路由策略:
- 控制层面:路由协议传递的路由信息,该流量为控制层面流量,方向为控制层面方向
- 数据层面:数据流量层,用户的数据报文流量,请求流量定义方向
在控制层面流量入或出的接口上抓取流量,对流量进行修改或拦截,最终影响路由表的生成,实现选路干涉的效果
抓取控制层面流量的协议:
- ACL:本身设计用于抓取或限制数据层面的流量,数据层面流量中不携带子网掩码,现用于针对控制层面流量 ,而控制层面中的子网掩码ACL不关注,可能无法精准抓取需要的网络号
- 前缀列表:专用于抓取控制层面流量
[R3]ip ip-prefix w permit 12.1.1.0 24
[R3]ip ip-prefix w permit 13.1.1.0 24
以上为同一张表的两条信息,默认以10为步调来添加序号
管理员可以通过序号来插入或删除条目
[R3]ip ip-prefix w index 15 permit 23.1.1.0 24
[R3]undo ip ip-prefix w index 15
[R3]ip ip-prefix y permit 12.1.1.0 24 greater-equal 26 less-equal 30
匹配12.1.1.0,掩码26-30
[R3]IP ip-prefix w permit 2.2.2.0 24 less-equal 30
匹配2.2.2.0 ,掩码24-30
[R3]ip ip-prefix w permit 3.3.3.0 24 greater-equal 30
匹配3.3.3.0 ,掩码30-32
匹配规则:
至上而下,逐一匹配,上条匹配按上条执行,不再查看所有,末尾拒绝所有;
[R3]ip ip-prefix w permit 0.0.0.0 0 less-equal 32
表示允许所有
路由策略:
偏移列表
- 思科的偏移列表在思科体系中算是种路由策略,但是在华为体系中不是策略,而是RIP这样的距离矢量协议专业,修改度量值的操作;在思科中偏移列表只能在rip和eigrp这样的距离矢量协议中使用,华为也相同,在思科中只能使用ACL为其服务,在华为中,ACL和前缀列表都可以
[R1]ip ip-prefix w permit 12.0.0.1 24 使用前缀列表抓取
[R1-GigabitEthernet0/0/0]rip metricin ip-prefix w 2 流量入,匹配前缀列表w,度量值加2
[R1-GigabitEthernet0/0/0]rip metricout acl 2000 流量出,匹配acl2000,度量值加2
该策略为逐跳行为,可以进行叠加。整段路径中流量经过多个接口均配置了度量值增加,最终为总增加度量
** 分发列表**(filter-policy)
- 先使用ACL或者前缀列表,匹配流量,然后在控制层面流量的入或者出接口上限制路由条目的传递
[R1]ip ip-prefix w deny 2.2.2.0 24
[R1]ip ip-prefix q permit 0.0.0.0 0 less-equal 32
[R1-rip-1]filter-policy ip-prefix w export GigabitEthernet 0/0/0
-
若使用ACL定义流量,正常华为末尾允许所有,但是在过滤策略中一定要手工配置允许所有命令
- 在ospf协议中正常无法在出接口调用,因为ospf使用的是拓扑更新,在同一个区域中不可以限制拓扑信息的传递,正常只能在入方向上调用,不影响数据库的同步,仅仅是将LSA计算所得的路由信息加载到路由表中,若想在出接口调用,可在ABR、ASBR上针对3、4、5、7类LSA进行
route-map(route0policy)
[R1]route-policy huawei deny node 10
创建名为hauwei的路由策略,大动作为拒绝,序号为10
[R1-route-policy]if-match acl 2000
匹配一条ACL
[R1]route-policy huawei permit node 20
列表huawei序列号为20,大动作为允许,
[R1-route-policy]if-match acl 2001
匹配一条acl
[R1-route-policy]apply cost-type type-1
定义小动作为修改度量类型,修改为1
[R1]route-policy huawei permit node 30
[R1-route-policy]if-match ip-prefix a
[R1-route-policy]apply cost 3
[R1]route-policy huawei permit node 40
空表,允许所有
在重定向时进行调用
[R1-rip-1]import-route ospf 1 route-policy hauwei
配置指南:
- 即使要拒绝一个流量,在抓取时也必须使用允许,之后再使用路由策略来拒绝
- 至上而下逐一匹配,上调匹配按上条执行,不再查看下条,末尾隐含拒绝所有
- 在一条规则中,若没有进行流量匹配就是匹配所有,若没有应用那么仅对匹配流量进行大动作,因此大动作为允许的空表代表允许所有