大家好,我是小杜,不知不觉的已经学习了一个月了,从一个只知道些基础的“菜鸟”到现在的"普鸟",争取尽快进化成“老鸟”。
今天继续对相关的行为管理方面的学习,相信以后会经常遇到这种问题,需要完全熟悉的掌握。话不多说,开始今天对路由设备的行为管理学习。
一、ACL过滤
1、配置acl规则(一定要先配置ACL,再调用)
ip access-list extended 100
10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量
20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量
30 permit ip any any //最后一定要允许所有!!!
2、接口下调用acl
interface GigabitEthernet 0/0
ip access-group 100 in //可以调用在接口in方向和out方向
二、流过滤(全局acl)
1、配置acl规则(一定要先配置ACL,再调用)
ip access-list extended 100
10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量
20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量
30 permit ip any any //最后一定要允许所有!!!
2、全局调用acl
ip session filter 100
或者:ip fpm session filter 100
RSR在默认情况下,是先建立会话流表再去匹配ACL,也就是说,就算在接口配置 deny ip any any 的ACL,这个时候一个数据包来到接口后,还会先建立一条会话,再去匹配ACL被丢弃。那么这种特性就会有一个问题,如果遇到大量的伪源IP攻击,或者是端口扫描时,虽然有ACL拒绝了这种报文的转发,但是还是会把流表给占满,而导致正常的数据无法建流而被丢弃。ip session filter 就是为解决以上问题而开发的,ip session filter的原理就是,在建立流表前去匹配调用的ACL,如果被ACL拒绝就不会再去建流了。
注意:
1、被ip session filter调用的ACL是全局生效的,而且是在建立流表前匹配,也就是说被此ACL拒绝的数据不会建流而直接被丢弃,所以一定要确保该放通的资源都放通后再启用。
2、ip session filter对设备本身所发出的数据是不生效的。
3、通过IP session filter的流量,回来时不会再匹配ip session filter所调用的ACL,也就是说能出去就能回来。
三、策略路由
1、创建策略路由条目
route-map route_map_name [permit | deny] sequence
route_map_name:命名策略路由
permit:对符合条件的数据包实施策略
deny:对符合条件的数据包不实施策略
sequence:0-65535,route-map语句的执行顺序,
route-map每个条目都被赋予编号,可以任意地插入或删除条目;
按照序号大小顺序查找匹配,Route-map中的每个序列号语句相当于于访问控制列表中的各行。
缺省最后有一条deny any的语句,对于没有匹配到策略路由的流量,不会丢弃,而是做正常的ip 路由转发。
2、匹配规则
match ip address 匹配访问列表或前缀列表
3、设置策略
set interface 出接口,先匹配策略路由,再匹配明细路由,最后匹配默认路由。
set default interface 默认出接口,先匹配明细路由,再匹配策略路由,最后匹配默认路由。
set ip next-hop 下一跳,先匹配策略路由,再匹配明细路由,最后匹配默认路由。
set ip default next-hop 默认下一跳,先匹配明细路由,再匹配策略路由,最后匹配默认路由。
注意:
(1)带不带default的区别:
不带default:策略路由优先级高于明细路由
带default:策略路由优先级低于明细路由;
(2)什么时候设置出接口,什么时候设置下一跳:
以太网接口必须设置下一跳,PPP链路则设置出接口
4、应用策略路由
接口策略路由:
Ruijie(config)#interface gigabitEthernet 0/0
Ruijie(config-GigabitEthernet 0/0)#ip policy route-map ruijie //接口策略路由,对接口收到的报文进行策略路由
本地策略路由:
Ruijie(config)#ip local policy route-map ruijie //对本地发出的符合规则的报文进行策略路由
注意:
(1)策略路由一定要应用到数据包的in方向接口,不能应用到数据包的out方向接口。因为策略路由实际上是在数据包进路由器的时候,强制设置数据包的下一跳,out方向接口,路由器已经对数据包做完ip路由,把数据包从接口转发出去了,故out方向策略路由不生效。
(2)本地策略路由是对设备自身发出的报文进行策略路由选路(源地址为设备自身)。
(3)策略路由匹配逻辑:
5、冗余模式/负载模式
如果策略路由中设置了两个下一跳,默认是采用冗余模式,也可以更成为负载模式
Ruijie(config)#ip policy load-balance //更改成为负载模式
Ruijie(config)#ip policy redundance //更改成为冗余模式
6、举例--完整的策略路由配置
(1)配置ACL匹配规则
ip access-list extended 100
10 permit ip 192.168.10.0 0.0.0.255 any //匹配源地址为192.168.10.0/24的所有流量
20 permit ip 192.168.20.0 0.0.0.255 any //匹配源地址为192.168.20.0/24的所有流量
30 permit ip 192.168.30.0 0.0.0.255 114.114.114.114 0.0.0.0 //匹配192.168.30.0/24访问114的流量
(2)配置策略路由
route-map ruijie permit 10 //创建名为ruijie的策略路由,“permit”指对匹配
match ip address 100 //匹配ACL100
set ip next-hop 100.0.0.254 //设置下一跳为100.0.0.254
(3)内网接口下调用策略路由
interface GigabitEthernet 0/0
ip policy route-map ruijie //内网接口下调用策略路由
四、限速配置
1、rate-control和rate-limit的区别
rate-control是对ACL里每一个用户做带宽和会话限制;rate-limit是以ACL或接口为一个组,限定一个总体的带宽。
rate-limit一般在in/out两个方向都可使用;rate-control一般用在出口,可以对上传和下载两个方向进行控制。
rate-limit
rate-control
2、流量整形
通用流量整形(Generic Traffic Shaping,GTS)可以对不规则或不符合预定流量特性的报文流进行整形,以利于网络上下游之间的带宽匹配。
GTS使用报文缓冲区和令牌桶来完成,当报文流发送速度过快时,首先在缓冲区进行缓存,在令牌桶的控制下,再均匀地发送这些被缓冲的报文。
流量整型(GTS)与流量监管(rate-limit)的区别:
1、GTS有缓存机制,对于超出预定流量的报文进行缓存,使得流量更平滑;rate-limit无缓存机制,对于超出预定流量的报文直接丢弃。
2、GTS功能模块是在接口队列机制之后进行,而rate-limit是在报文进队列前进行;导致的结果是,如果使用rate-limit进行了限速,那么队列机制即使配置也起不到作用;而GTS可以和队列机制配合使用,组成完整的QoS保障机制。
哇,都是底层命令行配置的,这会比管理页面配置会复杂,但是这个难不倒我小杜,学习是已经学习好了,还需要再多加练习才能够熟练的使用。加油!!!今天就分享到这了哈。
标签:匹配,策略,ip,接口,ACL,行为,路由,锐捷 From: https://blog.51cto.com/u_15848517/5901222