前言:在企业网络中,常面临非法流量访问及流量路径不优的问题,为了保护数据访问的安全性、提高链路带宽的利用率,需要对网络中的流量行为控制,如控制网络流量可达性,调整网络流量路径。
如何控制流量可达性?
方案一:对接收和发布的路由进行过滤来控制可达性,路由策略
方案二:使用Traffic-filter工具对数据进行过滤,流量过滤
什么是路由策略?
通过一系列的工具或者方式对路由进行各种控制的策略,这个策略可以影响路由的产生,发布和选择等,进而影响报文的转发路径
在ip网络中,路由策略的用途主要有两个方面:对路由信息过滤和修改路由属性。
如图,如果使用流量过滤,使市场部的流量不能访问财务部。会有极大的局限性,若是在RTA上做traffic-filter,流量会经过RTC RTB再在RTA上被过滤极大的浪费链路带宽。若在RTC入口做traffic-filter,可能RTC不是由你进行管理的。而且流量过滤针对每一个报文进行过滤,极大的浪费设备性能,所以建议使用路由策略来进行对流量的可达性进行控制。
路由策略使用的工具:
条件工具:把路由匹配出来 ,acl ip-prefix
策略工具:匹配抓取的路由,执行各种各样的策略。router-policy
调用工具:把策略应用到某个具体的协议中。 filter-policy import-route
配置思路:配置filter-policy不让192.168.1.0路由发出给到AR1
[AR2-rip-1]filter-policy 2000 export -----对所有接口发出的路由做过滤
[AR2-rip-1]ACL 2000
[AR2-acl-basic-2000]rule PER S 192.168.2.0 0
filter-policy 2000 export static import-route static 对引入的静态路由实现过滤,本地不存在LSDB
当过滤本地接口的路由时
filter-policy 2000 export 针对链路状态路由协议无效,链路状态路由协议发送的是LSA
filter-policy 2000 import 针对链路状态协议有效,不过是在加表实现过滤,本地LSDB中依旧有此链路状态
ACL的局限性?ACL只能抓取路由的前缀,不关心掩码信息,如果两条路由拥有相同的前缀,ACL无法分别抓取
前缀列表的优势?相比ACL来说既能匹配前缀也能抓取掩码,前缀列表不能用于流量过滤。
[AR1]ip ip-prefix test index 10 permit 192.168.1.0 24 ///匹配单条路由
[AR1]ip ip-prefix test index 10 permit 192.168.1.0 24 ge 25 // 代表前24bit固定,掩码在25-32之间
[AR1]ip ip-prefix test index 10 permit 192.168.1.0 24 ge 25 le 28 //前24bit固定,掩码在25-28之间
[AR1]ip ip-prefix test index 10 permit 0.0.0.0 le 32 //匹配所有路由
[AR1]ip ip-prefix test index 10 permit 0.0.0.0 0 //匹配默认路由
[AR1]ip ip-prefix test index 10 permit 0.0.0.0 ge 32 //匹配所有主机路由
前缀列表和 ACL的区别?
ACL既能基于数据报文进行过滤也能基于路由条目过滤 。 前缀列表只能基于路由条目过滤
ACL用于路由过滤的时候只能抓取路由前缀 前缀列表能匹配路由前缀也能匹配掩码信息
router-policy:不仅能匹配路由条目,并且可以对路由条目的某些属性就进行修改
应用点:1.路由引入时,通过route-policy可以实现路由的过滤和属性的修改
2.可以作为filter-policy的匹配条件
3.BGP中实施路由策略的工具
组成:1.名字:用于标识唯一的route-policy
2.匹配模式:permit 和deny
3.节点号:类似acl中的rule。一个route-policy有多个节点组成,按照节点号从小到大匹配。唯一匹配
4.匹配语句:if-match语句,定义匹配某些条件,一个节点中可以匹配多个if-match语句,关系为逻辑或。不配置if-match戴白哦匹配所有
5.执行语句:apply语句,指定动作。如修改路由cost tag 路由类型等。一个节点可以配置多个apply语句,关系为逻辑与
工具关系总结:
route-policy配置实验
引入 192.168.1.0 cost 100 type 1 引入 192.168.2.0 cost 200 type 2 引入192.168.3.0 cost 300 tag 999
由于filter-policy只能对路由的发出和接收做过滤,此时只能用到route-polict工具
步骤一:配置接口,双方启用ospf
步骤二:配置acl ,匹配这三条路由用于if-match。注,使用三条acl语句分别匹配出这三条路由
步骤三:创建route-policy
AR2]route-policy sto permit node 10 // 创建route-policy 名字为sto,匹配node10节点的语句
[AR2-route-policy]if-match acl 2000 //匹配acl 2000的流量
[AR2-route-policy]apply cost 100 //将acl2000的流量sot改为100
[AR2-route-policy]apply cost-type type-1
[AR2-ospf-1]import-route static route-policy sto //最后在OSPF进程下调用route-policy
注:route-policy默认存在拒绝所有语句。 所以 route-policy sto per node 1000 此语句为匹配所有
[AR2-ospf-1]import-route static route-policy sto ?
cost Set cost
tag Specify route tag
type Metric type of the imported external routes
在引入时,也能修改cost值,当策略冲突,匹配route-policy的路由按照route-policy修改。如果路由匹配route-policy,但是没有修改属性,按import-route修改
调整网络流量路径:通过路由策略和策略路由的方式都可实现
当使用OSPF时,上面的带宽比下面的更好,此时由于OSPF选路机制,下面的链路会处于空闲的状态得不到利用。
使用路由策略来实现调整路径时,可以将上面的cost与下面的cost改为一致,此时会负载
使用策略路由来实现时,可以将链路利用率最大化。因此最优。
策略路由:可以人为制定转发策略,匹配报文的某些特性,根据特征进行报文转发路径的控制。
优点:根据用户需求,人为的制定转发策略,增强报文转发路径选择的灵活性和可控性
使不同的数据报文,从不同的链路上发送出去,增加链路的利用率。
策略路由的种类:接口策略路由,只能针对经过接口的流量生效 本地策略路由 ,只能针对自身产生的流量生效
该场景下,pc访问8.8.8.8会基于流负载 ,链路利用率得不到最大化,可以配置策略路由,使1.0走100M 2.0走50M
策略路由是基于MQC 模块化QOS命令行来完成配置
流分类:将满足某种特征的流量匹配出来,,,,相当于acl,前缀列表
流行为:配置一种动作,,类似apply ,如重定向到某一个借口发送
流策略:把了流分类和流行为关联一起
策略路由只能应用在imbound方向
配置步骤
1.定义acl用于给流分类匹配条件
[AR3-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
2.定义流分类
AR3]traffic classifier 1.0
[AR3-classifier-1.0]if-match acl 2000
3.定义流行为
[AR3]traffic behavior ar1
[AR3-behavior-ar1]redirect ip-nexthop 10.0.13.1 //定义下一跳为10.0.13.1
4.定义流策略将流分类与流行为关联
AR3]traffic policy 100
[AR3-trafficpolicy-100]classifier 1.0 behavior ar1
5.将策略路由应用在接口上
[AR3-GigabitEthernet0/0/0]traffic-policy 100 inbound
2.0的流量配置与上述大同小异。
当需要对设备本身产生的流量进行控制转发路径时。需要用到本地策略路由
验证时,多改几次ip,更改流的五元组,验证其不是基于流负载分担。