首页 > 其他分享 >行为管理(锐捷路由篇)

行为管理(锐捷路由篇)

时间:2022-12-01 09:58:58浏览次数:45  
标签:匹配 锐捷 ip 接口 rate 行为 any 路由

  大家好,我是小杜,不知不觉的已经学习了一个月了,从一个只知道些基础的“菜鸟”到现在的"普鸟",争取尽快进化成“老鸟”。   今天继续对相关的行为管理方面的学习,相信以后会经常遇到这种问题,需要完全熟悉的掌握。话不多说,开始今天对路由设备的行为管理学习。 一、ACL过滤 1、配置acl规则(一定要先配置ACL,再调用)   ip access-list extended 100   10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量   20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量   30 permit ip any any       //最后一定要允许所有!!! 2、接口下调用acl   interface GigabitEthernet 0/0   ip access-group 100 in //可以调用在接口in方向和out方向   二、流过滤(全局acl) 1、配置acl规则(一定要先配置ACL,再调用)    ip access-list extended 100    10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量    20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量    30 permit ip any any     //最后一定要允许所有!!! 2、全局调用acl   ip session filter 100   或者:ip fpm session filter 100   RSR在默认情况下,是先建立会话流表再去匹配ACL,也就是说,就算在接口配置 deny ip any any 的ACL,这个时候一个数据包来到接口后,还会先建立一条会话,再去匹配ACL被丢弃。那么这种特性就会有一个问题,如果遇到大量的伪源IP攻击,或者是端口扫描时,虽然有ACL拒绝了这种报文的转发,但是还是会把流表给占满,而导致正常的数据无法建流而被丢弃。ip session filter 就是为解决以上问题而开发的,ip session filter的原理就是,在建立流表前去匹配调用的ACL,如果被ACL拒绝就不会再去建流了。 注意: 1、被ip session filter调用的ACL是全局生效的,而且是在建立流表前匹配,也就是说被此ACL拒绝的数据不会建流而直接被丢弃,所以一定要确保该放通的资源都放通后再启用。 2、ip session filter对设备本身所发出的数据是不生效的。 3、通过IP session filter的流量,回来时不会再匹配ip session filter所调用的ACL,也就是说能出去就能回来。   三、策略路由 1、创建策略路由条目 route-map route_map_name [permit | deny] sequence route_map_name:命名策略路由 permit:对符合条件的数据包实施策略 deny:对符合条件的数据包不实施策略 sequence:0-65535,route-map语句的执行顺序, route-map每个条目都被赋予编号,可以任意地插入或删除条目; 按照序号大小顺序查找匹配,Route-map中的每个序列号语句相当于于访问控制列表中的各行。 缺省最后有一条deny any的语句,对于没有匹配到策略路由的流量,不会丢弃,而是做正常的ip 路由转发。 2、匹配规则 match ip address 匹配访问列表或前缀列表 3、设置策略 set interface 出接口,先匹配策略路由,再匹配明细路由,最后匹配默认路由。 set default interface 默认出接口,先匹配明细路由,再匹配策略路由,最后匹配默认路由。 set ip next-hop 下一跳,先匹配策略路由,再匹配明细路由,最后匹配默认路由。 set ip default next-hop 默认下一跳,先匹配明细路由,再匹配策略路由,最后匹配默认路由。 注意: (1)带不带default的区别:   不带default:策略路由优先级高于明细路由   带default:策略路由优先级低于明细路由; (2)什么时候设置出接口,什么时候设置下一跳:   以太网接口必须设置下一跳,PPP链路则设置出接口   4、应用策略路由 接口策略路由: Ruijie(config)#interface gigabitEthernet 0/0 Ruijie(config-GigabitEthernet 0/0)#ip policy route-map ruijie //接口策略路由,对接口收到的报文进行策略路由 本地策略路由: Ruijie(config)#ip local policy route-map ruijie //对本地发出的符合规则的报文进行策略路由 注意: (1)策略路由一定要应用到数据包的in方向接口,不能应用到数据包的out方向接口。因为策略路由实际上是在数据包进路由器的时候,强制设置数据包的下一跳,out方向接口,路由器已经对数据包做完ip路由,把数据包从接口转发出去了,故out方向策略路由不生效。 (2)本地策略路由是对设备自身发出的报文进行策略路由选路(源地址为设备自身)。 (3)策略路由匹配逻辑:

route-map test permit 10    match x y z    match a set b set c If ( (x or y or z) and a ) then set (b and c)
route-map test permit 20    match q set r else if( q )    then set r
deny all(系统隐含) else set nothing
5、冗余模式/负载模式 如果策略路由中设置了两个下一跳,默认是采用冗余模式,也可以更成为负载模式 Ruijie(config)#ip policy load-balance //更改成为负载模式 Ruijie(config)#ip policy redundance //更改成为冗余模式   6、举例--完整的策略路由配置 (1)配置ACL匹配规则 ip access-list extended 100 10 permit ip 192.168.10.0 0.0.0.255 any //匹配源地址为192.168.10.0/24的所有流量 20 permit ip 192.168.20.0 0.0.0.255 any //匹配源地址为192.168.20.0/24的所有流量 30 permit ip 192.168.30.0 0.0.0.255 114.114.114.114 0.0.0.0 //匹配192.168.30.0/24访问114的流量 (2)配置策略路由 route-map ruijie permit 10 //创建名为ruijie的策略路由,“permit”指对匹配 match ip address 100 //匹配ACL100 set ip next-hop 100.0.0.254 //设置下一跳为100.0.0.254 (3)内网接口下调用策略路由 interface GigabitEthernet 0/0 ip policy route-map ruijie //内网接口下调用策略路由   四、限速配置 1、rate-control和rate-limit的区别 rate-control是对ACL里每一个用户做带宽和会话限制;rate-limit是以ACL或接口为一个组,限定一个总体的带宽。 rate-limit一般在in/out两个方向都可使用;rate-control一般用在出口,可以对上传和下载两个方向进行控制。 rate-limit

1、用ACL进行流量分类

access-list 100 permit ip 192.168.1.0 0.0.0.255 any //定义需要限速网段   2、配置rate-limit对流量分类进行限速 interface gigabitEthernet 0/0 //对g0/0接口的所有出方向流量限速2Mbps rate-limit output 2000000 200000 400000 conform-action transmit exceed-action drop   interface gigabitEthernet 0/1 //对g0/1接口的入方向匹配acl100的流量限速2Mbps rate-limit input access-group 100 2000000 200000 400000 conform-action transmit exceed-action drop   注意: rate-limit命令除了配置限制的速率大小,还要设置令牌通和突发速率大小: rate-limit output 2000000(A) 200000(B) 400000(C) conform-action transmit exceed-action drop A=限速值,单位bit/s B=A/10,正常突发字节数,单位bytes C=A/5,最大突发字节数,单位bytes   命令解释: rate-limit { input | output} bps burst-normal burst-max conform-action action exceed-action action
  • Input|output:用户希望限制输入或输出的流量。
  • bps :用户希望该流量的速率上限,单位是 bps 。
  • burst-normal burst-max :这个是指token bucket 的令牌桶的大小值,单位是bytes。
  • conform-action :在速率限制以下的流量的处理策略。
  • exceed-action:超过速率限制的流量的处理策略。
  • action :处理策略,包括以下几种:   Continue 继续匹配下一条的策略   Transmit 发送该报文   Drop 丢弃报文
  查看接口下调用的rate-limit: show rate-limit interface gigabitEthernet 0/0
rate-control
  1. 用ACL定义需要进行限速的用户群和协议
ip access-list extended 199   5 deny udp any any eq domain //DNS域名解析是打开网页的前提,因此DNS报文不应该限制   10 deny ip host 192.168.1.1 any //内网 192.168.1.1 用户不做限速   20 permit ip 192.168.1.0 0.0.0.255 any //内网192.168.1.0 用户做限速
  1. 配置rate-control控制每用户会话数
interface GigabitEthernet 0/0 //应用在数据流出接口上,比如NAT环境中则应用在ip nat outside接口 ip rate-control 110 bandwidth up 1000 down 1000 //单位为KBps 运营商带宽单位为Mbps,1MBps=1000KBps=8Mbps,比如想限速5Mbps,设置的值就是5000/8   ip rate-control acl bandwidth up rate down rate session total total-sessions rate new-session-rate acl:匹配acl的流量将被限速 rate:单位kBps total-sessions:总会话数限制 new-session-rate:新建会话数限制   查看接口调用的rate-limit: show ip rate-control
2、流量整形 通用流量整形(Generic Traffic Shaping,GTS)可以对不规则或不符合预定流量特性的报文流进行整形,以利于网络上下游之间的带宽匹配。 GTS使用报文缓冲区和令牌桶来完成,当报文流发送速度过快时,首先在缓冲区进行缓存,在令牌桶的控制下,再均匀地发送这些被缓冲的报文。 流量整型(GTS)与流量监管(rate-limit)的区别: 1、GTS有缓存机制,对于超出预定流量的报文进行缓存,使得流量更平滑;rate-limit无缓存机制,对于超出预定流量的报文直接丢弃。 2、GTS功能模块是在接口队列机制之后进行,而rate-limit是在报文进队列前进行;导致的结果是,如果使用rate-limit进行了限速,那么队列机制即使配置也起不到作用;而GTS可以和队列机制配合使用,组成完整的QoS保障机制。
在接口使用traffic-shap rate 进行流量整型: interface GigabitEthernet 0/0 traffic-shape rate 1900000 //单位Mbps   命令说明:
  • 这里配置整型为1900000bps,等于1.9Mbps(运营商带宽单位也是Mbps)。
  • 这个配置后面还有一些令牌桶、突发等参数可调试,建议不去配置,系统自动生成
Ruijie(config-GigabitEthernet 0/0)#traffic-shape rate 2000000 ? <0-100000000> Bits per interval, sustained <cr>   整形带宽参数设置经验值: 以太链路:配置为运营商提供带宽的95% ATM链路:配置为运营商提供带宽的80% 。说明:由于QoS是IP层功能,数据进入ATM接口封装为信元后,报文开销会而外增大许多,所以,如果ATM带宽10Mbps时,GTS限制为8Mbps,加上ATM信元开销就接近10Mbps了。   查看接口调用: show queue interface gigabitEthernet 0/0  
  哇,都是底层命令行配置的,这会比管理页面配置会复杂,但是这个难不倒我小杜,学习是已经学习好了,还需要再多加练习才能够熟练的使用。加油!!!今天就分享到这了哈。

标签:匹配,锐捷,ip,接口,rate,行为,any,路由
From: https://www.cnblogs.com/ruijieer/p/16940515.html

相关文章

  • 微信小程序开发笔记 - 路由导航
    路由导航目录路由导航1.声明式路由导航1.1声明式后退导航1.2声明式导航传参2.编程式路由导航2.1编程式后退导航2.3编程式导航传参1.声明式路由导航navigator标签......
  • chrome谷歌浏览器通过小米路由器无法访问Internet
    这两周打开谷歌游览器莫名其妙的打开网页时,经常跳出被小米路Ax6000由器断网的提示,只有重新打开一次谷歌才恢复正常一会,又会继续抽风一会接二连三的断网中.......经过测试。1......
  • Ocelot 路由模板名称解释
    模板 https://ocelot.readthedocs.io/en/latest/features/configuration.html{"DownstreamPathTemplate":"/",--下游URL路径模板,也就是网关需要转发的目......
  • vue组件name的作用和路由name的作用
    组件的作用:指定name选项的另外一个好处是便于调试有名字的组件有更友好的组件信息另外当在有vue-devtools,未命名组件将显示<AnonymousComponent>,这种很没有语义,......
  • 行为管理(锐捷睿易篇)
    大家好,我是小杜,经过近一个月的“艰苦”奋斗将实施部署上网相关的已经学习完了♪(^∇^*),接下来就要转入功能配置类的学习了,加油!!!永远是最棒的!师傅建议可以从行为管......
  • ISIS lsdb或路由交互过程
    1、对于点对点网络:A<-------------------->B1)A,B交互CSNP报文,该报文中包含本地知道的所有链路状态信息,2)A发送PSNP报文,请求B发送的报文中链路状态的详细信息(相当OSPF......
  • DDR行为 为什么要有RAS\CAS\PRECHARGE
    引言在查阅DDR手册时我们会看到几个关键参数,tRAS(RowAddressstrobe)tCAS(ColumnAddressStrobe)tPRE(Precharge) ,往往这些数值看上去很抽象,但是如果理解DRAM读写......
  • vue 路由中编程式导航
    在vue中,实现路由跳转有两种方式1.声明式导航:router-link(一般情况都使用这个)2.编程式导航:this.$router.push  和  this.$router.replace  在什么情况......
  • B(行为)= M(动机)* A(能力)* T(触发) QQ自习室
    总结:1、宠物拥有感 3年3款产品百万级增长——我在腾讯一线做增长的思考和方法论https://mp.weixin.qq.com/s/j-s1Y7nCpLds11l0t-wbZA3年3款产品百万级增长——我在......
  • 路由守卫的理解(不完全,个人)
    1. 路由跳转几乎没有限制,只要触发就可以跳转,在一些条件下需要优化比如:一个需要登录的页面,在已经登录完成之后,就不应该能继续返回到登录页面或者未......