路由策略
- 控制层流量-----路由协议传递路由信息产生的流量
- 数据层流量-----设备访问目的地址是产生的流量
[r3-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.0因为ACL列表本身设计是为了抓取数据层流量的,所以,因为通配符的存在他可以灵活的匹配IP的数字特征,但是,没有办法匹配路由信息中的掩码特征。所以,ACL并不擅长控制层流量的抓取。 如果需要在192.168.1.0/24、192.168.1.0/25、192.168.1.0/30中抓取到192.168.1.0/24,ACL是无能为力的,只能按照数字特征抓取,则意味着使用以上命令将同时抓取携带着三种路由信息的数据包。 前缀列表(IP-prefix) 一个路由条目由目的网络地址(前缀)+掩码长度(前缀长度)共同标识。
IP前缀列表可以包含一条或多条语句,每条语句都使用一个序号(十进制)进行标识。
[r3]ip ip-prefix aa permit 172.16.0.0 24 该语句要求路由的目的网络地址的前24位比特位需要与172.16.0.0的前24位相同,
并且路由的目的网络掩码长度必须为24,因此该规则可以抓取172.16.0.0/24
[r3]ip ip-prefix aa permit 172.16.0.0 16 less-equal 24 该语句要求路由的目的网络地址的前16比特位与172.16.0.0的前16位相同,
并且路由的目的网络掩码长度必须大于或等于16,且小于或等于24。因为改规则可以抓取
172.16.0.0/16、172.16.0.0/24
[r3]ip ip-prefix aa permit 172.16.0.0 16 greater-equal 24
[r3]ip ip-prefix aa permit 172.16.0.0 16 greater-equal 24 less-equal 32
[r3]ip ip-prefix aa permit 172.16.0.0 16 greater-equal 24 less-equal 24
[r3]ip ip-prefix qq deny 172.16.0.0 30 [r3]ip ip-prefix qq permit 172.16.0.0 24
[r3]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32 上述语句中,IP地址为0.0.0.0,这种形式的IP地址被称为通配地址,
也即该地址能匹配任意形式的目的网络地址。因此,该语句并不关系被匹配路由的目的网络地址,
但是要求路由的目的网络掩码长度必须大于等于0,小于等于32,实际上这条路由相当于“允许所有”。
[r3]ip ip-prefix ee deny 172.16.0.0 30 [r3]ip ip-prefix ee permit 0.0.0.0 0 less-equal 32
[r3]ip ip-prefix aa permit 0.0.0.0 0 greater-equal 32 less-equal 32 该语句将匹配掩码长度为32的任意路由,也就是所有的主机路由
[r3]ip ip-prefix aa permit 0.0.0.0 0 该语句允许的是默认路由0.0.0.0/0 [r3]ip ip-prefix hcip permit 172.16.4.0 22 greater-equal 24 less-equal 24
做策略
偏移列表-----Cisco 偏移列表属于RIP这种距离矢量型协议专用的。抓流量 [r1]ip ip-prefix huawei permit 23.0.0.0 24该策略为逐跳行为,效果可以叠加操作;整段路径中流量经过的多个接口均配置了度量值增加,最终的开销值为增加的总度量值。 过滤策略----Filter-Policy----路由过滤工具 分发列表----cisco 只能够对路由信息进行过滤,而无法对LSA进行过滤。
调用 [r1-GigabitEthernet0/0/1]rip metricin ip-prefix huawei 5 进入流量入方向接口,给其度量值增加5,metricin入;metricout出;
出接口默认每次加1,入接口默认不加。
[r2-acl-basic-2000]rule deny source 34.0.0.0 0.0.0.0 ------过滤列表本身没有过滤能力,所以,需要在抓取流量的时候使用拒绝动作。 [r2-acl-basic-2000]rule permit source any -----注意,在抓取流量的时候,末尾一定要放通所有流量,否则将会把所有的流量均过滤掉,原因在于过滤策略是完全依照ACL表项进行工作的。切记,若使用ACL定义流量,正常华为为ACL末尾隐含允许所有,但是在过滤策略中一定要手工配置允许所有。 举例
在过滤策略中调用 [r2-rip-1]filter-policy 2000 export GigabitEthernet 0/0/0 -----在进程中调用,选定入方向或出方向的接口,若不选择接口,则为全局调用,会匹配所有接口
[r2]ip ip-prefix aa deny 34.0.0.0 24 [r2]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32 [r2-rip-1]filter-policy ip-prefix aa export GigabitEthernet 0/0/0
注意,若此时没有在R1上进行过滤,而是等R1将域外的五类LSA发布仅OSPF后,在再R2的出方向或入方向,有着或是R1的出方向调用过滤策略,则不会成功。必须要在R1将路由信息转换为LSA信息之前进行调用,也就是在ASBR的入方向调用。
若在R2的入方向使用过滤策略限制192.168.2.0/24路由,则R2将不会具备该路由信息,因为是在R2根据本地LSDB中的LSA信息计算出192.168.2.0/24路由后,拒绝将这条路由信息加入本地路由表中。而R3此时还具备该路由信息,原因在于R3可以正常收到所有的LSA信息,并成功计算路由信息。
若将过滤策略使用在链路状态型协议中,必须使用入方向。
路由策略----Route-policy
路由策略的匹配规则:自上而下,逐一匹配,一旦匹配上则将按照对应的规则来执行动作,不再向下匹配。末尾隐含拒绝所有的规则。
配置实例
要求:
192.168.1.0/24 -----过滤 192.168.2.0/24 -----修改种子度量值10 192.168.3.0/24 -----开销值类型修改为Type-1 192.168.4.0/24 -----开销值类型修改为Type-1,tag=200 12.0.0.0/24 -----不处理抓取流量: [r2]acl 2000 [r2-acl-basic-2000]rule permit source 192.168.1.0 0permit:
[r2]acl 2001 [r2-acl-basic-2001]rule permit source 192.168.2.0 0
[r2]ip ip-prefix aa permit 192.168.3.0 24 [r2]ip ip-prefix bb permit 192.168.4.0 24
做策略: [r2]route-policy hcip deny node 10 ----创建一个叫做hcip的route-policy列表,且序号为10
[r2-route-policy]if-match acl 2000 ----匹配ACL 2000
[r2]route-policy hcip permit node 20 [r2-route-policy]if-match acl 2001 [r2-route-policy]apply cost 10
[r2]route-policy hcip permit node 30 [r2-route-policy]if-match ip-prefix aa [r2-route-policy]apply cost-type type-1
[r2]route-policy hcip permit node 40 [r2-route-policy]if-match ip-prefix bb [r2-route-policy]apply cost-type type-1 [r2-route-policy]apply tag 200
[r2]route-policy hcip permit node 50
在重发布中调用: [r2-ospf-1]import-route rip 1 route-policy hcip [r2]display route-policy hcip -----查看路由策略内容
- 指定该节点的匹配模式为允许
- 如果路由匹配的结果是满足该阶段的所有if-match语句,则该路由被视为允许通过,该节点的apply语言将被执行,且不再进入一下个节点。若该节点中有fi-match语句不满足,则进入下一个节点继续匹配。
- 指定节点的匹配模式为拒绝。
- 如果节点的匹配模式为拒绝,则该节点的apply语句将不被执行。
- 如果路由匹配的结果是满足该阶段的所有if-match语句,该路由策略的匹配过程直接结束。不会进入下一个阶段。而满足该节点条件的路由会被视为拒绝通过。
- 若该节点中有fi-match语句不满足,则进入下一个节点继续匹配。
- 即便要拒绝一个流量,在抓取的时候也必须使用允许操作,之后在路由策略来拒绝。
- 在一条规则中,若没有进行流量匹配,那么就是匹配所有流量。若没有apply那么仅对匹配的流量进行当前大动作修改。
- 配置时,注意路由策略的“与”和“或”关系。