32策略路由和流量过滤

最新推荐文章于 2024-01-19 18:57:56 发布
最新推荐文章于 2024-01-19 18:57:56 发布
阅读量1.2k 收藏 27
点赞数 20
分类专栏: 网络工程师HCIA 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47774079/article/details/135363639
版权
本文详细介绍了策略路由(PBR)在控制数据包转发路径、MQC的模块化QoS管理和流量过滤的应用,包括PBR的结构、配置案例以及如何使用MQC进行流分类、行为和策略路由的实现,以提升网络安全性并管理内部流量路由。
摘要由CSDN通过智能技术生成

一、策略路由

1.策略路由技术背景

在某些场景中我们希望一些特定用户、特定业务的流量走指定的转发路径,而其余用户或业务的流
量则依旧根据路由表进行转发。

在这里插入图片描述

2.PBR介绍

2.1.基本概念

在这里插入图片描述

  • PBR(Policy-Based Routing,策略路由):PBR使得网络设备不仅能够基于报文的目的IP地址进行数据转发,更能基于其他元素进行数据转发,例如源IP地址、源MAC地址、目的MAC地址、源端口号、目的端口号、VLAN-ID等等。
  • 用户还可以使用ACL匹配特定的报文,然后针对该ACL进行PBR部署。
  • 若设备部署了PBR,则被匹配的报文优先根据PBR的策略进行转发,即PBR策略的优先级高于传统路由表。

2.2.结构

在这里插入图片描述

  • PBR与Route-Policy类似,由多个节点组成,每个节点由匹配条件(条件语句)和执行动作(执行语句)组成。
  • 每个节点内可包含多个条件语句。
  • 节点内的多个条件语句之间的关系为“与”,即匹配所有条件语句才会执行本节点内的动作。
  • 节点之间的关系为“或”,PBR根据节点编号从小到大顺序执行,匹配当前节点将不会继续向下匹配。

2.3.命令语法

在这里插入图片描述

2.4.PBR与路由策略区别

名称操作对象描述
路由策略( Route-Policy )路由信息路由策略是一套用于对路由信息进行过滤、属性设置等操作的方法,通过对路由的操作或控制,来影响数据报文的转发路径
PBR数据报文PBR直接对数据报文进行操作,通过多种手段匹配感兴趣的报文,然后执行丢弃或强制转发路径等操作

2.5.PBR的分类

在这里插入图片描述

2.6.PBR典型应用场景

2.6.1.PBR典型应用场景(1)

在这里插入图片描述

  • 内网防火墙旁挂部署在核心交换机,为防护内网在核心交换机的三层接口上部署PBR,将来自外部网络的流量牵引到防火墙上进行安全检查,检查完的流量再发送回核心交换机,由核心交换机依据路由表转发到内网。
  • 将流量牵引到别的设备进行安全检查等类似的行为我们称之为“引流”,PBR是一种常见的引流工具。
2.6.2.PBR典型应用场景(2)

在这里插入图片描述

当企业存在多个网络出口时,若想指定部分网段访问Internet时的网络出口,可以使用PBR:在出口设备的内网接口配置PBR,匹配来自内网的流量,为其指定不同的下一跳公网地址。

2.7.配置介绍

2.7.1.创建PBR
[Huawei] policy-based-route policy-name { deny | permit } node node-id

创建策略路由和策略点,若策略点已创建则进入本地策略路由视图。

2.7.2.设置IP报文的匹配条件
[Huawei-policy-based-route-PBR-10]if-match acl acl-number
[Huawei-policy-based-route-PBR-10]if-match packet-length min-length max-length

缺省情况下,策略路由中未配置匹配条件,可以设置使用ACL匹配IP地址,也可以设置匹配报文长度。

2.7.3.指定PBR中报文的出接口
[Huawei-policy-based-route-PBR-10] apply output-interface interface-type interface-number

缺省情况下,策略路由中未配置报文出接口。配置成功后,将匹配策略点的报文从指定出接口发送出去。
报文的出接口不能为以太接口等广播型接口。

2.7.4.设置PBR中报文的下一跳
[Huawei-policy-based-route-PBR-10] apply ip-address next-hop ip-address1 [ip-address2]

用户可以指定报文的下一跳。当该策略点未配置出接口时,匹配策略点的报文被发往指定的下一跳。

2.7.5.全局PBR调用
[Huawei] ip local policy-based-route Policy-name
2.7.6.接口PBR调用
[Huawei-GigabitEthernet0/0/0] ip policy-based-route Policy-name

2.8.配置案例(3)

2.8.1.需求

在这里插入图片描述

需求:

  • 内网存在两个网段,网段1:10.1.1.0/24,网段2:10.1.2.0/24,在RTA的GE0/0/0接口部署PBR,实现网段1访问Internet通过ISP1、网段2访问Internet通过ISP2。
  • RTA上旁挂了一台服务器,要求在RTA上部署的策略路由不影响内网用户访问该服务器。
2.8.2.实现步骤
1.配置ACL 3000,其中rule1 deny网段1访问服务器的流量,rule2匹配网段1访问Internet的流量。
[RTA] acl number 3000
[RTA-acl-adv-3000] rule 1 deny ip source 10.1.1.0 0.0.0.255 destination10.1.3.254 0
[RTA-acl-adv-3000] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination
0.0.0.00
2.配置ACL 3001,其中rule1 deny网段2访问服务器的流量,rule2匹配网段2访问Internet的流量。
[RTA] acl number 3001
[RTA-acl-adv-3001] rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.3.254 0
[RTA-acl-adv-3001] rule 2 permit ip source 10.1.2.0 0.0.0.255 destination
0.0.0.00
3.创建PBR hcip,创建节点10,调用ACL 3000,指定其转发下一跳为202.1.2.3
[RTA] policy-based-route hcip permit node 10
[RTA-policy-based-route-hcip-10] if-match acl 3000
[RTA-policy-based-route-hcip-10] apply ip-address next-hop 202.1.2.3
4.创建PBR hcip节点20,调用ACL 3001,指向其转发下一跳为154.1.2.3
[RTA] policy-based-route hcip permit node 20
[RTA-policy-based-route-hcip-20]if-match acl 3001
[RTA-policy-based-route-hcip-20] apply ip-address next-hop 154.1.2.3
5.在GEO/0/0接口调用PBR hcip
[RTAJinterface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0] ip policy-based-route hcip

二、MQC

1.MQC介绍

在这里插入图片描述

  • MQC ( Modular QoS Command-Line Interface,模块化QoS命令行)是指通过将具有某类共同特征的数据流划分为一类,并为同一类数据流提供相同的服务,也可以对不同类的数据流提供不同的服务。
  • MQC包含三个要素:流分类(traffic classifier)、流行为( traffic behavior )和流策略(traffic policy)。
  • MQC的流行为支持重定向报文,因此可以使用MQC实现IP单播策略路由。

在这里插入图片描述

  • 流策略:将流分类和流行为绑定,对分类后的报文执行对应流行为中定义的动作。
  • 一个流策略可以绑定多个流分类和流行为。

2.MQC-流分类

流分类:定义一组流量匹配规则,以对报文进行分类。流分类支持的匹配项如下所示。

在这里插入图片描述

3.MQC-流策略

  • 流策略:流策略支持在接口上调用。
  • 流策略存在方向(inbound、outbound)的概念,策略中的流行为匹配入、出方向的报文,对匹配中的报文执行相应的流动作。

在这里插入图片描述

4.配置介绍

4.1.创建流分类

[Huawei] traffic classifier classifier-name [ operator { and | or } ]

缺省情况下,流分类中各规则之间的关系为“或”(or)。流分类中的匹配规则配置可查阅产品手册。

4.2.创建流行为

[Huawei] traffic behavior behavior-name

根据实际情况定义流行为中的动作,只要各动作不冲突,都可以在同一流行为中配置。流行为具体配置可查阅产品手册。

4.3.创建流策略,并绑定流分类与流行为

[Huawei] traffic policy policy-name
[Huawei-trafficpolicy-policyname) classifier classifier-name behavior behavior-name

5.使用MQC实现策略路由

在这里插入图片描述

RTA的配置如下:

1.配置ACL3000、3001分别匹配网段1、网段2访问Internet的流量。

[RTA] acl number 3000
[RTA-acl-adv-3000] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination 0.0.0.0 0
[RTA] acl number 3001
[RTA-acl-adv-3001] rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 0.0.0.0 0

2.创建流分类1、2分别匹配ACL3000、ACL3001。

[RTA] traffic classifier test1
[RTA-classifier-1]if-match acl 3000
[RTA]traffic classifier test2
[RTA-classifier-2]if-match acl 3001

3.创建流行为1、2分别执行将报文重定向到202.1.2.3、154.1.2.3的动作。

[RTA] traffic behavior test1
[RTA-behavior-1]redirect ip-nexthop 202.1.2.3
[RTA] traffic behavior test2
[RTA-behavior-2]redirect ip-nexthop 154.1.2.3
4.创建流策略Redirect,将流分类1、2与流行为1、2一一绑定。
[RTA] traffic policy test
[RTA-trafficpolicy-Redirect] classifier test1 behavior test1
[RTA-trafficpolicy-Redirect] classifier test2 behavior test2
5.在GE0/0/0接口入方向调用流策略Redirect
[RTA] interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0] traffic-policy test inbound

三、流量过滤

1.需求背景

为提高网络安全性,管理人员需要控制进入网络的流量,将不信任的报文丢弃在网络边界。所谓的不信任报文
是指对用户来说存在安全隐患或者不愿意接收的报文。同时保证数据访问安全性,企业网络中经常会要求一些
部门之间不能相互访问。

在这里插入图片描述

2.流量过滤工具

在这里插入图片描述

3.Traffic-Filter部署位置

使用Traffic-Filter过滤流量可以灵活地选择部署位置,在流量进入设备或者离开设备的接口上执行过滤动作,双
向访问的业务禁止其中一个方向即可实现阻断业务的需求。

在这里插入图片描述

4.使用Traffic-Filter过滤流量

在这里插入图片描述

RTA的配置如下:

1.配置ACL拒绝部门2访问部门3,并放通其余所有流量。
[RTA] acl number 3000
[RTA-acl-adv-3000] rule 1 deny ip source 10.1.2.0 0.0.0.255 destination
10.1.3.0 0.0.0.255
[RTA-acl-adv-3000] rule 2 permit ip
2.在GE0/0/2接口调用Traffic-Filter
[RTA] interface GigabitEthernet 0/0/2
[RTA-GigabitEthernet0/0/2] traffic-filter outbound acl 3000

5.使用MQC过滤流量

RTA的配置如下:

1.配置ACL匹配部门2访问部门3的流量
[RTA] acl number 3000
[RTA-acl-adv-3000] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
2.创建流分类2_3、流行为2_3
[RTA] traffic classifier 2_3
[RTA-classifier-2_3]if-match acl 3000
[RTA] traffic behavior 2_3
[RTA-behavior-2_3] deny

为匹配ACL规则的报文指定报文过滤动作时,如果此ACL中的rule规则配置为permit,则设备对此报文采取的动作由流行为中配置的deny或permit决定;如果此ACL中的rule规则配置为deny,则无论流行为中配置了deny或permit,此报文都被丢弃。

3.创建流策略,绑定流分类2_3与流行为2_3
[RTA] traffic policy 2_3
[RTA-trafficpolicy-2_3] classifier 2_3 behavior 2_3
4.在接口GE0/0/1入向调用流策略2_3
[RTA] interface GigabitEthernet 0/0/1
[RTA-GigabitEthernet0/0/1] traffic-policy 2_3 inbound

的动作由流行为中配置的deny或permit决定;如果此ACL中的rule规则配置为deny,则无论流行为中配置了deny或permit,此报文都被丢弃。
weixin_47774079
关注
  • 20
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
利用策略路由PBR)控制流量走向
qq_44940837的博客
03-27 221
策略路由PBR)控制流量走向的实际应用
华为 NE05E, NE08E V300R005C10SPC100 特性描述 - 路由策略
04-19
路由策略(Routing Policy)作用于路由,主要实现了路由过滤和路由属性设置等功 能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
华为策略路由引流旁挂防火墙
weixin_45457085的博客
11-08 1万+
拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域 项目要求: 1.外网访问内网流量需要通过防火墙过滤再进入内网; 2.内网访问外网流量直接出站无需过滤。 配置思路: 1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议; 2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。 配置开始: 1.配通底层: SW1上: AR1上: ...
PBR--策略路由
qq_45124553的博客
08-01 1503
本文主要介绍了PBR的定义、PBR 在两种情况下的配置以及PBR的冗余和default语句。
网工笔记-路由策略和策略路由整理
Fallenleaf_的博客
11-15 508
通过一系列工具或方法对路由进行各种控制的“策略”影响路由的产生、发布、选择等,进而影响报文的转发路径策略路由手工逐条配置,在哪个设备上配了就会对流量进行单独处理。有策略则按照策略转发,没有则按照普通报文正常转发。apply动作一般指定出接口或下一跳(假设把路由协议A引入进B,A→B)引入是在关键设备上(边界路由器)配置的直连/静态跟A有关的所有路由会引入进B1.从A学习到的路由会引入进B2.启用了A接口所有的网络路由会进入B引入的路由必须位于路由表中 (一定是最优的)
使用MQC配置策略路由实验
weixin_51517887的博客
01-01 698
MQC配置策略路由实验 实验拓扑: 实验要求: 1、市场部访问公司总部的路线是RTA-RTB-RTC 2、财务部访问公司总部的路线是RTA-RTD-RTC 设备配置如下: [RTA]system-view sysname RTA ospf 1 r 1.1.1.1 area 0 quit int g2/0/0 ip add 10.1.1.254 24 ospf e 1 a 0 quit int g2/0/1 ip add 10.1.2.254 23 ospf e 1 a 0 quit int g0/0/0
策略路由-MQC(模块化Qos命令)(2)】(MQC基本配置、PQC流量过滤
AZK707的博客
05-06 6577
一、MQC 二、MQC操作步骤 MQC步骤: -1)先抓路由 1)流量分类 2)定义下一跳或出接口 3)关联流量和流行为 4)应用 三、拓扑图 在AR3上配置 -1)acl抓路由 acl2001抓取奇数路由 acl2002抓取偶数路由 *查看当前配置的ACL基本规则 dis cu conacl-b 1)流分类traffic classifier 用流分类工具traffic classifier将抓取的ACL2001和ACL2002命名...
策略路由PBR
u012451051的博客
07-08 9850
策略路由
交换机上对流量的拦截
weixin_34409822的博客
05-27 490
1.Storm-Control风暴控制 风暴控制防止交换机的端口被局域网中的广播、组播或者一个物理端口上的单播风暴所破坏。当流量在局域网中泛洪,建立的过多的流量将占用过多的带宽,并导致网络拥塞。风暴控制用于对进入的流量进行控制,从上面我们可以看出控制的对象可以是单播、广播和组播流量。我们通过事先定义一个门限值(用接口可用带宽的百分比表示),当某种流量超出了门限值,将对该流量...
华为路由器路由策略和策略路由.pdf
10-21
"华为路由器路由策略和策略路由" 路由策略是华为路由器中的一种机制,旨在实现路由过滤和路由属性设置等功能。通过改变路由属性,路由策略可以改变网络流量的路径,使网络流量更合理化。路由策略在发布、接收和引入...
网络工程_路由过滤配置.docx
01-26
路由过滤是一种网络安全机制,用于控制网络流量的流向和访问权限。通过配置路由过滤,我们可以拒绝或允许特定的网络流量,保护网络的安全。 一、路由过滤的基本原理 路由过滤是基于路由器的访问控制列表(ACL)...
华为路由器路由策略和策略路由.docx
09-23
华为路由器的路由策略和策略路由网络管理员在配置和管理网络路由时的重要工具,它们用于精细化控制路由信息的处理和网络流量的引导。路由策略主要包括路由的过滤和属性设置,通过对路由信息的筛选和修改,可以实现...
Linux高级路由和流量控制
08-04
4.1. 简单的源策略路由 11 4.2. 多重上连ISP的路由 12 4.2.1. 流量分割 13 4.2.2. 负载均衡 14 第5章 GRE 和其他隧道 15 5.1. 关于隧道的几点注释 15 5.2. IP-IN-IP 隧道 15 5.3. GRE 隧道 16 4 5.3.1. ...
华为路由器路由策略和策略路由配置与管理.pdf
10-21
华为路由器路由策略和策略路由配置与管理.pdf 路由策略是华为路由器中的一个重要功能,主要实现了路由过滤和路由属性设置等功能。它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。路由协议在发布、...
【技术】交换机上如何对流量拦截
XMWS-IT
07-29 1408
1.Storm-Control 风暴控制 风暴控制防止交换机的端口被局域网中的广播、组播或者一个物理端口上的单播风暴所破坏。当流量 在局域网中泛洪,建立的过多的流量将占用过多的带宽,并导致网络拥塞。风暴控制用于对进入的流 量进行控制,从上面我们可以看出控制的对象可以是单播、广播和组播流量。 我们通过事先定义一个门限值(用接口可用带宽的百分比表示),当某种流量超出了门限值,将对该流量进行控制,使其降 到门限值一下。在这里需要注意的是;对于单播和广播,交换机会对超出门限值的那部分单播或广播 流量进行丢弃,但是对
华为网络配置(策略路由
热门推荐
1风天云月的博客
12-12 1万+
目录 前言 一、策略路由概述 1、策略路由介绍 2、策略路由优点 3、本地策略路由 4、本地策略路由实现原理 5、接口策略路由 6、接口策略路由实现原理 7、智能策略路由 8、智能策略路由产生背景 9、特性依赖和限制 二、策略路由配置 1、案例 2、配置过程 (1)AR1 (2)AR2 (3)AR3 (4)AR4 3、测试 (1)接口策略路由 (2)本地策略路由 结语 前言 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可...
策略路由PBR(理论知识加基本步骤加引入案例)
最新发布
weixin_74452917的博客
01-19 1090
要求:需要将pc1走AR2访问pc3,pc2走AR3访问pc3,通过这个案例模拟实际,模拟上方链路为高级带宽,下方链路为普通带宽,pc1模拟办公部,走上层链路,pc2模拟普通用户走普通带宽。在路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进行报文转发。所谓策略路由,顾名思义,即是根据一定的策略进行报文转发,因此策略路由是一种比目的路由更灵活的路由机制。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。
ensp路由策略过滤路由
10-25
路由策略过滤路由是指通过路由策略来实现对路由信息的过滤,从而控制网络流量的路径。在路由策略中,可以设置路由属性,如route-policy、filter-policy、可达性、cost值、优先级等,来改变网络流量所经过的路径。通过设置路由策略,可以实现对特定目的地的流量进行限制或者强制改变其转发路径。在ensp中,可以通过配置ACL(访问控制列表)和路由策略来实现路由过滤和路径控制。例如,可以通过配置ACL来限制特定目的地的流量,然后通过路由策略来强制改变其转发路径。具体的配置方法可以参考ensp的官方文档或者相关教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值