流量行为控制需求
(1 不同部门的访问
(2 网络优化是对空闲链路的流量路径的需求
控制流量的可达性(filter-policy和route-policy;traffic-filter)
(1 方案一,修改路由条目,对接收和发布的路由进行过滤,叫做路由策略,
filter-policy是一种常见的路由过滤工具,无法过滤lsa,不能修改路由属性,链路状态,不影响lsdb的完整性,但是过滤路由表,使用SPF算法,在计算过程中过滤;距离矢量,过滤路由的发送和接收;
route-policy,一种强大而又复杂的过滤器,用于路由过滤和修改路由属性,Route-Policy由若干个node构成,node之间是"或"的关系 // 依次匹配(只匹配一个),每个node下可以有若干个if-match和apply 子句 //没有表示所有
if-match之间是"与"的关系 // 都要匹配
A:可使用filter-policy工具对R4向ospf引入的路由
和R1写入路由表的路由进行过滤
(a,使用ACL或者IP-prefix list 工具来匹配目标流量
(b,在协议视图,利用filter-policy向目标流量发布策略
B:可利用route-policy工具,R4引入直连过滤
route-policy RP deny node 10 //路由策略名称为RP,节点10if-match IP-prefix pref1 //子语句为if-match 应用前缀列表pref1route-policy RP deny node 20if-match IP-prefix pref2ip ip-prefix perf1 index 10 permit 1.1.1.1 32ip ip-prefix perf2 index 20 permit 2.2.2.2 32
(a,使用ACL或者IP-prefix list 工具来匹配目标流量
(b,在协议视图,利用route-policy 对引入的路由进行控制
route-policy介绍,可以添加子句 1.if-match 2.apply语句;由若干个node组成,node之间是或的关系(执行了一个node,其他的不予执行)if-match之间是与的关系
filter-policy前缀列表
A路由表
B路由表
可以看到路由10.1.2.0 的路由条目已经不见了,因为已经过滤了这条路由,可以看出路由策略是在控制层面的,影响路由表,会更改路由表的路由条目
ospf 1 router-id 1.1.1.1 filter-policy ip-prefix ab export direct //在协议视图下引用前缀列表在直连 import-route direct //引入直连路由 area 0.0.0.0 network 12.1.1.0 0.0.0.255#ip ip-prefix ab index 10 permit 10.1.1.0 24 //配置相应前缀列表ip ip-prefix ab index 20 permit 10.1.3.0 24#
filter-policy ACL过滤测试
C路由表
可以看到10.1.1.0 的路由条目已经没有了,已经在协议下过滤了,可以看出路由策略是在控制层面的,影响路由表,会更改路由表的路由条目
R3acl number 2000 rule 5 deny source 10.1.1.0 0.0.0.255 rule 10 permit#ospf 1 router-id 3.3.3.3 filter-policy 2000 import area 0.0.0.0 network 12.1.2.0 0.0.0.255 network 10.1.4.0 0.0.0.255#
(2 方案二,可使用traffic-filter工具对数据进行过滤这叫做流量过滤,使用traffic-filter工具,采用的流量过滤的方式,过滤的是数据,但是在拓扑中的路由器的路由表里的路由是存在的,只是不能访问。
补充内容(ACL和前缀列表)ACL:基本和高级,基本ACL,2000-2999,根据源地址匹配;高级ACL,3000-3999;前缀列表:不能过滤报文,过滤的是路由信息;test是前缀列表名称的意思,类似于acl号;index 节点的意思,类似于rule
使用ACL来规定流量,在接口下应用ACL
策略路由
测试
R6路仪表
可以看到192.168.1.0 和192.168.2.0 的路由仍然在R6的路由表中,说明路由策略要由于路由表,策略路由是在是在转发层面的,不会更改路由表
配置命令:R6:acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 rule 15 permit ip #interface GigabitEthernet0/0/0 ip address 10.1.1.1 24 traffic-filter inbound acl 3001 //接口下应用ACL 3000 使用traffic-filter工具#ospf 1 router-id 6.6.6.6 area 0.0.0.0 network 10.1.1.0 0.0.0.255 network 192.168.4.0 0.0.0.255 R5:interface LoopBack1 ip address 192.168.1.1 255.255.255.0 //创建loopback地址,用来测试#interface LoopBack2 ip address 192.168.2.1 255.255.255.0 #interface LoopBack3 ip address 192.168.3.1 255.255.255.0 #ospf 1 router-id 5.5.5.5 area 0.0.0.0 network 10.1.1.0 0.0.0.255 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 network 192.168.3.0 0.0.0.255
调整网络流量路径
方案一:可以通过路由策略方式修改协议属性控制路由条目,来调整流量(配置ospf cost)
方案二:策略路由,在查找路由表之前控制流量行为
(1)修改开销影响路由器的选择;路由策略是改变路由的一些参数,不能指定某条路径,这就需要策略路由策略路由,常采用traffic-policy
(2)方案一修改开销使得ospf选路负载均衡,但是如果根据源地址、目的地址等复杂的要求,需要指定链路时就显得不够看了,这是其局限性
(3)方案二常采用traffic-policy工具实现,首先使用ACL匹配目标流量然后对目标流量定义行为,比如下一跳等(策略优于路由表,并不影响本身路由情况)
使用策略路由来配置下一跳
R1:acl number 3000 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 #traffic classifier huawei-control1 if-match acl 3000#traffic behavior huawei-control1 redirect ip-nexthop 12.1.1.1#traffic policy huawei-control1 classifier huawei-control1 behavior huawei-control1#interface GigabitEthernet0/0/0 ip address 12.1.1.2 255.255.255.0 traffic-policy huawei-control1 inbound //定义控制流量、控制行为;策略路由结合这两点;在接口应用 acl number 3001 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 #traffic classifier huawei-control2 if-match acl 3001#traffic behavior huawei-control2 redirect ip-nexthop 12.1.3.1#traffic policy huawei-control2 classifier huawei-control2 behavior huawei-control2#interface GigabitEthernet0/0/3 ip address 12.1.3.1 255.255.255.0 traffic-policy huawei-control2 inbound
策略路由和路由策略的不同点
路由策略和策略路由的区别
路由引入导致的问题和解决方法
(a,调整网络流量路径,比如多协议的场景。ospf与rip,开销的问题,ospf会选择开销小的路径
那么会有另一条路径被闲置,可以修改ospf接口开销
(b,次优路径;1、策略路由;2、调整优先级
(c,路由环路;1、策略路由;2、调整优先级
开销导致的链路空闲
可以配置接口的ospf开销,使得链路负载均衡
次优路径
路由器引入rip路由,重新生成路由条目,在Isis内部泛洪,Isis路由更优,所以会在图中会产生次优路径可以采用
(1)路由过滤的方法,过滤2.2.2.2 的条目即可;
(2)调整优先级rip为100,可以在Isis视图下修改perference 150即可
路由环路
RTB引入了外部路由在ospf内部泛洪,RTE收到后生成Isis路由在内部泛洪,RTC收到再泛洪在ospf中,RTB收到后发现Isis优先级高,所以2.2.2.2的下一跳是RTC的接口,RTC人为下一跳是RTD,RTD人为下一跳为TRE,RTE人为下一跳是RTB,RTB再下一跳到RTC,形成了环路,可以使用路由过滤和调整优先级
(1)利用路由过滤避免路由环路,过滤源地址为2.2.2.2 的路由,可以使用route-policy 定义policy,node,if-match ACL
(2)调整优先级,将Isis的优先级>150 比如160,调整Isis协议优先级为160,所以TRC引入isis收到Isis路由,也会选择RTB为下一跳。
转播
