策略路由和路由策略
路由策略:filter-policy、route-policy、
策略路由:policy-based-route、traffic-policy
区别和联系:两者都是为了改变网络流量的转发路径,目的一 样,但实现的方式不一样。
路由策略是通过更改某些路由参数影响路由表的路由条目来影响 报文的转发.
route-policy关键字总结:
案例1:
ospf 1
filter-policy 2000 import
acl 2000
rule 5 deny source 2.2.2.2 0
rule 10 permit
注意:由于ospf 传递的是链路信息,因此filter-policy import 指令只能阻止链路信息进入路由表。 LSA会继续传递给其邻居。
案例2:
也可用于isis的路由引入类似于:
import-route isis level-2 into level-1 filter-policy 2005
---------------------------------------------------------------
route-policy关键字总结:
(用于后面的ospf章节中的不同AS之间路由引入时可选择过滤,也可用于BGP的控制选路)
ospf 1
import-route rip 1 route-policy aa
route-policy aa permit node 10
if-match acl 2005
acl 2005
rule 5 deny source 9.9.8.0 0.0.0.255
rule 10 permit
---------------------------------------------------------------
cost值修改
[]dis ospf int gx/x/x 查看port的cost值
int gx/x/x/
ospf cost 5
---------------------------------------
优先级修改等。。。。。。
int gx/x/x
ospf dr-pri 10
策略路由是通过管理员在路由器上面配置策略强制数据包按照策 略转发 ,策略路由优先于路由表。(比如:策略路由可以基于源 地址定制数据的转发路径)
策略路由配置—本地方式:只能对由本机主动触发的流量生 效。对流经本机的(转发流量)无效。
R1:
acl number 3000
rule 5 permit ip destination 4.4.4.4 0
policy-based-route aa permit node 10
if-match acl 3000
apply ip-address next-hop 13.1.1.3 (强制下一跳)
ip local policy-based-route aa 本地调用
tracert 4.4.4.4 查看下一跳
dis policy-based-route 查看本地策略路由
策略路由-接口方式(基于接口策略路由)
① 分类
acl 2006
rule 5 permit source 1.1.1.2 0
acl 2007
rule 5 permit source 1.1.1.3 0
traffic classifier aa
if-match acl 2007
traffic classifier bb
if-match acl 2006
② 动作
traffic behavior aazu
redirect ip-nexthop 13.1.1.3
traffic behavior bbzu
redirect ip-nexthop 12.1.1.2
③ 关联 (策略)
traffic policy temp
classifier aa behavior aazu
classifier bb behavior bbzu
④ 接口调用
interface GigabitEthernet0/0/2
ip address 1.1.1.1 255.255.255.0
traffic-policy temp inbound
注意:目前基于接口的策略路由只针对入方向生效
dis traffic-policy applied-record查看分类和动作绑定、接口调用情况
## ACL 访问控制列表
ACL:traffic-filter
① ACL 简介 (三层技术) ACL :access control list 访问控制列表 用于数据包的访问控制。
acl 常用两种:
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端 口、目标端口等三层和四层的字段。
ACL 两种作用:
① 用来对数据包做访问控制
② 结合其他协议用来匹配范围
**②基本ACL:basic acl**
基础配置:ip地址和静态路由 使全网互通 略
需求:在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络
```bash
R2:
acl 2000 创建
acl 2000 rule deny source 192.168.10.1 0
int gi 0/0/1 在接口的出方向调用acl
traffic-filter outbound acl 2000 outbound
调试:dis acl 2000
③ 高级ACL
需求:在R2上配置高级acl 拒绝PC1和PC2 ping server,但 是允许其HTTP 访问server。
注意:只有报文是① icmp、且② 源地址是192.168.10.x 、且③ 目标地址是172.16.10.2 才会被拒绝。需同时满足 这三个条件才会被匹配。
acl number 3000
rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
interface GigabitEthernet0/0/1
traffic-filter outbound acl 3000
其他需求:
需求:拒绝源地址192.168.10.2 telnet 访问 12.0.0.2
acl 3005
rule deny tcp source 192.168.10.2 0 destination 12.0.0.2 0 destination-port eq 23
需求:允许源地址1.1.1.1访问2.2.2.2.其他剩下的报文全部被拒绝。
acl 3008
rule 5 permit ip source 1.1.1.1 0 destination 2.2.2.2 0 rule 10 deny ip
需求:拒绝任何人上QQ :传输层 UDP 8000
acl 3101
rule deny udp destination-port eq 8000
注意: ① 如果某acl 没有被调用,该acl不起任何作用
② acl 属于三层技术 只能部署在三层设备上面 ,acl适合 用于不同网段互访的访问控制
③ 相同vlan 和网段的pc互访控制(这种情况不适合用 acl),建议使用端口隔离来实现。
④ ACL用于控制telnet
例如:只允许12.1.1.5 远程telnet R2
R2开启telnet (略)
R2:
acl number 2008
rule 5 permit source 12.1.1.5 0
rule 10 deny
user-interface vty 0 4 到vty 接口调用
acl 2008 inbound
⑤ACL 用于多层交换机
方式1:acl 写法和路由器保持一致。华为设备需在物理接 口下调用acl。
```bash
int Gi0/0/2
traffic-filter outbound acl 3006
方式2:
[ ]traffic-filter vlan 10 inbound acl 2000
acl 2000 只对vlan 10 生效,类似将acl 2000 调用到了vlanif 10口。
注1:一个接口的同一个方向,只能调用一个acl
注2:一个acl里面可以有多个rule 规则,从上往下依次执 注3:数据包一旦被某rule匹配,就不再继续向下匹配
注4: 用来做数据包访问控制时,默认隐含放过所有(华为 设备)
总结分析:
区别ACL和路由策略和策略路由:
在这里要区分ACL是用于数据包的访问控制,而路由策略和策略路由是为了改变网络流量的转发路径,目的一 样,但实现的方式不一样。。
路由策略:filter-policy、route-policy、
策略路由:policy-based-route、traffic-policy
ACL:traffic-filter