路由技术 -- 路由策略(Routing Policy)与策略路由(PBR,Policy-based Routing)技术
目錄
路由策略的實(shí)現(xiàn)
路由策略定義
作用于路由,路由過濾和設(shè)置路由屬性
通過改變路由屬性(包括可達(dá)性)來改變網(wǎng)絡(luò)流量所經(jīng)過的路徑
路由策略功能
控制路由的發(fā)布
控制路由的接收
過濾和控制引入的路由
設(shè)置特定路由的屬性
路由策略價(jià)值
控制設(shè)備的路由表規(guī)模,節(jié)約系統(tǒng)資源
控制路由的接收和發(fā)送,提高網(wǎng)絡(luò)安全性
修改路由屬性,對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行合理規(guī)劃,提高網(wǎng)絡(luò)性能
路由策略實(shí)現(xiàn)步驟
定義規(guī)則
實(shí)施規(guī)則
路由策略使用限制
過濾器
Prefix Lists前綴列表
作用:專業(yè)抓取路由工具,不涉及數(shù)據(jù)層面。匹配路由的掩碼、掩碼范圍。
匹配依據(jù)
掩碼長(zhǎng)度
掩碼長(zhǎng)度范圍
地址前綴匹配規(guī)則:順序匹配、唯一匹配、默認(rèn)拒絕
通配掩碼匹配路由原則
ip prefix-list配置舉例
route-map
route-map類似于腳本語言。默認(rèn)動(dòng)作是拒絕所有 需要有一條放行所有
Route-Policy的組成
Route-Policy由節(jié)點(diǎn)號(hào)(node)
匹配模式(mode)
Route-Policy子句
Route-Policy的匹配結(jié)果
節(jié)點(diǎn)的匹配模式(permit或deny)
if-match子句(如引用的地址前綴列表或者訪問控制列表)中包含的匹配條件(permit或deny)
route-map配置
定義
匹配
動(dòng)作
match匹配規(guī)則
set動(dòng)作
Route-Policy的注意事項(xiàng)
BGP路由策略
BGP路由策略 - route-policy路由過濾
BGP可匹配的屬性
BGP可設(shè)置的屬性
BGP路由策略-正則表達(dá)式 Regular expression
字符匹配公式
as-path-filter(隱含拒絕)
BGP路由策略 - Community屬性
基于Community屬性匹配路由進(jìn)行路由策略(過濾、設(shè)置屬性)
BGP路由策略 - ip-prefix路由過濾
使用ip-prefix匹配拒絕路由,在BGP視圖下進(jìn)行策略引用
BGP路由策略 - filter-policy路由過濾
調(diào)用ACL (peer指定鄰居生效)
調(diào)用前綴列表 (全局生效)
針對(duì)重分發(fā)類型過濾 例:直連路由重分發(fā)同時(shí)進(jìn)行過濾
BGP路由策略 - Outbound Route Filtering (ORF)BGP出站路由過濾
ORF前提條件
distribute-list(分發(fā)列表)
作用:過濾路由,控制接受、拒絕哪些路由條目,即控制層面的控制
配置邏輯:使用ACL抓取,使用分發(fā)列表調(diào)用ACL
分發(fā)列表支持過濾方向
特殊場(chǎng)景
Policy-Based Routing(PBR)策略路由
匹配策略 match
基于源IP(結(jié)合ACL)
基于源接口
匹配tag
匹配數(shù)據(jù)報(bào)文長(zhǎng)度
PBR動(dòng)作
PBR調(diào)用
PBR debug
Offset-list 偏移列表
僅支持 EIGRP和RIP,累加進(jìn)入或者發(fā)出的metric值
Metric 值
路由出站開銷決定了這條路由的Metric大小
RIP:hop條數(shù)
EIGRP:FD 可行性距離
OSPF:COST開銷
管理距離
華為
BGP
思科
環(huán)回口/本地接口 0
OSPF
BGP
不可達(dá)/不可用 255
通過數(shù)據(jù)流控制數(shù)據(jù)走向
路由匹配原則
最長(zhǎng)掩碼匹配原則
AD值
Metric
重分發(fā)
將某路由協(xié)議的路由表引入到另一個(gè)協(xié)議的數(shù)據(jù)庫(kù)中
注意
BGP 到 OSPF
OSPF重分布
EIGRP重分布
修改某路由的AD
Seed Metric種子度量值--初始度量值
RIP和EIGRP重分布入時(shí)不帶seed metric,路由不加表
RIP、eigrp需要指定度量
passive-interface
協(xié)議分類
用途
ACL(Access Control List)
使用ACL匹配路由時(shí)不要使用反掩碼
使用對(duì)象
過濾流量,默認(rèn)解決
匹配感興趣流
ACL用途
ACL類型
基于接口的ACL(Interface-based ACL)
基本ACL(Basic ACL)
高級(jí)ACL(Advanced ACL)
匹配規(guī)則
根據(jù)報(bào)文的入接口、源或目的地址、協(xié)議類型、源或目的端口號(hào)等屬性
filter-Policy
鏈路狀態(tài)協(xié)議中,filter-policy import命令用于過濾從協(xié)議路由表加入本地核心路由表的路由
路由協(xié)議下的filter-Policy策略過濾路由
ACL規(guī)則的動(dòng)作是permit時(shí),則該路由被系統(tǒng)接收或發(fā)布
路由不被系統(tǒng)接收或發(fā)布
路由過濾可分為黑名單和白名單方式
路由策略的實(shí)現(xiàn)
路由策略定義
作用于路由,路由過濾和設(shè)置路由屬性
通過改變路由屬性(包括可達(dá)性)來改變網(wǎng)絡(luò)流量所經(jīng)過的路徑
路由策略功能
控制路由的發(fā)布
- 只發(fā)布滿足條件的路由信息
控制路由的接收
- 只接收必要、合法的路由信息,以控制路由表的容量,提高網(wǎng)絡(luò)的安全性
過濾和控制引入的路由
- 過濾:引入其它協(xié)議路由時(shí),只引入滿足條件的路由信息
- 控制:引入路由同時(shí)設(shè)置路由屬性,使其滿足要求
設(shè)置特定路由的屬性
- 修改通過路由策略過濾的路由的屬性,滿足自身需要
路由策略價(jià)值
控制設(shè)備的路由表規(guī)模,節(jié)約系統(tǒng)資源
控制路由的接收和發(fā)送,提高網(wǎng)絡(luò)安全性
修改路由屬性,對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行合理規(guī)劃,提高網(wǎng)絡(luò)性能
路由策略實(shí)現(xiàn)步驟
定義規(guī)則
- 定義將要實(shí)施路由策略的路由信息的特征,即定義匹配規(guī)則
- 用路由信息中屬性作為匹配依據(jù),如目的地址、發(fā)布路由的設(shè)備IP
實(shí)施規(guī)則
- 將匹配規(guī)則應(yīng)用于路由發(fā)布、接收和引入等過程
路由策略使用限制
node過多會(huì)引起過策略業(yè)務(wù)處理性能較慢,影響客戶體驗(yàn)
route-policy和過濾器定義了一個(gè)以上的節(jié)點(diǎn),則各節(jié)點(diǎn)中至少應(yīng)該有一個(gè)節(jié)點(diǎn)的匹配模式是permit,否則會(huì)導(dǎo)致所有路由被deny掉
應(yīng)用路由策略時(shí),需先配置路由策略,再應(yīng)用,不允許引用不存在的路由策略
過濾器
通過過濾器,定義一組匹配規(guī)則
除了Route-Policy,其它只能對(duì)路由進(jìn)行過濾,不能修改過濾路由屬性
常見過濾器
- VPN :RD屬性過濾器(Route Distinguisher-Filter)
? RD屬性
- BGP專用過濾器
? AS路徑過濾器(AS-Path-Filter)
? AS路徑屬性
? 團(tuán)體屬性過濾器(Community-Filter)
? 團(tuán)體屬性
? 擴(kuò)展團(tuán)體屬性過濾器(Large-Community-Filter)
? Large-community屬性
? BGP協(xié)議專用路由策略調(diào)用關(guān)系
? 應(yīng)用到BGP的peer對(duì)等體上
? 綁定Route-Policy,可以應(yīng)用到BGP network分發(fā)路由,peer對(duì)等體和dampening震蕩功能,且同時(shí)修改過濾路由屬性
- 動(dòng)態(tài)路由協(xié)議
? 訪問控制列表(ACL)
? 入接口、源或目的地址、協(xié)議類型、源或目的端口號(hào)
? 地址前綴列表(IP-Prefix List)
? 源地址、目的地址、下一跳
? Route-Policy
? 目的地址、下一跳、度量值、接口信息、路由類型、ACL、地址前綴列表、AS路徑過濾器、團(tuán)體屬性過濾器、MAC地址列表和RD屬性過濾器等
? Route-Policy
? 所有路由協(xié)議都可以直接使用ACL訪問控制列表和IP-Prefix List地址前綴列表對(duì)路由進(jìn)行過濾
? filter-policy調(diào)用規(guī)則分散在各路由協(xié)議分冊(cè)中,其詳細(xì)調(diào)用過程可參考各路由協(xié)議分冊(cè)
Prefix Lists前綴列表
作用:專業(yè)抓取路由工具,不涉及數(shù)據(jù)層面。匹配路由的掩碼、掩碼范圍。
匹配依據(jù)
掩碼長(zhǎng)度
- 由IP地址和掩碼長(zhǎng)度共同定義
掩碼長(zhǎng)度范圍
- 精確匹配或一定范圍掩碼匹配的,前綴相同掩碼不同的路由
地址前綴匹配規(guī)則:順序匹配、唯一匹配、默認(rèn)拒絕
前綴列表可以創(chuàng)建多個(gè)索引,每個(gè)索引對(duì)應(yīng)一條過濾規(guī)則。按索引號(hào)從小到大順序匹配
匹配到一條語句,則停止匹配
默認(rèn)所有未與任何一個(gè)表項(xiàng)匹配的路由都視為未通過地址前綴列表的過濾,末尾隱含“deny all”,建議創(chuàng)建一條允許所有其他路由通過
- 范圍
? 不配greater-equal 和less-equal,精確匹配
? 同時(shí)配greater-equal 和less-equal,則匹配掩碼范圍
? 只配greater-equal,則匹配掩碼長(zhǎng)度范圍為[greater-equal-value,32]
? 只配less-equal,則匹配掩碼長(zhǎng)度范圍為[mask-length,less-equal-value]
- 全0為通配地址。當(dāng)前綴為全0時(shí),可以在其后指定掩碼長(zhǎng)度以及掩碼長(zhǎng)度范圍。
? 指定掩碼長(zhǎng)度,則具有該長(zhǎng)度所有路由都被允許通過(Permit)或拒絕通過(Deny)
? 指定掩碼長(zhǎng)度范圍,則表示掩碼長(zhǎng)度范圍內(nèi)所有路由都被允許通過(Permit)或拒絕通過(Deny)
通配掩碼匹配路由原則
不包含greater-equal和less-equal
- 只匹配缺省路由
- 匹配碼長(zhǎng)度為X的所有路由
包含greater-equal參數(shù),不包含less-equal參數(shù)
- 匹配原則:掩碼長(zhǎng)度為16~32的路由被permit
- 匹配原則:掩碼長(zhǎng)度為20~32的路由被permit
不包含greater-equal參數(shù),包含less-equal
- 匹配碼長(zhǎng)度為0~less-equal的所有路由
- 匹配碼長(zhǎng)度為X~less-equal的所有路由
包含greater-equal參數(shù)和less-equal
- 匹配原則:掩碼長(zhǎng)度為5~30的路由被permit
- 匹配原則:掩碼長(zhǎng)度為20~30的路由被permit
ip prefix-list配置舉例
ip prefix-list CCNP permit 0.0.0.0/0:只允許默認(rèn)路由
ip prefix-list CCNP permit 0.0.0.0/0 le 32: 允許所有路由ip prefix-list CCNP permit 0.0.0.0 0 less-equal 32
- 相當(dāng)于訪問列表中的“permit any”
- 前綴0.0.0.0/0表示沒有前綴位必須匹配
- “Le 32” 表示子網(wǎng)掩碼必須小于或等于32。
- 該語句將匹配任何網(wǎng)絡(luò)
- 如果定義了一個(gè)以上的前綴列表表項(xiàng),則至少應(yīng)該有一個(gè)表項(xiàng)的匹配模式為permit模式
ip prefix-list CCNP permit 0.0.0.0/0 ge 32: 只允許主機(jī)路由
- 前綴0.0.0.0/0表示沒有前綴位必須匹配
- “Ge 32” 表示子網(wǎng)掩碼必須為32bit。
- 該語句只匹配主機(jī)路由
ip prefix-list CCNP permit 10.0.0.0/8 ge 24 le 24
- 允許其第一個(gè)8位等于10的任何路由,子網(wǎng)掩碼長(zhǎng)度為24位
ip prefix-list 1 deny 11.11.11.0/24 不匹配所有,沒用的條目
route-map
route-map類似于腳本語言。默認(rèn)動(dòng)作是拒絕所有 需要有一條放行所有
Route-Policy的組成
Route-Policy由節(jié)點(diǎn)號(hào)(node)
- 順序匹配
? 從小到大的順序依次檢查各個(gè)表項(xiàng),因此在指定節(jié)點(diǎn)號(hào)時(shí),要注意符合期望的匹配順序
- 唯一匹配
? 節(jié)點(diǎn)之間“或”關(guān)系,只一個(gè)節(jié)點(diǎn)命中就認(rèn)為通過該過濾器,不再進(jìn)行其它節(jié)點(diǎn)的匹配
匹配模式(mode)
- permit
? 路由通過該節(jié)點(diǎn)過濾后執(zhí)行該節(jié)點(diǎn)apply子句,不進(jìn)入下個(gè)節(jié)點(diǎn)
? 如果路由項(xiàng)沒有通過該節(jié)點(diǎn)過濾,將進(jìn)入下一個(gè)節(jié)點(diǎn)繼續(xù)匹配
- deny
? apply子句不會(huì)被執(zhí)行。當(dāng)路由滿足該節(jié)點(diǎn)所有if-match子句,將被拒絕通過該節(jié)點(diǎn),不進(jìn)入下一個(gè)節(jié)點(diǎn)
? 如果路由項(xiàng)不滿足該節(jié)點(diǎn)的if-match子句,將進(jìn)入下一個(gè)節(jié)點(diǎn)繼續(xù)匹配
- 多個(gè)deny節(jié)點(diǎn)后設(shè)置一個(gè)不含if-match子句和apply子句的permit模式的Route-Policy,以允許其它路由通過
Route-Policy子句
- If-match子句
? 匹配對(duì)象是路由信息的某些屬性
? If-match子句匹配條件
? permit節(jié)點(diǎn)沒有任何if-match子句,則匹配所有IPv4和IPv6路由
? permit節(jié)點(diǎn)只配置IPv4 if-match子句,則只會(huì)匹配if-match子句的IPv4路由,同時(shí)匹配所有IPv6路由
? permit節(jié)點(diǎn)只配置IPv6 if-match子句,則只會(huì)匹配if-match子句的IPv6路由,同時(shí)匹配所有IPv4路由
? 不推薦使用同一個(gè)路由策略同時(shí)過濾IPv4路由和IPv6路由
? 同route-policy,有些節(jié)點(diǎn)匹配IPv4路由,有些節(jié)點(diǎn)匹配IPv6路由
? route-policy中只匹配了IPv4路由,但是該route-policy被IPv6協(xié)議引用
? route-policy中只匹配了IPv6路由,但是該route-policy被IPv4協(xié)議引用
- Apply子句
? 執(zhí)行配置命令,對(duì)路由屬性修改
- goto next-node子句
? 當(dāng)前節(jié)點(diǎn)匹配后,跳轉(zhuǎn)到指定節(jié)點(diǎn)繼續(xù)匹配
Route-Policy的匹配結(jié)果
節(jié)點(diǎn)的匹配模式(permit或deny)
if-match子句(如引用的地址前綴列表或者訪問控制列表)中包含的匹配條件(permit或deny)
route-map配置
定義
- route-map dzh permit 10
- route-map dzh permit 20 ?//放行所有,不配match和set即可
匹配
- match ip address prefix-list 1
動(dòng)作
- set metric type-1
match匹配規(guī)則
match的同一行是或關(guān)系(同一個(gè)match調(diào)用多個(gè)ACL),match的上下行是與關(guān)系
匹配可以使用前綴列表也可以使用ACL
set動(dòng)作
Route-Policy的注意事項(xiàng)
默認(rèn)所有未匹配的路由將被拒絕通過Route-Policy
如果Route-Policy中定義了一個(gè)以上的節(jié)點(diǎn),應(yīng)保證各節(jié)點(diǎn)中至少有一個(gè)節(jié)點(diǎn)的匹配模式是permit
如果某路由信息沒有通過任一節(jié)點(diǎn),則認(rèn)為該路由信息沒有通過該Route-Policy
如果Route-Policy的所有節(jié)點(diǎn)都是deny模式,則沒有路由信息能通過該Route-Policy
BGP路由策略
BGP路由策略 - route-policy路由過濾
BGP可匹配的屬性
BGP可設(shè)置的屬性
- 設(shè)置community屬性
- 針對(duì)peer進(jìn)行過濾
- 設(shè)置AS_PATH屬性
BGP路由策略-正則表達(dá)式 Regular expression
字符匹配公式
- 常規(guī)字符
- 控制字符(或有特殊意義的元字符)
? 原子字符
? 位于常規(guī)字符之前或之后用來限制或擴(kuò)充常規(guī)字符的控制字符或占位符
? 乘號(hào)字符
? 跟在原子字符或常規(guī)字符之后,用來描述它前面的字符的重復(fù)方式
? 范圍字符
? 限定了一個(gè)范圍
- 常見的正則表達(dá)式
? 驗(yàn)證數(shù)字:^[0-9]*$
? 驗(yàn)證n位的數(shù)字:^\d{n}$
? 驗(yàn)證至少n位數(shù)字:^\d{n,}$
? 驗(yàn)證m-n位的數(shù)字:^\d{m,n}$
? 驗(yàn)證零和非零開頭的數(shù)字:^(0|[1-9][0-9]*)$
? 驗(yàn)證有兩位小數(shù)的正實(shí)數(shù):^[0-9]+(.[0-9]{2})?$
? 驗(yàn)證有1-3位小數(shù)的正實(shí)數(shù):^[0-9]+(.[0-9]{1,3})?$
? 驗(yàn)證非零的正整數(shù):^\+?[1-9][0-9]*$
? 驗(yàn)證非零的負(fù)整數(shù):^\-[1-9][0-9]*$
? 驗(yàn)證非負(fù)整數(shù)(正整數(shù) + 0) ?^\d+$
? 驗(yàn)證非正整數(shù)(負(fù)整數(shù) + 0) ?^((-\d+)|(0+))$
? 驗(yàn)證長(zhǎng)度為3的字符:^.{3}$
? 驗(yàn)證由26個(gè)英文字母組成的字符串:^[A-Za-z]+$
? 驗(yàn)證由26個(gè)大寫英文字母組成的字符串:^[A-Z]+$
? 驗(yàn)證由26個(gè)小寫英文字母組成的字符串:^[a-z]+$
? 驗(yàn)證由數(shù)字和26個(gè)英文字母組成的字符串:^[A-Za-z0-9]+$
? 驗(yàn)證由數(shù)字、26個(gè)英文字母或者下劃線組成的字符串:^\w+$
? 驗(yàn)證用戶密碼:^[a-zA-Z]\w{5,17}$ 正確格式為:以字母開頭,長(zhǎng)度在6-18之間,只能包含字符、數(shù)字和下劃線。
? 驗(yàn)證是否含有 ^%&',;=?$\" 等字符:[^%&',;=?$\x22]+
? 驗(yàn)證漢字:^[\u4e00-\u9fa5],{0,}$
? 驗(yàn)證Email地址:^\w+[-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*$
? 驗(yàn)證InternetURL:^http://([\w-]+\.)+[\w-]+(/[\w-./?%&=]*)?$ ;^[a-zA-z]+://(w+(-w+)*)(.(w+(-w+)*))*(?S*)?$
? 驗(yàn)證電話號(hào)碼:^(\(\d{3,4}\)|\d{3,4}-)?\d{7,8}$:--正確格式為:XXXX-XXXXXXX,XXXX-XXXXXXXX,XXX-XXXXXXX,XXX-XXXXXXXX,XXXXXXX,XXXXXXXX。
? 驗(yàn)證身份證號(hào)(15位或18位數(shù)字):^\d{15}|\d{}18$
? 驗(yàn)證一年的12個(gè)月:^(0?[1-9]|1[0-2])$ 正確格式為:“01”-“09”和“1”“12”
? 驗(yàn)證一個(gè)月的31天:^((0?[1-9])|((1|2)[0-9])|30|31)$ ???正確格式為:01、09和1、31。
? 整數(shù):^-?\d+$
? 非負(fù)浮點(diǎn)數(shù)(正浮點(diǎn)數(shù) + 0):^\d+(\.\d+)?$
? 正浮點(diǎn)數(shù) ??^(([0-9]+\.[0-9]*[1-9][0-9]*)|([0-9]*[1-9][0-9]*\.[0-9]+)|([0-9]*[1-9][0-9]*))$
? 非正浮點(diǎn)數(shù)(負(fù)浮點(diǎn)數(shù) + 0) ^((-\d+(\.\d+)?)|(0+(\.0+)?))$
? 負(fù)浮點(diǎn)數(shù) ?^(-(([0-9]+\.[0-9]*[1-9][0-9]*)|([0-9]*[1-9][0-9]*\.[0-9]+)|([0-9]*[1-9][0-9]*)))$
? 浮點(diǎn)數(shù) ?^(-?\d+)(\.\d+)?
as-path-filter(隱含拒絕)
- 使用正則表達(dá)式匹配AS_PATH
? ip as-path-filter 1 permit 443
? permit允許匹配路由,deny拒絕匹配路由
? 跟隨表達(dá)式
? 檢查匹配路由
- as-path-filter與前綴列表類似,抓取路由后支持過濾和定義屬性
BGP路由策略 - Community屬性
基于Community屬性匹配路由進(jìn)行路由策略(過濾、設(shè)置屬性)
BGP路由策略 - ip-prefix路由過濾
使用ip-prefix匹配拒絕路由,在BGP視圖下進(jìn)行策略引用
BGP路由策略 - filter-policy路由過濾
調(diào)用ACL (peer指定鄰居生效)
調(diào)用前綴列表 (全局生效)
針對(duì)重分發(fā)類型過濾 例:直連路由重分發(fā)同時(shí)進(jìn)行過濾
BGP路由策略 - Outbound Route Filtering (ORF)BGP出站路由過濾
最大限度地減少對(duì)等路由器之間發(fā)送的BGP更新的數(shù)量,濾掉無效的路由更新以及源路由更新,減少生成和處理路由的資源
ORF前提條件
- 路由器支持發(fā)送或接收ORF
? ORF 功能通過公告 ORF capabilityes 到對(duì)等路由器
? ORF啟用后,BGP speaker 安裝入站前綴過濾器到BGP peer ,peer將其作為出站列表,以此減少不必要的路由更新,減少雙方資源消耗
? 基于BGP的前綴出站路由過濾功能,可以配置為發(fā)送、接收、發(fā)送和接收三種ORF能力
? 本地對(duì)等體公告 ORF capability 于 send 模式下。遠(yuǎn)程對(duì)等體接收到ORFcapability 于 receive模式,并且應(yīng)用過濾器當(dāng)做自己的出站策略本地和遠(yuǎn)程的對(duì)等體交換更新,以保持每個(gè)路由器的ORF
- BGP出口路由過濾功能啟用
- BGP對(duì)等會(huì)話必須建立和運(yùn)行
- 基于前綴的BGP出站路由過濾功能,不支持IP組播路由
distribute-list(分發(fā)列表)
作用:過濾路由,控制接受、拒絕哪些路由條目,即控制層面的控制
配置邏輯:使用ACL抓取,使用分發(fā)列表調(diào)用ACL
分發(fā)列表支持過濾方向
OUT方向,不影響本地路由,控制鄰居的路由條目
IN方向,控制本地路由條目
特殊場(chǎng)景
OSPF場(chǎng)景由于同區(qū)域使用T1 T2 LSA傳遞路由,分發(fā)列表無法攔截,只會(huì)影響設(shè)備本地路由表,LSA還是會(huì)繼續(xù)傳遞
RIP、EIGRP由于傳遞的是路由表,鏈路中任意設(shè)備過濾路由后端設(shè)備均無法收到上級(jí)已經(jīng)被過濾掉的路由條目
Policy-Based Routing(PBR)策略路由
匹配策略 match
基于源IP(結(jié)合ACL)
基于源接口
匹配tag
匹配數(shù)據(jù)報(bào)文長(zhǎng)度
PBR動(dòng)作
set ip next-hop
PBR調(diào)用
Router(config-if)# ip policy route-map map-tag
- 接口下進(jìn)行調(diào)用 ip police route-map,僅用于入站方向的數(shù)據(jù)包
Router(config)# ip local policy route-map map-tag
- 將route-map做的PBR運(yùn)用到 路由器本地產(chǎn)生的所有報(bào)文上
PBR debug
show ip policy
debug ip policy
Offset-list 偏移列表
僅支持 EIGRP和RIP,累加進(jìn)入或者發(fā)出的metric值
Metric 值
路由出站開銷決定了這條路由的Metric大小
路由的入站方向接口屬性決定了路由的metric
路由的出站方向接口不會(huì)改變路由的開銷
RIP:hop條數(shù)
EIGRP:FD 可行性距離
OSPF:COST開銷
管理距離
華為
BGP
- iBGP 255
- eBGP 255
思科
環(huán)回口/本地接口 0
OSPF
- 內(nèi)部 110
- O ASE 150 AS的外部路由
BGP
- eBGP 20
- iBGP 200
不可達(dá)/不可用 255
通過數(shù)據(jù)流控制數(shù)據(jù)走向
路由匹配原則
最長(zhǎng)掩碼匹配原則
AD值
Metric
重分發(fā)
將某路由協(xié)議的路由表引入到另一個(gè)協(xié)議的數(shù)據(jù)庫(kù)中
注意
小AD值注入大AD值會(huì)產(chǎn)生次優(yōu)路徑
設(shè)計(jì)時(shí)候應(yīng)避免雙點(diǎn)雙向重分布,調(diào)整路由AD值不能有效解決這類問題(將小AD協(xié)議改大)。如一定要雙點(diǎn)雙向重分布,應(yīng)針對(duì)路由協(xié)議重發(fā)布本身做策略,避免路由倒灌,用route-map抓取外部路由,且不進(jìn)行重分布。也可以根據(jù)路由來源打上tag,針對(duì)tag進(jìn)行重分布策略,避免路由多次重分布。
BGP 到 OSPF
redistribute bgp ?【asnumber】 subnets //注意加入subnets參數(shù)
默認(rèn)情況下只能把eBGP路由進(jìn)入IGP中,iBGP路由不能引入IGP,內(nèi)部路由引入內(nèi)部協(xié)議
- bgp redistribute-internal
- 【hw】import-route bgp permit-ibgp
- 高風(fēng)險(xiǎn),iBGP條目過多
OSPF重分布
redistribute eigrp 100 subnets metric-type 1
- 默認(rèn)metric是20.
- 默認(rèn)metric類型是type2.
- 子網(wǎng)(非主類)默認(rèn)情況不進(jìn)行充分布,必須加上subnets參數(shù)才會(huì)正常重分布.
EIGRP重分布
5個(gè)K 值 10000 100 255 1 1500
- Bandwidth in kbits = 10000
- Delay in tens of microseconds = 100
- Reliability = 255 (maximum)----表示100%可靠
- Load = 1 (minimum)
- MTU = 1500 bytes
修改某路由的AD
distance AD ip-src wildmask acls
- 建議在ASBR/ABR上進(jìn)行配置
- AD:針對(duì)本地生效的OSPF優(yōu)先級(jí)
- ip-src:更新源,對(duì)OSPF來說就是route-id
- wildmask:更新源的反掩碼
- acls:指定ACL編碼,針對(duì)匹配的ACL路由進(jìn)行優(yōu)先級(jí)調(diào)整
Seed Metric種子度量值--初始度量值
RIP和EIGRP重分布入時(shí)不帶seed metric,路由不加表
RIP、eigrp需要指定度量
passive-interface
協(xié)議分類
- RIP/IGRP——指定接口不向外發(fā)送路由更新,但接收路由更新
- EIGRP
? 指定接口不向外發(fā)送Hello消息,而且通過這個(gè)接口不與其他路由器建立鄰接關(guān)系,不發(fā)送其他EIGRP的數(shù)據(jù)流
? 單播使用直接指定nei ip即可
- OSPF——指定接口不向外發(fā)送Hello消息,而且通過這個(gè)接口不與其他路由器建立鄰接關(guān)系,不發(fā)送和接收路由信息。(有些IOS版本中,OSPF在被動(dòng)接口上發(fā)送Hello和DBD分組,但是不發(fā)送LSU)
用途
- 宣告網(wǎng)段時(shí)將指定接口配置為被動(dòng)
ACL(Access Control List)
使用ACL匹配路由時(shí)不要使用反掩碼
使用對(duì)象
過濾流量,默認(rèn)解決
匹配感興趣流
ACL用途
限制網(wǎng)絡(luò)流量和提高網(wǎng)絡(luò)性能
控制訪問特定網(wǎng)絡(luò)資源,特定時(shí)間段內(nèi)允許對(duì)網(wǎng)絡(luò)的訪問
防止針對(duì)IP報(bào)文、TCP報(bào)文、ICMP(Internet Control Message Protocol)報(bào)文的攻擊
ACL類型
基于接口的ACL(Interface-based ACL)
基本ACL(Basic ACL)
高級(jí)ACL(Advanced ACL)
匹配規(guī)則
根據(jù)報(bào)文的入接口、源或目的地址、協(xié)議類型、源或目的端口號(hào)等屬性
filter-Policy
鏈路狀態(tài)協(xié)議中,filter-policy import命令用于過濾從協(xié)議路由表加入本地核心路由表的路由
filter-policy ip-prefix in import
filter-policy ip-prefix xxx export static
路由協(xié)議下的filter-Policy策略過濾路由
ACL規(guī)則的動(dòng)作是permit時(shí),則該路由被系統(tǒng)接收或發(fā)布
路由不被系統(tǒng)接收或發(fā)布
- ACL規(guī)則的動(dòng)作是deny時(shí),則該路由不會(huì)被系統(tǒng)接收或發(fā)布
- 路由的網(wǎng)段不在ACL規(guī)則指定的范圍內(nèi),則該路由默認(rèn)不被系統(tǒng)接收或發(fā)布
- ACL中不存在規(guī)則,那么引用該ACL的路由策略中涉及的所有路由不被系統(tǒng)接收或發(fā)布
路由過濾可分為黑名單和白名單方式
- 黑名單方式可以在同一個(gè)ACL中先配置動(dòng)作是deny的編號(hào)較小的規(guī)則,用于過濾掉不希望被系統(tǒng)接收或發(fā)布的路由,然后再配置動(dòng)作是permit的編號(hào)較大的規(guī)則,用于接收或發(fā)布其他路由
- 白名單方式可以在同一個(gè)ACL中先配置動(dòng)作是permit的編號(hào)較小的規(guī)則,用于允許希望被系統(tǒng)接收或發(fā)布的路由,然后再配置動(dòng)作是deny的編號(hào)較大的規(guī)則,用于過濾掉其他不希望被系統(tǒng)接收或發(fā)布的路由
總結(jié)
以上是生活随笔為你收集整理的路由技术 -- 路由策略(Routing Policy)与策略路由(PBR,Policy-based Routing)技术的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【TL学习笔记】1:领域自适应(Doma
- 下一篇: PCB板材组成详解