路由策略 路由策略:路由协议在传递路由的时候,支持多种多样的路由控制技术,灵活的使用这些路由控制技术可以对数据选路进行精确的控制。 路由控制:主要控制路由的属性,路由的传递进行选路的更改。其中实现进行路由的匹配,将所需要控制或修改的路由匹配,使用工具将其进行策略调度。 策略路由工具 策略路由工具可以直接定义路由的信息,修改路由的出接口。 (1)用来匹配路由条目的工具有: ① ACL ② ip-prefix (2)用来调用匹配路由条目的工具有: ① filter-policy:过滤策略 ② route-policy:路由策略 1. filter-policy 过滤策略,用于路由协议的路由通告过滤,filter-policy只能用于过滤路由,不能用于路由属性的修改,filter-policy隐式为丢弃所有。Filter-policy可以分方向调用,outbound在接口的出方向调用;inbound在入接口调用。 (1)路由矢量 Filter-policy: Filter-Plicy可以用于路由矢量的路由过滤,在路由进行传递路由和接收路由时进行路由的过滤行为。 R1禁止将loo1通告给R2,允许通告loo0和loo2: ① 配置路由匹配: [Huawei]ip ip-prefix 1 index 5 deny 1.1.1.2 32 less-equal 32---拒绝loo2 [Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32---放行所有(默认为拒绝所有) ② RIP下调用Filter-policy: [Huawei-rip-1]filter-policy ip-prefix 1 export GigabitEthernet 0/0/0---在接口下调用策略,并使用ip-prefic1匹配路由(如果所有的接口都使用过滤策略,可以不配置接口) (2)链路状态 Filter-policy: Filter-policy可以过滤路由,但是无法过滤LSA,所以Filter-policy只能修改本地路由,但是无法阻止LSA的传递。但是在abr处为距离矢量路由协议,默认只发送type3的lsa,所以可以采用filter-policy对区域间的路由进行过滤。 ① 区域内做Filter-policy: R2拒绝1.1.1.1/32路由: ① 配置路由匹配: [Huawei]ip ip-prefix 1 index 5 deny 1.1.1.1 32 [Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32 ② 本地过滤在OSPF下调用Filter-policy(area下无作用): [Huawei-ospf-1-area-0.0.0.0]filter ip-prefix 1 import 查看R2路由: 路由策略已经生效。 查看R3路由: Filter-policy只能过滤路由条目,无法过滤LSA。 ② 区域间做Filter-policy: R3上过滤AREA0的1.1.1.1/32路由条目,禁止泛洪到AREA1中: ① 配置流量匹配: [Huawei]ip ip-prefix 1 index 5 deny 1.1.1.1 32 [Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32 ② ABR不同区域过滤在区域下调用Filter-policy: [Huawei-ospf-1-area-0.0.0.0]filter ip-prefix 1 export-----在区域0中不允许acl2000中的路由条目去往其他区域 或:[Huawei-ospf-1-area-0.0.0.1]filter ip-prefix 1 inport---在区域1中不允许acl2000中的路由条目进入此区域 ③ 防止路由引入导致环路: 拓扑中OSPF和RIP相互引入,如果192.168.5.0/24的网段断掉,RIP没有及时发送路由信息给OSPF,OSPF会从R8将192.168.5.0/24的网段在传回来,造成网络环路。 使用filter-policy过滤OSPF传递给rip的192.168.5.0/24网段: [Huawei]ip ip-prefix 1 index 5 permit 192.168.5.0 24 [Huawei-ospf-1]filter-policy ip-prefix huawei export rip 2. Router-Policy two 路由策略,支持丰富的属性策略,可以用来修改路由的属性(cost、E1/E2)等。 (1)定义标准: ① Node: Router-Policy由一个或多个节点(Node)构成。Node之间是“或”的关系。每个Node都有一个编号,路由项按照Node编号由小到大的顺序通过各个Node,如果Node被匹配,则执行动作,如果没有匹配,继续匹配下一个Node,当所有的Node都没有被匹配到,匹配默认隐式路由丢弃。 ② If-math、apply: Ø 每个node为“或”的关系,自上而下匹配,每个Node下可以有若干个if-match和apply(特殊情况下可以完全没有if-match和apply子句). Ø if-match之间是“与”的关系。If-match子句用来定义匹配规则,即路由项通过Node所需要满足的条件,匹配兑现更新路由项的某些属性。 注1:as-path-filter、interface、community-filter、extcommunity-filter、route-type为“或”的关系,其余的If-math都为“与”的关系 注2:如果定义了ACL,但是ACL没有定义匹配目标,则默认使用隐式deny Any;如果没有定义ACL,则匹配所有 Ø 当满足If语句中的所有条件时,Apply子句用来规定处理动作,Apply中所有的动作都将执行。 ③ permit/deny: Router-policy的每个Node都有相应的permit模式或deny模式。 *permit模式:当路由项满足该node的所有if-match子句时,就被允许通过node的过滤并执行该Node的子句进行属性的apply属性修改。 *deny模式:当路由项满足该node的所有if-match子句时,就被拒绝通过该Node的过滤不执行apply的项目,直接输出。 (2)配置Router-Policy: OSPF引入rip修改cost值: ① 匹配路由: [Huawei]ip ip-prefix 1 deny 1.1.1.1 32 ② 定义规则: [Huawei]route-policy huawei deny node 5---定义节点5 [Huawei-route-policy]if-match ip-prefix 1 [Huawei]route-policy huawei permit node 10---------定义节点10放行其余流量(隐式拒绝其余流量) [Huawei-ospf-1]import-route rip route-policy 1----引入rip时调用router-policy 路由条目1.1.1.1/32的COST值被修改为100 OSPF引入RIP路由修改E1/E2: ① 匹配路由: [Huawei]ip ip-prefix 2 deny 1.1.1.1 32 ② 定义规则: [Huawei]route-policy Etype deny node 5---定义节点5 [Huawei-route-policy]if-match ip-prefix 2 [Huawei]route-policy Etype permit node 10---------定义节点10放行其余流量(隐式拒绝其余流量) [Huawei-ospf-1]import-route rip route-policy Etype----引入rip时调用router-policy 1.1.1.1的类型已被修改为类型1 3. policy-based route two 策略路由,可以直接定义路由的信息,修改路由的出接口。(路由策略也可指定下一跳) 注:策略路由只能使用ACL匹配数据流。 (1)PBR配置: ![]() 指定从E0/001接口收到的数据流量源ip为192.168.1.2走192.168.4.2: [Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 permit souce 192.168.1.3 0 [Huawei]policy-based-route huawei permit node 5 [Huawei-policy-based-route-huawei-5]if-match acl 2000 [Huawei-policy-based-route-huawei-5]apply ip-address next-hop 192.168.4.2 [Huawei]inter e0/0/0 [Huawei-Ethernet0/0/0]ip policy-based-route Huawei 注:如果修改本设备发起流量的PBR,在全局模式下使用命令[Huawei]ip local policy-based-route huawei ![]() 1 END 1 为了方便广大网络爱好学习者一起学(聚)习(众)交(搞)流(基),特开设华为干货交流群,里面已经上传大量学习资料,欢迎广大网络工程师进群学习! 点“在看”给我一朵小黄花 |
|