文章目錄

前言

在企業網絡設備通信中，它經常面臨諸如非法流量訪問的安全性和不良的流量路徑之類的問題。因此，為了保證數據訪問的安全性和提高鏈路帶寬利用率，有必要控制網絡中的流量。行為控制，例如控制網絡流量的可達性，調整網絡流量的路徑等。

面對更復雜和復雜的流量控制要求時，需要靈活使用一些工具來實現這一目標。本課程將主要介紹一些與流控制相關的常用工具和使用場景

控制網絡流量的可達性

思考：如何控制網絡流量的可達性？

解決方案1：可以通過修改路由條目（即，過濾接收和發布的路由）來控制流量的可達性。這種方法稱為路由策略。

解決方案2：可以通過用戶制定的策略直接轉發，該策略比路由表轉發更好。這種方法稱為策略路由。

路由策略

路由策略的作用是在路由器發布，接收和導入路由信息時，可以根據實際組網需求實施一些策略，以過濾路由信息或更改路由信息的屬性，例如： ：

1）控制路由的分配：僅分配滿足條件的路由信息??。

2）控制路由的接收：僅接收必要且合法的路由信息??，以控制路由表的容量并提高網絡的安全性。

3）過濾和控制導入的路由：當路由協議導入其他路由協議時，它僅導入滿足條件的部分路由信息，并設置導入路由信息的某些屬性以使其符合要求。該協議的內容。

4）設置特定路由的屬性：為通過路由策略過濾的路由設置相應的屬性。

如何應用路由策略

1）過濾策略工具可用于過濾RTA導入OSPF的路由以及RTC寫入路由表的路由：

首先使用ACL或IP前綴列表工具來匹配目標流量；

然后在協議視圖中，使用過濾器策略將策略發布到目標流量。

2）可以在RTA引入直接路由時使用路由策略工具來過濾路由：

首先使用ACL或IP前綴列表工具來匹配目標流量；

然后在協議視圖中，使用Route-Policy控制導入的路由條目。

ACL應用程序

訪問控制列表ACL（訪問控制列表）是一組由允許或拒絕語句組成的順序規則。通過匹配數據包的信息對數據包進行分類。

acl 2001   //創建ACL編號2001
rule 0 permit source 1.1.0.0  0.0.255.255 	//匹配規則permit(通過)/deny（拒絕）,通過1.1.0.0/16

ACL分類：

基本ACL：主要根據源地址，分片標記和時間段信息對數據包進行分類和定義，數量范圍為2000-2999。

高級ACL：可以根據源地址，目標地址，源端口號，目標端口號，協議類型，優先級，時間段和其他信息對數據包進行更詳細的分類和定義。號碼范圍是3000-3999。

第2層ACL：根據信息（例如源MAC地址，目標MAC地址和消息類型）分類和定義數據包。號碼范圍是4000-4999。

用戶自定義ACL：主要根據用戶自定義規則處理數據包，編號范圍為5000-5999。

一個ACL可以包含多個“拒絕|允許”語句，每個語句都描述一個規則。設備收到數據流量后，將一一匹配ACL規則以查看它們是否匹配。如果不匹配，請繼續匹配下一個。找到匹配的規則后，將執行該規則中定義的操作，并且不會與后續規則進行進一步的匹配；如果找不到匹配的規則，則設備將直接轉發數據包。

應注意，ACL中定義的這些規則可能有重復或矛盾。規則的匹配順序確定規則的優先級。 ACL設置規則的優先級以處理規則之間的重復或矛盾。

ACL可以靈活地匹配IP地址的前綴，但是不能匹配掩碼長度。例如，1. 1. 1. 0/24與1. 1. 1. 0/25不同。無法匹配過濾器。

IP前綴列表應用

地址前綴列表是IP前綴列表。通過地址前綴列表，可以根據定義的匹配方式對匹配定義的前綴過濾列表的路由進行過濾，以滿足用戶的需求。

[SW1]ip ip-prefix key permit 1.1.1.0 24

此24表示ip地址的前24位是固定的。由于以后沒有掩碼參數，所以這個24還表示前綴的掩碼長度也是24位，即只能匹配一個。路線為1. 1. 1. 0/24

[SW1] ip ip-prefix key permit 192.168.1.0 24 greater-equal 25 less-equal 32 

此24表示ip地址的前24位是固定的，并且后掩碼的范圍在25到32之間以匹配，但是不能匹配到19 2. 16 8. 1. 0 / 24，因為掩碼中的位數在25到32之間。

“過濾器策略”工具簡介

在每個協議中應用過濾器策略工具，以通過引用ACL或地址前綴列表來過濾接收，發布和導入的路由。對于距離矢量協議和鏈接狀態協議，Filter-Policy工具的操作過程不同。

 filter-policy { acl-number | ip-prefix ip-prefix-name } import  	//對接收路由信息過濾
 filter-policy { acl-number | ip-prefix ip-prefix-name } export		//對應引入路由信息過濾

對于距離矢量協議：路由是根據路由表生成的，因此過濾器將影響從鄰居收到的路由以及發布給鄰居的路由。

RIP協議中的實踐演示

在導入方向上調用filter-policy時，它會影響自己的路由表的更改，而鄰居設備也會影響它。

在導出方向上調用filter-policy時，它不會影響自己的路由表的更改，而鄰居設備也會影響它。

鏈接狀態協議：僅過濾導入的路由信息??，而不會影響鏈接通知，鏈接狀態的完整性和協議路由，僅影響本地路由。

OSPF協議中的實際演示

因為OSPF是鏈路狀態路由協議，傳輸是LSA信息，并且您的filter-policy過濾了路由信息，所以您可以在R3路由表中為同一ospf區域了解完整的條目。

因為R2是ABR路由器。 OSPF是整個區域中的鏈路狀態路由協議，也是區域之間的距離矢量路由協議。因此，可以在R2的導入方向上執行過濾。因此，R3上沒有奇數編號的路由條目（不能在R2中導出）。按上面的方向過濾）

路由策略工具介紹

Route-Policy是一個非常強大的路由策略工具，可以與其他工具（如ACL，IP前綴列表，As-Path-Filter等）靈活使用。

route-policy route-policy-name { permit | deny } node node
  if-match {acl/cost/interface/ip next-hop/ip-prefix}
  apply {cost/ip-address next-hop/tag}  	//類似if語句

Route-Policy的每個節點都有對應的允許模式或拒絕模式。如果處于允許模式，則當路由項滿足節點的所有if-match子句時，將允許其通過節點的過濾并執行該節點的apply子句，并且不再進入下一個節點；如果路由項不滿足，則如果節點的所有if-match子句均得到滿足，它將進入下一個節點以繼續進行過濾。如果處于拒絕模式，則當路由項滿足節點的所有if-match子句時，將拒絕該路由項以通過節點的過濾。此時，apply子句將不會執行，并且下一個節點將不會輸入；否則，它將進入“下一個節點繼續過濾”。

思考：

Pref1用于匹配5. 5. 5. 5/32或1. 1. 2. 0/24，它們將被路由策略RP的節點10過濾掉（拒絕） ，因此在表2中看不到5. 5. 5. 5/32和1. 1. 2. 0/24。

Pref2用于過濾6. 6. 6. 6/32（拒絕），因此即使允許路由策略RP的節點20，6. 6. 6. 6/32也會過濾仍然被過濾。因此，在表2中看不到6. 6. 6. 6/32。

路由策略RP的節點30分別為ACL 2001和ACL 2002定義了兩個if-match語句。匹配ACL 2001的路由為1. 1. 3. 0/24（下一跳為3 4. 3 4. 3 4. 2），1. 1. 3. 0 / 24（下一跳是1 3. 1 3. 1 3. 1），1. 1. 3. 0/25（下一跳是3 4. 3 4. 3 4. 2），1. 1. 3. 0/25（下一跳是1 3. 1 3. 1 3. 1），并且與ACL 2002匹配的路由具有1. 1. 3. 0/24（下一跳是1 3. 1 3. 1 3. 1）和1. 1. 3. 0/25（下一跳是1 3. 1 3. 1 3. 1）。因此，1. 1. 3. 0/24（下一跳是1 3. 1 3. 1 3. 1）和1. 1. 3. 0/25（下一跳的開銷為1 3. 1 3. 1 3. 1）修改為21。

1. 1. 3. 0/24（下一跳是3 4. 3 4. 3 4. 2）和1. 1. 3. 0/25（下圖）一跳是3 4. 3 4. 3 4. 2），并繼續嘗試通過路由策略RP的節點40。由于1. 1. 3. 0/25滿足Pref3，所以1. 1. 3. 0/25（下一跳的開銷為3 4. 3 4. 3 4. 2）修改為11。

最后，1. 1. 3. 0/24（下一跳是3 4. 3 4. 3 4. 2）經過路由策略RP的節點50。

示例：

如圖所示：RTC設備配置禁止與1 0. 1. 1. 0 24網段中的設備通信，而RTA禁止與1 0. 1. 1. 2.中的設備通信] 0網段。

RTA也可以使用route-policy工具實現，配置要求如下：

acl 2000
	rule 0 permit source 10.1.1.0 0.0.0.255
	rule 5 permit source 10.1.3.0 0.0.0.255
route-policy huawei-control permit node 10 if-match acl 2000
ospf 1
	import-route direct route-policy huawei-control

策略路由

傳統路由策略不具有負載分擔，而策略路由具有負載分擔以提高帶寬利用率。策略路由策略路由分為三種類型：

本地策略路由：當用戶需要以不同方式發送具有不同源地址的消息或具有不同長度的消息時，可以配置本地策略路由，這可以通過常用的基于策略的路由工具來實現。

智能策略路由：根據鏈路質量信息為服務數據流選擇最佳鏈路。當用戶需要為不同的服務選擇不同質量的鏈路時，可以配置智能策略路由。常用的智能策略路由工具。

接口策略路由：當用戶需要通過特定的下一跳地址轉發某些接收到的數據包時，需要配置接口策略路由。符合重定向規則的報文通過特定的下一跳出口轉發，不符合重定向規則的報文根據路由表直接轉發。接口策略路由主要用于負載共享和安全監視。常用的流量策略工具來實現。

基于自定義策略的實現：使用流量過濾器工具過濾數據

經過測試，在設置策略路由后，RTC的路由表仍然具有整個網絡的路由，營銷部門無法訪問財務部門和研發部門，其他部門仍可以正常訪問它。同樣，RTD路由表也包含整個網絡的路由，公司總部無法訪問研發部門，而其他仍然可以正常訪問。

使用流量政策工具

[RTA]acl 3000
  rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control1
 if-match acl 3000
traffic behavior huawei-control1
 redirect ip-nexthop 12.1.1.2
traffic policy huawei-control1
 classifier huawei-control1 behavior huawei-control1
int g0/0/2
 traffic-policy huawei-control1 inbound

[RTA]acl 3001	
 rule 5 permit ip source 10.1.2.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control2
 if-match acl 3001
traffic behavior huawei-control2
 redirect ip-nexthop 12.1.3.2
traffic policy huawei-control2 
 classifier huawei-control2 behavior huawei-control2
int g4/0/0
 traffic-policy huawei-control2 inbound

路由策略和策略路由之間的區別

路由策略

策略路由

基于控制平面，它將影響路由表條目

基于轉發平面，它將不會影響路由表條目，并且當設備接收到數據包時，它將查找用于匹配和轉發的策略路由。如果匹配失敗，路由表將再次轉發

只能根據目的地址制定策略

可以根據源地址，目標地址，協議類型，消息大小等來制定。

與路由協議結合

需要手動配置逐跳，以確保根據策略轉發數據包

常用工具：路由策略，過濾器策略等。

常用工具：流量過濾，流量策略，基于策略的路由等。

路由器中有兩種類型的表：一種是路由表，另一種是轉發表。轉發表是從路由表映射的。策略路由直接作用于轉發表。路由策略直接作用于路由表。由于轉發位于底層，而路由位于頂層，因此直接作用于轉發表的轉發優先級高于查找路由表的轉發優先級。

路由發現策略中使用路由策略，根據某些規則，使用某種策略影響路由通告，接收或路由選擇的參數，從而改變路由發現的結果，最終改變路由的內容。路由表；路由在轉發數據包時生效，并且不會更改路由表中的任何內容。它會通過設置的規則影響數據包的轉發。

復雜的多協議場景（路由導入）

問題1：這將導致次優路徑

1）使用路由控制可以避免路徑欠佳

2）調整協議優先級以避免次優路由

問題2：路由循環

1）使用路由過濾來避免路由循環

2）調整協議優先級以避免路由循環

本文來自本站，轉載請注明本文網址：
http://www.pc-fly.com/a/tongxingongju/article-371996-1.html