策略路由,路由策略

前言:在企业网络中,常面临非法流量访问及流量路径不优的问题,为了保护数据访问的安全性、提高链路带宽的利用率,需要对网络中的流量行为控制,如控制网络流量可达性,调整网络流量路径。

如何控制流量可达性?

  方案一:对接收和发布的路由进行过滤来控制可达性,路由策略

  方案二:使用Traffic-filter工具对数据进行过滤,流量过滤

 什么是路由策略?

  通过一系列的工具或者方式对路由进行各种控制的策略,这个策略可以影响路由的产生,发布和选择等,进而影响报文的转发路径

  在ip网络中,路由策略的用途主要有两个方面:对路由信息过滤和修改路由属性。

策略路由,路由策略

如图,如果使用流量过滤,使市场部的流量不能访问财务部。会有极大的局限性,若是在RTA上做traffic-filter,流量会经过RTC RTB再在RTA上被过滤极大的浪费链路带宽。若在RTC入口做traffic-filter,可能RTC不是由你进行管理的。而且流量过滤针对每一个报文进行过滤,极大的浪费设备性能,所以建议使用路由策略来进行对流量的可达性进行控制。

 路由策略使用的工具:

  条件工具:把路由匹配出来  ,acl  ip-prefix

  策略工具:匹配抓取的路由,执行各种各样的策略。router-policy

  调用工具:把策略应用到某个具体的协议中。  filter-policy import-route

策略路由,路由策略

 

 配置思路:配置filter-policy不让192.168.1.0路由发出给到AR1

[AR2-rip-1]filter-policy 2000 export       -----对所有接口发出的路由做过滤

[AR2-rip-1]ACL 2000

[AR2-acl-basic-2000]rule PER S 192.168.2.0 0

 

   filter-policy 2000 export static  import-route static  对引入的静态路由实现过滤,本地不存在LSDB

 当过滤本地接口的路由时

  filter-policy 2000 export  针对链路状态路由协议无效,链路状态路由协议发送的是LSA

  filter-policy 2000 import  针对链路状态协议有效,不过是在加表实现过滤,本地LSDB中依旧有此链路状态

ACL的局限性?ACL只能抓取路由的前缀,不关心掩码信息,如果两条路由拥有相同的前缀,ACL无法分别抓取

前缀列表的优势?相比ACL来说既能匹配前缀也能抓取掩码,前缀列表不能用于流量过滤。

[AR1]ip ip-prefix test index 10 permit 192.168.1.0 24   ///匹配单条路由

[AR1]ip ip-prefix test index 10 permit 192.168.1.0 24 ge 25   // 代表前24bit固定,掩码在25-32之间

[AR1]ip ip-prefix test index 10 permit 192.168.1.0 24 ge 25 le 28   //前24bit固定,掩码在25-28之间

[AR1]ip ip-prefix test index 10 permit 0.0.0.0 le 32   //匹配所有路由

[AR1]ip ip-prefix test index 10 permit 0.0.0.0 0     //匹配默认路由

[AR1]ip ip-prefix test index 10 permit 0.0.0.0 ge 32  //匹配所有主机路由

前缀列表和 ACL的区别?

  ACL既能基于数据报文进行过滤也能基于路由条目过滤    。  前缀列表只能基于路由条目过滤

  ACL用于路由过滤的时候只能抓取路由前缀    前缀列表能匹配路由前缀也能匹配掩码信息

 

router-policy:不仅能匹配路由条目,并且可以对路由条目的某些属性就进行修改

 应用点:1.路由引入时,通过route-policy可以实现路由的过滤和属性的修改

     2.可以作为filter-policy的匹配条件

     3.BGP中实施路由策略的工具

 组成:1.名字:用于标识唯一的route-policy

    2.匹配模式:permit 和deny

    3.节点号:类似acl中的rule。一个route-policy有多个节点组成,按照节点号从小到大匹配。唯一匹配

    4.匹配语句:if-match语句,定义匹配某些条件,一个节点中可以匹配多个if-match语句,关系为逻辑或。不配置if-match戴白哦匹配所有

    5.执行语句:apply语句,指定动作。如修改路由cost  tag   路由类型等。一个节点可以配置多个apply语句,关系为逻辑与

工具关系总结:

  策略路由,路由策略

 

   策略路由,路由策略

 

   策略路由,路由策略

 

  route-policy配置实验

策略路由,路由策略

 

 

引入 192.168.1.0 cost 100 type 1   引入 192.168.2.0 cost 200 type 2    引入192.168.3.0 cost 300 tag 999

由于filter-policy只能对路由的发出和接收做过滤,此时只能用到route-polict工具

步骤一:配置接口,双方启用ospf

步骤二:配置acl ,匹配这三条路由用于if-match。注,使用三条acl语句分别匹配出这三条路由

步骤三:创建route-policy

  AR2]route-policy sto permit node 10    // 创建route-policy 名字为sto,匹配node10节点的语句

  [AR2-route-policy]if-match acl 2000  //匹配acl 2000的流量

  [AR2-route-policy]apply cost 100    //将acl2000的流量sot改为100

  [AR2-route-policy]apply cost-type type-1

  [AR2-ospf-1]import-route static route-policy sto //最后在OSPF进程下调用route-policy

注:route-policy默认存在拒绝所有语句。 所以  route-policy sto per node 1000       此语句为匹配所有

[AR2-ospf-1]import-route static route-policy sto ?
cost Set cost
tag Specify route tag
type Metric type of the imported external routes

在引入时,也能修改cost值,当策略冲突,匹配route-policy的路由按照route-policy修改。如果路由匹配route-policy,但是没有修改属性,按import-route修改

 

 

调整网络流量路径:通过路由策略和策略路由的方式都可实现

策略路由,路由策略

 

 当使用OSPF时,上面的带宽比下面的更好,此时由于OSPF选路机制,下面的链路会处于空闲的状态得不到利用。

使用路由策略来实现调整路径时,可以将上面的cost与下面的cost改为一致,此时会负载

使用策略路由来实现时,可以将链路利用率最大化。因此最优。

策略路由:可以人为制定转发策略,匹配报文的某些特性,根据特征进行报文转发路径的控制。

  优点:根据用户需求,人为的制定转发策略,增强报文转发路径选择的灵活性和可控性

     使不同的数据报文,从不同的链路上发送出去,增加链路的利用率。

  策略路由的种类:接口策略路由,只能针对经过接口的流量生效      本地策略路由 ,只能针对自身产生的流量生效

策略路由,路由策略

 

 

该场景下,pc访问8.8.8.8会基于流负载 ,链路利用率得不到最大化,可以配置策略路由,使1.0走100M  2.0走50M

策略路由是基于MQC  模块化QOS命令行来完成配置

  流分类:将满足某种特征的流量匹配出来,,,,相当于acl,前缀列表

  流行为:配置一种动作,,类似apply   ,如重定向到某一个借口发送

  流策略:把了流分类和流行为关联一起

策略路由只能应用在imbound方向

配置步骤

1.定义acl用于给流分类匹配条件

[AR3-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

2.定义流分类

AR3]traffic classifier 1.0

[AR3-classifier-1.0]if-match acl 2000

3.定义流行为

[AR3]traffic behavior ar1

[AR3-behavior-ar1]redirect ip-nexthop 10.0.13.1  //定义下一跳为10.0.13.1

4.定义流策略将流分类与流行为关联

AR3]traffic policy 100

[AR3-trafficpolicy-100]classifier 1.0 behavior ar1

5.将策略路由应用在接口上

[AR3-GigabitEthernet0/0/0]traffic-policy 100 inbound    

2.0的流量配置与上述大同小异。

当需要对设备本身产生的流量进行控制转发路径时。需要用到本地策略路由

策略路由,路由策略

 

 验证时,多改几次ip,更改流的五元组,验证其不是基于流负载分担。

 

上一篇:点到点IPSec ***的配置


下一篇:ASP.NET Core下自定义授权返回结果