必備的路由策略技術

 路由策略：在控制層面流量的進或出接口上抓取路由協議產生的控制層流量，然後對流量進行策略、修改，最終影響到路由表的生成，干涉選路。

控制層面：路由協議傳遞路由信息的方向

數據層面：設備間支持訪問時數據的流量方向，與控制層面相反

 

抓取路由的幾種方法：

1、ACL--訪問控制列表：標準作用在於數據層面流量的進或出接口匹配數據層面流量，進行訪問控制；擴展作用在控制層面幫助路由策略抓取網絡號，由於其結構並不用於匹配子網掩碼，故不能精確匹配網絡號。

[r1]acl 2000

[r1-acl-basic-2000]rule permit source 2.2.2.0 0.0.0.0

2、ip-prefix 前綴列表：專用於抓取控制層面流量，默認隱含拒絕所有流量

[r1]ip ip-prefix huawei permit 2.2.2.0 24     列表名爲huawei

[r1]ip ip-prefix huawei permit 2.2.3.0 24

[r1]ip ip-prefix huawei index 15 deny 2.2.3.0 24   默認步調爲10，可以利用來進行插入

[r1]ip  ip-prefix huawei permit 4.4.4.0 24 greater-equal 25   匹配掩碼爲25-32

[r1]ip ip-prefix  huawei permit 5.5.5.0 24 less-equal 25   匹配掩碼爲24-25

[r1]ip ip-prefix huawei permit 6.6.6.0 24 greater-equal 25 le 30  掩碼長度爲25-30

[r1]ip ip-prefix huawei permit 0.0.0.0 0 less-equal 32   允許所有

[r1]ip ip-prefix huawei permit 172.16.4.0 22 greater-equal 24 le 24  此條目，匹配 172.16.4-7.0/24    4個網段

 

幾種策略方法：

1、filter-policy 過濾策略：先使用ACL或前綴列表匹配流量，然後在控制層面流量的入或出接口上限制路由條目的傳遞

[r2]ip ip-prefix qq deny 2.2.2.0 24

[r2]ip ip-prefix qq permit 0.0.0.0 0 less-equal 32

[r2]rip  1

[r2-rip-1]filter-policy ip-prefix qq ?

  export   Specify an export policy  出方向

  import   Specify an import policy  入方向

[r2-rip-1]filter-policy ip-prefix qq export GigabitEthernet 0/0/0

若使用ACL定義流量，正常華爲acl末尾允許所有，但在過濾策略中一定手工配置允許所有命令；

注：OSPF協議中正常無法在出方向調用，因爲OSPF使用的是拓撲更新，在同一區域內不可以限制拓撲的傳遞，因爲要保證數據庫目錄的一致；正常只能在入向調用，不影響數據庫的同步，僅僅是不將LSA計算所得的路由加載到路由表；若想出口調用，可以在ABR/ASBR上針對3/4/5/7類LSA進行。

2、route-policy 路由策略：先使用ACL或前綴列表抓取流量，然後用route-policy匹配每張表，並對匹配的表進行應用修改路由參數。

[r2]route-policy huawei deny node 10  創建名爲huawei的路由策略，大動作爲拒絕，序號爲10

[r2-route-policy]if-match acl 2000        匹配一張ACL

[r2-route-policy]q

[r2]route-policy huawei permit node 20     列表huawei序號20，大動作爲允許

[r2-route-policy]if-match acl 2001         匹配一張ACL

[r2-route-policy]apply cost-type type-1    定義小動作爲修改度量類型，爲類型1；

[r2-route-policy]q

[r2]route-policy huawei permit node 30

[r2-route-policy]if-match ip-prefix a   匹配前綴列表

[r2-route-policy]apply cost 7

[r2-route-policy]q

[r2]route-policy huawei permit node 40

[r2-route-policy]if-match ip-prefix b

[r2-route-policy]apply cost-type type-1

[r2-route-policy]apply cost 8

[r2-route-policy]q

[r2]route-policy huawei permit  node 50   空表，允許所有；

[r2-route-policy]q

重發布時調用：

 [r2-ospf-1]import-route rip 1 route-policy huawei

 

配置指南：

1. 即便要拒絕一個流量，在抓取時也必須使用允許，之後在路由策略來拒絕；
2. 之上而下逐一匹配，上條匹配按上條執行，不再查看下條，末尾隱含拒絕所有
3. 在一條規則，若沒有進行流量匹配那就是匹配所有；若沒有應用那麼僅對匹配流量進行當大動作；因此大動作爲允許的空表代表允許所有；

總結或與關係：

條目基於站點號（序號）之上而下逐一匹配，上條匹配按上條執行，不查看下條—或關係

在每一個序號中，同時匹配所有流量，同時執行所有小東西---與關係