路由策略:在控制層面流量的進或出接口上抓取路由協議產生的控制層流量,然後對流量進行策略、修改,最終影響到路由表的生成,干涉選路。
控制層面:路由協議傳遞路由信息的方向
數據層面:設備間支持訪問時數據的流量方向,與控制層面相反
抓取路由的幾種方法:
1、ACL--訪問控制列表:標準作用在於數據層面流量的進或出接口匹配數據層面流量,進行訪問控制;擴展作用在控制層面幫助路由策略抓取網絡號,由於其結構並不用於匹配子網掩碼,故不能精確匹配網絡號。
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 2.2.2.0 0.0.0.0
2、ip-prefix 前綴列表:專用於抓取控制層面流量,默認隱含拒絕所有流量
[r1]ip ip-prefix huawei permit 2.2.2.0 24 列表名爲huawei
[r1]ip ip-prefix huawei permit 2.2.3.0 24
[r1]ip ip-prefix huawei index 15 deny 2.2.3.0 24 默認步調爲10,可以利用來進行插入
[r1]ip ip-prefix huawei permit 4.4.4.0 24 greater-equal 25 匹配掩碼爲25-32
[r1]ip ip-prefix huawei permit 5.5.5.0 24 less-equal 25 匹配掩碼爲24-25
[r1]ip ip-prefix huawei permit 6.6.6.0 24 greater-equal 25 le 30 掩碼長度爲25-30
[r1]ip ip-prefix huawei permit 0.0.0.0 0 less-equal 32 允許所有
[r1]ip ip-prefix huawei permit 172.16.4.0 22 greater-equal 24 le 24 此條目,匹配 172.16.4-7.0/24 4個網段
幾種策略方法:
1、filter-policy 過濾策略:先使用ACL或前綴列表匹配流量,然後在控制層面流量的入或出接口上限制路由條目的傳遞
[r2]ip ip-prefix qq deny 2.2.2.0 24
[r2]ip ip-prefix qq permit 0.0.0.0 0 less-equal 32
[r2]rip 1
[r2-rip-1]filter-policy ip-prefix qq ?
export Specify an export policy 出方向
import Specify an import policy 入方向
[r2-rip-1]filter-policy ip-prefix qq export GigabitEthernet 0/0/0
若使用ACL定義流量,正常華爲acl末尾允許所有,但在過濾策略中一定手工配置允許所有命令;
注:OSPF協議中正常無法在出方向調用,因爲OSPF使用的是拓撲更新,在同一區域內不可以限制拓撲的傳遞,因爲要保證數據庫目錄的一致;正常只能在入向調用,不影響數據庫的同步,僅僅是不將LSA計算所得的路由加載到路由表;若想出口調用,可以在ABR/ASBR上針對3/4/5/7類LSA進行。
2、route-policy 路由策略:先使用ACL或前綴列表抓取流量,然後用route-policy匹配每張表,並對匹配的表進行應用修改路由參數。
[r2]route-policy huawei deny node 10 創建名爲huawei的路由策略,大動作爲拒絕,序號爲10
[r2-route-policy]if-match acl 2000 匹配一張ACL
[r2-route-policy]q
[r2]route-policy huawei permit node 20 列表huawei序號20,大動作爲允許
[r2-route-policy]if-match acl 2001 匹配一張ACL
[r2-route-policy]apply cost-type type-1 定義小動作爲修改度量類型,爲類型1;
[r2-route-policy]q
[r2]route-policy huawei permit node 30
[r2-route-policy]if-match ip-prefix a 匹配前綴列表
[r2-route-policy]apply cost 7
[r2-route-policy]q
[r2]route-policy huawei permit node 40
[r2-route-policy]if-match ip-prefix b
[r2-route-policy]apply cost-type type-1
[r2-route-policy]apply cost 8
[r2-route-policy]q
[r2]route-policy huawei permit node 50 空表,允許所有;
[r2-route-policy]q
重發布時調用:
[r2-ospf-1]import-route rip 1 route-policy huawei
配置指南:
- 即便要拒絕一個流量,在抓取時也必須使用允許,之後在路由策略來拒絕;
- 之上而下逐一匹配,上條匹配按上條執行,不再查看下條,末尾隱含拒絕所有
- 在一條規則,若沒有進行流量匹配那就是匹配所有;若沒有應用那麼僅對匹配流量進行當大動作;因此大動作爲允許的空表代表允許所有;
總結或與關係:
條目基於站點號(序號)之上而下逐一匹配,上條匹配按上條執行,不查看下條—或關係
在每一個序號中,同時匹配所有流量,同時執行所有小東西---與關係