必备的路由策略技术

 路由策略：在控制层面流量的进或出接口上抓取路由协议产生的控制层流量，然后对流量进行策略、修改，最终影响到路由表的生成，干涉选路。

控制层面：路由协议传递路由信息的方向

数据层面：设备间支持访问时数据的流量方向，与控制层面相反

 

抓取路由的几种方法：

1、ACL--访问控制列表：标准作用在于数据层面流量的进或出接口匹配数据层面流量，进行访问控制；扩展作用在控制层面帮助路由策略抓取网络号，由于其结构并不用于匹配子网掩码，故不能精确匹配网络号。

[r1]acl 2000

[r1-acl-basic-2000]rule permit source 2.2.2.0 0.0.0.0

2、ip-prefix 前缀列表：专用于抓取控制层面流量，默认隐含拒绝所有流量

[r1]ip ip-prefix huawei permit 2.2.2.0 24     列表名为huawei

[r1]ip ip-prefix huawei permit 2.2.3.0 24

[r1]ip ip-prefix huawei index 15 deny 2.2.3.0 24   默认步调为10，可以利用来进行插入

[r1]ip  ip-prefix huawei permit 4.4.4.0 24 greater-equal 25   匹配掩码为25-32

[r1]ip ip-prefix  huawei permit 5.5.5.0 24 less-equal 25   匹配掩码为24-25

[r1]ip ip-prefix huawei permit 6.6.6.0 24 greater-equal 25 le 30  掩码长度为25-30

[r1]ip ip-prefix huawei permit 0.0.0.0 0 less-equal 32   允许所有

[r1]ip ip-prefix huawei permit 172.16.4.0 22 greater-equal 24 le 24  此条目，匹配 172.16.4-7.0/24    4个网段

 

几种策略方法：

1、filter-policy 过滤策略：先使用ACL或前缀列表匹配流量，然后在控制层面流量的入或出接口上限制路由条目的传递

[r2]ip ip-prefix qq deny 2.2.2.0 24

[r2]ip ip-prefix qq permit 0.0.0.0 0 less-equal 32

[r2]rip  1

[r2-rip-1]filter-policy ip-prefix qq ?

  export   Specify an export policy  出方向

  import   Specify an import policy  入方向

[r2-rip-1]filter-policy ip-prefix qq export GigabitEthernet 0/0/0

若使用ACL定义流量，正常华为acl末尾允许所有，但在过滤策略中一定手工配置允许所有命令；

注：OSPF协议中正常无法在出方向调用，因为OSPF使用的是拓扑更新，在同一区域内不可以限制拓扑的传递，因为要保证数据库目录的一致；正常只能在入向调用，不影响数据库的同步，仅仅是不将LSA计算所得的路由加载到路由表；若想出口调用，可以在ABR/ASBR上针对3/4/5/7类LSA进行。

2、route-policy 路由策略：先使用ACL或前缀列表抓取流量，然后用route-policy匹配每张表，并对匹配的表进行应用修改路由参数。

[r2]route-policy huawei deny node 10  创建名为huawei的路由策略，大动作为拒绝，序号为10

[r2-route-policy]if-match acl 2000        匹配一张ACL

[r2-route-policy]q

[r2]route-policy huawei permit node 20     列表huawei序号20，大动作为允许

[r2-route-policy]if-match acl 2001         匹配一张ACL

[r2-route-policy]apply cost-type type-1    定义小动作为修改度量类型，为类型1；

[r2-route-policy]q

[r2]route-policy huawei permit node 30

[r2-route-policy]if-match ip-prefix a   匹配前缀列表

[r2-route-policy]apply cost 7

[r2-route-policy]q

[r2]route-policy huawei permit node 40

[r2-route-policy]if-match ip-prefix b

[r2-route-policy]apply cost-type type-1

[r2-route-policy]apply cost 8

[r2-route-policy]q

[r2]route-policy huawei permit  node 50   空表，允许所有；

[r2-route-policy]q

重发布时调用：

 [r2-ospf-1]import-route rip 1 route-policy huawei

 

配置指南：

1. 即便要拒绝一个流量，在抓取时也必须使用允许，之后在路由策略来拒绝；
2. 之上而下逐一匹配，上条匹配按上条执行，不再查看下条，末尾隐含拒绝所有
3. 在一条规则，若没有进行流量匹配那就是匹配所有；若没有应用那么仅对匹配流量进行当大动作；因此大动作为允许的空表代表允许所有；

总结或与关系：

条目基于站点号（序号）之上而下逐一匹配，上条匹配按上条执行，不查看下条—或关系

在每一个序号中，同时匹配所有流量，同时执行所有小东西---与关系