅对匹配流量进行当前大动作;因此大动作为允许的空表代表允许所有;
或 与 关系
或关系为每个站点(每个序号)间为或关系;
序号10没匹配到流量,再序号20;
总结或与关系:
条目基于站点号(序号)至上而下逐一匹配,上条匹配按上条执行,不查看下条----或关系
在每一个序号中,同时匹配所有流量,同时执行所有小动作-----与关系