策略路由和路由策略和acl
一,什么是路策略:是指通过部署抓取工具,调用工具,策略工具,对路由条目进行网络流量的可达性和调整网络流量的路径的控制。
二,三个工具
1,抓取工具(acl,ip-ipdxe):使用该工具,将我们需要修改的路由条目抓取出来(抓出来不能就不管了,总该要把它用调用工具调用在ospf或者rip或者BGP里面去使用啊,或者写入某个策略里面啊)
2,调用工具(filter-poilcy,import-router):用于把抓取出来的流量进行策略部署,使其对路由条目产生需要的影响和修改。比如,是否加表,如何选路,属性修改(可以调用的对象acl,前缀,策略,千千万万要注意,不是调用在路由器视图下,而是具体的路由协议下。)
3,策略工具(router-poilcy):对于某些需要修改路由属性的路由条目,需要使用策略工具对其进行匹配在修改
三,ACL
1,ACL的过滤对象(可以过滤路由条目和路由数据报文)
!-----在三层接口上抓取数据报文时:使用traffic-filter 命令结合ACL,针对该接口收发的数据报文进行过滤,此时可以使用基本acl或高级acl。针对不同的参数,比如源ip,目的ip,协议,源目地端口进行过滤。此时acl是过滤数据报文的,会默认放行所有,放行是对于所有来的ip地址进行加表,单独策略的单独分析。
@-----在路由策略当中过滤路由条目时:acl作为路由抓取工具,可以对路由条目执行过滤,此时acl只能使用基本acl对路由进行匹配。此时acl是过滤路由条目的,会默认拒绝所有。拒绝是所有来的ip地址的加表,单独策略的单独分析。
2,什么是通配符,rule 5 deny sourec 192.168.1.0 0.0.0.0
!----子网掩码:1表示精确匹配,0表示随机匹配,1和0不能交叉,由连续的1和0组成。比如,子网掩码255.255.255.255(二进制1111111.1111111.111111.11111111) 就是表示精确匹配唯一的一个ip地址。子网掩码255.255.255.0(二进制1111111.1111111.111111.000000)就是表示匹配某个/24的网段的一类ip地址
@----反掩码:1表示随机匹配,0表示精确匹配,1和0不能交叉,由连续的1和0组成。
#-----通配符:一般通配符会用在ACL当中,1表示随机匹配,0表示精确匹配,1和0可以交叉。通配符里的0表示ip地址绝对的不变,1表示怎么变都行
1 举例:192.168.1.0 0.0.0.255。表示,192.168.1.是不可变化的,0 是可变的。具体来说是,192.168.1的二进制里的0和1是不会变化的,而0的二进制里的8个0是会随机变化为0和1的
2 举例:1.1.0.0 0.0.255.255。可以匹配的ip网段为,1.1.1.1/32 与1.1.1.0/24与1.1.0.0/16。
3 举例:1.1.0.0 0.0.255.0。可以匹配的ip网段1.1.0.0/16,1.1.,表示匹配1.1.1.0/16和/24的所有ip地址
4 举例:1.1.1.0 0.0.0.0。可以匹配的ip网段1.1.1.0/24,表示匹配1.1.1.0/24网段的所有ip地址。
5 192.168.1.0 0.0.0.0和192.168.1.0 0.0.0.255,表示的都是可以匹配/24的网段的,区别在于后者还可以过滤/32的主机ip。
3,acl在过滤路由时的缺陷 (通配符的缺陷)
!-----对于1.1.1.0/24和1.1.1.0/25,acl是无法区分其细节的,acl只能过滤路由前缀,不能过路由掩码
@-----因此如果发生以上情况,将会出现错误,其原因是,192.168.1.0/24和192.168.1.0/25可能对应着多个相同的目的IP
#----- 所以在路由过滤时,一般不使用 acl,都使用前缀列表。
四,前缀列表(只可过滤路由条目和不可过滤路由报文)
1,前缀列表的过滤对象:只能过滤路由条目,不能过滤流量报文。当在过滤路由条目时,既可以过滤路由前缀,还可以过滤路由掩码。
2,前缀列表的使用方法和解析
1 name:名字,自定义一个前缀列表的名字,代表唯一的一条前缀列表
2 index:索引号,类似于ACL的入了编号,默认步长为10(如,acl的默认步长为5),匹配顺序为从小到大依此匹配,并且唯一匹配
3 permit/deny:行为,允许或拒绝
4 路由前缀length前缀长度:通过这一部分对需要匹配的路由条目的前缀进行定义。列如,192.168.1.0 24表达定义的前缀固定为192.168.1。其中24的作用就是限制前缀范围的。
5 大于等于:定义需要匹配的掩码长度大于等于多少 GE=25
6 小于等于:定义需要匹配的掩码长度小于等于多少 LE=26
7 GE和LE规定了路由网段的掩码长度的区间范围。
8 其他规定
掩码长度length 小于等于GE小于等于LE.
当一个前缀列表定义了GE,没有定义LE,那么LE就默认等于32
当一个前缀列表定义了LE,没有定义GE,那么GE=length
ip ip-prefix thinkmo index 10 permit 192.168.1.0 24 //如果GE和LE都没有定义,那么代表匹配一条单一的路由条目,也就是length=GE=LE
ip ip-prefix thinkmo index 20 permit 192.168.0.0 16 g 24 l 26 //前缀:192.168 掩码:24~26; 192.168.1.0/24
ip ip-prefix thinkmo index 30 permit 192.168.0.0 24 g 24 l 26 //192.168.1.0/24不匹配
ip ip-prefix thinkmo index 40 permit 192.168.1.0 24 g 25 //192.168.1.0/24不匹配
ip ip-prefix thinkmo index 50 permit 192.168.1.0 24 l 32 //192.168.1.0/24匹配
ip ip-prefix thinkmo index 60 permit 0.0.0.0 0 //代表匹配了缺省路由
ip ip-prefix thinkmo index 70 permit 0.0.0.0 0 le 32 //匹配所有路由(一般用于兜底)
ip ip-prefix thinkmo index 70 permit 0.0.0.0 0 GE 32 //所有主机路由(LE=GE8则,mac地址为32)
五,基于rip协议的路由策略
1,rip概念:是基于路由矢量的动态路由协议,使用跳数来度量到达目的网络的距离的(cost的最大值为16,也就是最大跳数为16跳,每跳一个cost+1),rip主要应用在规模较小的网络中。
2,路由矢量协议:路由器运行rip后,路由器会发送更新请求,收到请求的路由器会发送自己的路由表的信息进行响应(路由矢量协议,收表,算表,传表)
3,rip的基本配置:
[ar1]rip 1 //创建rip的一个进程
[ar1-rip-1]version 2 //配置rip的版本
[ar1-rip-1]network 12.0.0.0 //在rip的进程下宣告一个直连的主类ip地址
4,ar1上路由策略的部署(入方向过滤)
[ar1] acl 2000//创建一个二层acl 2000
[ar1-acl-basic-2000] rule 5 deny source 192.168.1.0 0//在acl 2000写条rule 拒绝来自源 192.168.1.0 0信息的学习,由acl 2000决定哪种路由才能引入与否。
[ar1-acl-basic-2000]rule 100 deny source any //最后兜个底,允许所有路由信息的加表。(单独策略的单独分析)
[ar1-rip-1]filter-policy 2000 import //在ar1的rip进程下调用acl 2000(为什么不用 import-router命令来引入路由)
5,ar2上的路由策略的部署(入方向过滤)
[ar2-acl-basic-2000]rule 5 deny source 192.168.1.0 0
[ar2-acl-basic-2000]rule 100 permit
[ar2-rip-1]filter-policy 2000 import
由于rip是路由矢量的动态路由协议,是传递的路由表。所ar2的192.168.1.1的路由信息都没有加表。ar1的现象正常。
6,ar3上的路由策略的部署(出方向过滤)
[ar3]acl 2000
[ar3-acl-basic-2000]rule 5 deny source 192.168.1.0 0
[ar3-acl-basic-2000]rule 100 deny source any
[ar3-rip-1]filter-policy 2000 export //出方向上将其192.168.1.0 0给deny掉,当然不会影响我本地的路由表的路加表情况
7,import-router命令的展示(相对于rip引入的是路由表里的非rip协议的路由成为了rip属性的路由)
[ar3]ip route-static 13.1.1.0 24 NULL 0(本路由器的路由表有该静态路由的信息了)
[ar3]ip route-static 12.1.1.0 24 NULL 0(本路由器的路由表有该静态路由的信息了)
[ar3-rip-1]import-route static //引入静态路由到rip1里面,静态的性质转为rip,其他运行rip的路由器上路由表里的表现形式为rip,在本机为static,可不是因为我的static比rip优先级更怎么样而加表的
[ar3-acl-basic-2000]rule 5 deny source 192.168.1.0 0
[ar3-acl-basic-2000]rule 100 permit
[ar3-rip-1]filter-policy 2000 export static//针对引入的外部路由执行过滤,由ACL决定哪些外部路由可以引入,哪些外部路由不可以引入。
六,基于ospf协议的路由策略
1,针对ar1上来进行过滤
[ar3-LoopBack12]ospf network-type broadcast//不然传出的就是32位的主机路由
[ar1-acl-basic-2000]rule 5 deny source 192.168.1.0 0
[ar1-acl-basic-2000]rule 1000 permit
[ar1-ospf-1]filter-policy 2000 import
2,针对ar2上来进行过滤
[ar2-acl-basic-2000]rule 5 deny source 192.168.1.0 0
[ar2-acl-basic-2000]rule 1000 permit
[ar2-ospf-1]filter-policy 2000 import
因为ospf是靠传递lsa来进行路由信息学习加表的,将一类lsa放在自己的lsdb里,在将该lsa泛洪到其他的直连邻居上,最后在计算该lsa,是先发送lsa给别人后在计算lsa进行2加表的。
3,链路状态路由协议和路由矢量路由协议的完全体区别:
[ar1-ospf-1]filter-policy 2000 import :该命令在链路状态路由协议中的作用是,在使用SPF算法计算出最优路由(ospf的路由表)之后,根据display ospf routing表项和所调用的acl结合来加载我的全局路由表时使用ACL2000来进行过滤,由ACL决定哪些路由可以加我全局路由表,哪些路由不可以加我全局路由表。
[ar1-rip-1]filter-policy 2000 import :该命令在链路状态路由协议中的作用是,在R1接收路由时使用ACL2000进行过滤,由ACL决定哪些路由可以接收,哪些路由不可以接收。
而[ar1-ospf-1]filter-policy 2000 export :在osfp这种链路状态路由协议里是无效命令,因为是发的lsa,而不是路由条目,所以该命令无效
4,import-router命令的展示(相对于rip引入的是路由表里的非rip协议的路由成为了rip属性的路由)
[ar3]ip route-static 13.1.1.0 24 NULL 0(本路由器的路由表有该静态路由的信息了)
[ar3]ip route-static 12.1.1.0 24 NULL 0(本路由器的路由表有该静态路由的信息了)
[ar3-ospf-1]import-route static //引入静态路由到ospf里面,静态的性质转为ospf,在其他运行ospf的路由器上路由表里的表现形式为ospf,在本机为static,本设备此时的缺省路由不会在本路由器里面加表
[ar3-acl-basic-2000]rule 5 deny source 192.168.1.0 0
[ar3-acl-basic-2000]rule 100 permit
[ar3-ospf-1]filter-policy 2000 export static//针对引入的外部路由执行过滤,由ACL决定哪些外部路由可以引入,哪些外部路由不可以引入。
七,router-poilcy
1,router-poilcy策略工具的作用:
!----匹配路由:直接依靠抓取工具进行匹配(ACL,前缀列表);使用路由条目中包含的路由属性进行匹配(cost type pre tag 等等)
@----修改或使用路由属性:对匹配到的路由条目,进行路由属性的修改,可以修改cost,type,tag,pre等等。
#----配合其他的调用工具进行使用:
1 配合filter-policy可以对路由进行过滤
2 配合import-router 可以在引入外部路由时进行对该外部路由过滤或属性修改的操作
3 配合preference可以修改指定路由条目的优先级:由route-policy 里的if-macth里的前缀列表或者acl来决定所匹配的路由进行的专一修改,剩下没有匹配上前缀列表或者acl的默认优先级都为150,但是也可以配置其他的优先级。
%----创建一个router--poilcy的方法
1 固定格式:router-poilcy
2 name:自定义这个名字,用于被其他工具调用使用的(在同一个router-poilcy下,name为一样的,只用node 10来进行区分)
3 permit/deny:节点的行为,针对这个节点里的信息是permit还是deny。
4 node 10:节点号(0--65535),类似于ACL的rule和前缀列表的indix,从小到大依次唯一匹配,存在默认拒绝所有。
5 当配置了router-poilcy的node节点,在节点内部要继续继续配置
A if--match 是用于匹配条件
1 可以用路由条目或路由属性来进行匹配:使用ACL或者前缀列表来抓取路由条目,或者直接匹配路由的属性来进行抓取,如cost,type,tag等。
2 如果一个node节点中有多个if-macth:那么他们之间是逻辑与关系,也就是说需要同时匹配,才会触发所有的if--macth执行动作。如果一个Node节点中没有配置if-match,那么就会认为是匹配所有(any)。比如,在节点里面配if-match的匹配条件acl 2000和cost 1000,只有外部来的路由条目同时符合其(if-mactch)的条件才可以被进行对应的操作
route-policy iaa permit node 10
if-match cost 891
if-match acl 2000同时满足才是匹配)
3 [Huawei-route-policy]if-match ?
acl Specify an ACL
as-path-filter BGP AS path list
community-filter Match BGP community filter
cost Match metric of route
extcommunity-filter Match BGP/VPN extended community filter
interface Specify the interface matching the first hop of routes
ip IP information
ip-prefix Specify an address prefix-list
ipv6 IPv6 Information
mpls-label Give the Label
rd-filter Route-distinguisher filter
route-type Match route-type of route
tag Match tag of route
B apply
1 用来指定某些对某些路由的处理动作,比如在收发是修改某些的路由属性。
2 如果一个node节点中有多个appply,那么他们是逻辑关系的,同时对生效。
3 如果一个node节点中没有一个appply,那么就什么都不修改,当作不存在。
4 [Huawei-route-policy]apply ?
as-path BGP AS path list
backup-interface Backup outgoing interface
backup-nexthop Backup nexthop address
behavior Specify QoS policy as behavior
comm-filter Set BGP community filter (for deletion)
community BGP community attribute
cost Set metric of route
cost-type Type of metric for destination routing protocol
dampening Set BGP route flap dampening parameters
extcommunity Set BGP/VPN extended community filter
ip-address IP information
ip-precedence Specify QoS policy as IP precedence
ipv6 IPv6 Information
isis Where to import route
local-preference BGP local preference path attribute
mpls-label Give the Label
origin BGP origin code
ospf Where to import route
preference Give the Preference (Route Preference)
preferred-value BGP Preferred-value (weight) for routing table
qos-local-id Specify QoS policy as qos local id
tag Set tag of route
traffic-index Specify BGP Traffic Accounting Index
八,默认拒绝所有情况的汇总
!-----acl抓取路由时:默认拒绝所有里的所有其他路由器传过来的路由信息,等价于在acl里写了条rule是deny每一条别人发来的路由信息。如果acl里有permit的需求,可以默认忽略该默认拒绝所有的默认操作。一般为了保险起见要配置一条兜底的rule 100 permit souer any,所有的路由都可以被引入。
@----if-macth匹配时:只有在if-macth没有配置匹配上什么时,会触发默认匹配所有的行为,该所有是其他路由器传过来的路由信息。若配置的话,按照配置上的来进行。
#-----route-policy huawei permit node 10匹配时:默认拒绝所有里的所有也是其他路由器传过来的路由信息, 没有被自己的node所匹配上的其他路由信息,都会被等价成node 节点里有一个if -macth是拒绝没有被匹配上的路由的。
九,对于路由控制的一些总结:
1,filter-policy:
!----用来在OSPF计算完毕的路由去加载全局路由表的过程中进行过滤,
@----此时注意:OSPF的路由已经计算完毕,因此只能控制是否加载全局路由表,无法修改路由属性。
#----由后面调用的ACL\前缀列表\route-policy 决定是加表或者拒绝加表
1 ACL:由permit/deny决定
2 前缀列表:由permit/deny决定
3 route-policy:由node节点的permit/deny决定。
(if-match调用的acl\前缀列表中的permit/deny只对if-match起到作用,即是否被匹配)
2、import-route:
!-----用来将外部路由引入OSPF时,对外部路由引入时进行过滤,同时进行属性修改。
@----调用的route-policy来决定哪些路由可以加表,哪些路由不能加表。(其route-policy和)
十,策略路由(PBR Policy-Based-Routing)
1、路由策略:
首先要了解什么是路由策略:首先需要再路由器上运行路由协议,然后在路由协议进程中通过某些工具,对路由进行策略修改,
比如通过filter-policy import-route preference这些工具对路由进行个性化的修改,以达到构建自定义路由表的目的。
重点:路由策略就是通过路由协议对路由表进行个性化的改动。最终报文依然会通过路由表进行转发。
2、策略路由:
策略路由是通过定义策略,然后让流量报文按照策略指定数据转发。这其中只有策略存在,没有任何路由协议参与。即流量报文的转发
不经过路由表。策略路由控制路由信息转发的优先级大于路由表的优先级。
3,基于接口的策略路由(对穿越路由器的流量进行策略路由的限制)
!------配置PBR时,需要使用MQC方式:
实验步骤:
1 在ar1上定义一个ACL用于抓取对应的流量:
acl number 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 8.8.8.8 0(抓取对应的流量)
2 定义一个流分类(ACL,去匹配流量,也就是说:哪些流量需要做策略路由,就抓哪些。)
traffic classifier 10.0 operator or //给该流分类定义一个名字为10.0
if-match acl 3000 //在流分类里实用if-macth来匹配acl 3000
其中operator or是默认就添加的,or代表或的关于,也就是说当有多个if-match时会采用逻辑或,也就是随便匹配一个就可以。
如果手动配置为and,那么就是逻辑与关系,代表所有的if-match必须全部匹配。
3 定义一个流行为(指定下一跳从哪个接口出去.)
traffic behavior AR3 // 对流行为命名ar3
redirect ip-nexthop 14.1.1.2// 将流量定向的发送到(下一跳是定向的)直连的某个ip地址的接口上
4 定义一个流策略(将流分类和流行为匹配起来,同时调用到流量入上接口)
traffic policy PBR //给其命名为PBR
classifier 10.0 behavior AR3 //联动流分类和流行为将其一起放在流策略上
interface GigabitEthernet0/0/0 //进入流量入接口(不可在出接口上配置,因为出接口多了,不可能都配置一边吧。)
traffic-policy PBR inbound //进入该接口的流量会使用PBR进行过滤,匹配上的流量将执行流行为,未匹配的流量将正常通过,也就是路由表来进行转发。
5 实验现象:Huawei]tracert 8.8.8.8
1 192.168.10.254 30 ms 50 ms 40 ms
2 14.1.1.2 50 ms 30 ms 50 ms
3 15.1.1.2 60 ms 50 ms 60 ms
6,查看路由表:策略路由控制路由信息转发的优先级大于路由表的优先级,所以并不会受路由表的影响,路由信息的发送还是优先受PBR的控制。
4,本地策略路由(指从本设备始发的流量基于策略的路由转发)
在ar1上配置(流量始发地)
[AR1-LoopBack12]ip address 1.1.1.1
policy-based-route PBR-2 permit node 10 //配置一个PBR(策略路由)命名为PBR-2,在到里面创建一个节点10(和router-poilcy的命令格式一样的)
if-match acl 2000 //匹配
apply ip-address next-hop 13.1.1.3 //修改本地始发流量的下一跳ip地址
acl number 2000 //创建一个基本acl
rule 5 permit source 1.1.1.1 0 //专门匹配1.1.1.1的路由
[AR1]ip local policy-based-route PBR-2 //在本地调用策略路由PBR
实验现象:[AR1]tracert 8.8.8.8
1 192.168.10.254 30 ms 50 ms 40 ms
2 14.1.1.2 50 ms 30 ms 50 ms
3 15.1.1.2 60 ms 50 ms 60 ms
5,track NQA联动和配置:(只能基于流行为下调用)
!-----如果PBR的下一跳设备故障了,那么PBR是比较傻的,不会自己改变或者失效,因此会产生黑洞现象。一般对于这种情况会采用track nqa的方式做联动
@----使用NQA做链路联动:当NQA探测对端接口而探测失败时,与其联动的流行为将失效。当一组PBR中的流行为失效后,那么该PBR就失效了,流量即使被流分类匹配到,将没有任何动作,将按照路由表进行转发。
#------配置
nqa test-instance admin icmp //nqa的测试实例,管理名,实例名
test-type icmp //检测模式设置为icmp,就是以ping的方式去探测
destination-address ipv4 13.1.1.3 //规定一个目的ip,我去探测谁,13.1.1.3
frequency 5 //频率为5s一次
source-interface GigabitEthernet0/0/2 //规定一个源ip,用谁去探测,接口g0/0/2
start now //开启检测功能
traffic behavior AR3
redirect ip-nexthop 13.1.1.3 (重点)track nqa admin icmp //将配置的NQA联动到刘行为当中,当nqa失效了,前面的流行为就失效了。
[AR1]display nqa results test-instance admin icmp //检查该nqa实例的检测结果 一般以success 或 failed 为主
十一:控制访问列表(acl)
1.acl的分类
2,创建acl的方式:
- 创建基本ACL,可使用编号或者名称两种方式创建
- 创建高级ACL。可使用编号或者名称两种方式创建。
3,acl的相关命令
!基本acl的相关命令
[Huawei-acl-basic-2000]rule 4 deny ?
fragment-type Specify the fragment type of packet
source Specify source address
time-range Specify a special time
vpn-instance Specify a VPN-Instance
<cr>
-
在ACL 2001中配置规则,仅允许源IP地址是192.168.1.3主机地址的报文通过,拒绝源IP地址是192.168.1.0/24网段其他地址的报文通过,并配置ACL描述信息为Permit only 192.168.1.3 through。
<Huawei> system-view [Huawei] acl 2001 [Huawei-acl-basic-2001] rule permit source 192.168.1.3 0 [Huawei-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2001] description Permit only 192.168.1.3 through -
创建时间段working-time(周一到周五每天8:00到18:00),并在名称为work-acl的ACL中配置规则,在working-time限定的时间范围内,拒绝源IP地址是192.168.1.0/24网段地址的报文通过。
<Huawei> system-view [Huawei] time-range working-time 8:00 to 18:00 working-day [Huawei] acl name work-acl basic [Huawei-acl-basic-work-acl] rule deny source 192.168.1.0 0.0.0.255 time-range working-time
@----高级acl的相关命令
[Huawei-acl-adv-3000]rule 5 deny ?
<1-255> Protocol number
gre GRE tunneling(47)
icmp Internet Control Message Protocol(1)
igmp Internet Group Management Protocol(2)
ip Any IP protocol
ipinip IP in IP tunneling(4)
ospf OSPF routing protocol(89)
tcp Transmission Control Protocol (6)
udp User Datagram Protocol (17)
-
配置基于TCP协议类型、TCP目的端口号、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则
在名称为deny-telnet的高级ACL中配置规则,拒绝IP地址是192.168.1.3的主机与192.168.2.0/24网段的主机建立Telnet连接。<Huawei> system-view [Huawei] acl name deny-telnet [Huawei-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255在名称为no-web的高级ACL中配置规则,禁止192.168.1.3和192.168.1.4两台主机访问Web网页(HTTP协议用于网页浏览,对应TCP端口号是80),并配置ACL描述信息为Web access restrictions。<Huawei> system-view [Huawei] acl name no-web [Huawei-acl-adv-no-web] description Web access restrictions [Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.3 0 [Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.4 0
3,相关注意事项:
!----在一个接口下,同方向上只能调用一个acl,不可调用多个acl
