1 路由選擇工具--ACL
ACL訪問控制列表:ACL是由permit或deny語句組成的一些列有順序規則的集合。
ip-prefix前綴列表:將路由條目與前綴過濾列表進行匹配,讓後根據定義的匹配模式進行過濾,達成路由篩選的目的;ip-prefix不能用來過濾數據包,只能過濾路由信息;
as-path-filter AS路徑過濾器:BGP中針對自治系統路徑指定匹配條件,僅應用於BGP協議;
community-filter團體屬性過濾:BGP中可以攜帶一個或多個團體屬性,針對團體屬性進行過濾或指定匹配條件
(1)ACL的規則管理
每個ACL作爲一個規則組,可以包含多個規則。規則通過規則ID(rule-id)來標識,規則ID 可以由用戶進行配置,也可以由系統自動根據步長生成。一個ACL中所有規則均按照規則ID從小到大排序。
規則ID 之間會留下一定的間隔。如果不指定規則ID 時,具體間隔大小由“ACL 的步長”來設定。用戶可以根據規則ID 方便地把新規則插入到規則組的某一位置。ACL的規則管理,報文到達設備時,查找引擎從報文中取出信息組成查找鍵值,鍵值與ACL中的規則進行匹配,只要有一條規則和報文匹配,就停止查找,稱爲命中規則。
查找完所有規則,如果沒有符合條件的規則,稱爲未命中規則。
華爲ACL缺省隱含最後一條規則爲permit。
(2)ACL分類
ACL根據命名方式分爲:數字型ACL和命名型ACL
安裝功能分類:
基於接口的ACL(編號範圍1000-1999),根據報文的入接口定義規則,實現對報文的匹配過濾。通過命令traffic-filter調用ACL。
基本ACL(編號範圍2000-2999),根據報文的源IP地址、VPN實例、分片標記和時間段來定義規則
高級ACL(編號範圍3000-3999),根據報文的源IP地址、目的IP地址、IP優先級、ToS、DSCP、IP協議類型、ICMP協議類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規則。
二層ACL(編號範圍4000-4999),根據報文的以太幀頭信息來定義規則,如MAC地址、以太幀協議類型等。
(3)ACL匹配順序
匹配順序(config):按照ACL規則的編號按照從小到大的順序進行匹配。
自動排序(auto):使用“深度優先”的原則進行匹配,常用ACL的匹配順序如下:
(4)ACL其他特性
ACL對分片報文的支持:
傳統的包過濾並不處理所有IP 報文分片,而是隻對第一個(首片)分片報文進行匹配處理,後續分片一律放行。這樣,網絡攻擊者可能構造後續的分片報文進行流量攻擊,帶來安全隱患。
在ACL規則中,通過參數fragment來標識該ACL規則對所有分片報文有效,而對非分片報文則忽略此規則;通過參數none-first-fragment來標識該規則僅對非首片分片報文有效,而對非分片報文和首片分片報文則忽略此規則。不包含參數fragment或none-first-fragment的配置規則項對所有報文(包括分片報文)均有效。
ACL生效時間段:
可以使ACL規則需要在某個或某些特定時間內生效,而在其他時間段則不生效。
2 路由選擇工具—ip-prefix
(1)用於過濾IP前綴,能同時匹配前綴號和掩碼長度;
(2)不能用於數據包過濾;
(3)缺省情況下,存在最後一條默認匹配模式爲deny;
(4)當引用的前綴過濾列表不存在時,默認匹配模式爲permit;
每個地址前綴列表可以包含多個IP-Prefix條目,每個IP-Prefix條目對應一個索引號(index)。路由將按照索引號從小到大依次檢查IP-Prefix列表,任意一個IP-Prefix匹配成功,將不再檢查其餘項。若所有IP-Prefix都匹配失敗,路由信息將被過濾。
根據匹配的前綴不同,前綴過濾列表可以進行精確匹配,也可以進行在一定掩碼長度範圍內匹配。可以通過配置關鍵字greater-equal和less-equal指定待匹配的前綴掩碼長度範圍。如果沒有配置關鍵字greater-equal或less-equal,前綴過濾列表進行精確匹配,即只匹配掩碼長度爲前綴過濾列表掩碼長度的相同IP地址路由;如果只配置了關鍵字greater-equal,則待匹配的掩碼長度範圍爲從greater-equal指定值到32 位長度;如果只匹配了關鍵字less-equal,則待匹配的掩碼長度範圍爲從指定的掩碼到關鍵字less-equal指定值。greater-equal-value 與 less-equal-value 的取值限制: mask-length <= greater-equal-value <= less-equal-value <=32。
當所有前綴過濾列表均未匹配時,缺省情況下,存在最後一條默認匹配模式爲deny。
當引用的前綴過濾列表不存在時,默認匹配模式爲permit。
舉例:
ip ip-prefix filter1 index 10 permit 1.1.1.0 24 //精確匹配,只有1.1.1.0/24才能permit
ip ip-prefix filter1 index 10 permit 1.1.1.0 24 less-equal 32 //掩碼範圍24-32之間的網絡1.1.1.0才能permit
ip ip-prefix filter1 index 10 permit 1.1.1.0 24 greater-equal 26 //掩碼範圍26-32之間的網絡1.1.1.0才能permit
ip ip-prefix filter1 index 10 permit 0.0.0.0 0 greater-equal 8 less-equal 32 //所有掩碼長度在8到32的路由都被permit
3 路由選擇工具—as-path-filter
(1)以BGP中的AS_Path屬性爲匹配條件
(2)使用正則表達式進行定義
舉例:
ip as-path-filter 10 permit .* //匹配所有AS-PATH屬性
ip as-path-filter 10 permit _100$ //匹配從AS100發起的路由
ip as-path-filter 10 permit ^100_ //匹配從AS100接收的路由
ip as-path-filter 10 permit _100|200$ //匹配從AS100或200發起的路由
AS路徑過濾器是將BGP中的AS_Path屬性作爲匹配條件,只有BGP在收發路由的時候才能使用。由於AS_Path屬性記錄AS號是將最後經歷的AS號放在AS_Path記錄中的最左側,所以在配置as-path-filter時需要格外注意。
如果一條路由起源於AS100,然後依次經過AS300, AS200,AS500,最後到達AS600。那麼在AS600裏,路由的AS-PATH屬性表示爲(500 200 300 100)。
4 路由選擇工具—community-filter
以BGP中的community屬性爲匹配條件,示例:
ip community-filter 1 permit 100:1 //匹配community屬性爲100:1
ip community-filter 1 permit no-export //匹配community屬性爲no-export
團體屬性包括基本basic團體屬性和extended團體屬性,自定義團體屬性和公認團體屬性均屬於basic團體屬性,MPLS VPN中的RT和SOO均屬於extended團體屬性。
5 路由策略
路由策略:
(1)主要用於路由過濾和路由屬性設置等,從而影響流量所經過的路徑
(2)主要通過route-policy
路由策略常用於如下場景:
(1)控制路由的引入:
• 在對路由做相互引入時,爲了防止次優路徑或者環路,可以使用路由策略加以解決。
(2)控制路由的接收和發佈:
• 根據網絡需求,接收或者發佈特定的路由。
(3)設置特定路由的屬性:
• 可以通過路由策略修改路由的屬性,以對網絡進行優化、調整
路由策略原理
一個Route-Policy由多個節點構成,路由進入路由策略後,按節點序號從小到大依次檢查各個節點是否匹配。一個節點包括多個if-match和apply子句。if-match子句用來定義該節點的匹配條件,apply子句用來定義通過過濾的路由行爲。if-match子句的過濾規則關係是“與”,即該節點的所有if-match子句都必須匹配。Route-Policy節點間的過濾關係是“或”,即只要通過了一個節點的過濾,就可通過該Route-Policy。如果沒有通過任何一個節點的過濾,路由信息將無法通過該Route-Policy。
對於同一個Route-Policy節點,在匹配的過程中,各個if-match子句間是“與”的關係,即路由信息必須同時滿足所有匹配條件,纔可以執行apply子句的動作。但命令if-match route-type和if-match interface除外,這兩個命令的各自if-match子句間是“或”的關係,與其它命令的if-match子句間仍是“與”的關係。
fIlter-policy:
(1)出方向過濾:只過濾路由信息,不能過濾鏈路狀態信息,在OSPF中的ASR/ASBR上,可以過濾LSA3、LSA5和LSA7;
(2)入方向過濾:對於鏈路狀態路由協議,僅僅是不把路由加入到路由表中;對於OSPF和IS-IS,代表該路由的LSA仍然會在OSPF域或者IS-IS域內傳遞;
(3)過濾從其他協議引入的路由:只在出方向上過濾;