流量行为控制需求

(1 不同部门的访问

(2 网络优化是对空闲链路的流量路径的需求

控制流量的可达性(filter-policy和route-policy;traffic-filter)

(1 方案一,修改路由条目,对接收和发布的路由进行过滤,叫做路由策略,

filter-policy是一种常见的路由过滤工具,无法过滤lsa,不能修改路由属性,链路状态,不影响lsdb的完整性,但是过滤路由表,使用SPF算法,在计算过程中过滤;距离矢量,过滤路由的发送和接收;

route-policy,一种强大而又复杂的过滤器,用于路由过滤和修改路由属性,Route-Policy由若干个node构成,node之间是"或"的关系 // 依次匹配(只匹配一个),每个node下可以有若干个if-match和apply 子句 //没有表示所有

  • if-match之间是"与"的关系 // 都要匹配

    • A:可使用filter-policy工具对R4向ospf引入的路由

    和R1写入路由表的路由进行过滤

    (a,使用ACL或者IP-prefix list 工具来匹配目标流量

    (b,在协议视图,利用filter-policy向目标流量发布策略

    B:可利用route-policy工具,R4引入直连过滤

    route-policy RP deny node 10 //路由策略名称为RP,节点10 if-match IP-prefix pref1 //子语句为if-match 应用前缀列表pref1 route-policy RP deny node 20 if-match IP-prefix pref2 ip ip-prefix perf1 index 10 permit 1.1.1.1 32 ip ip-prefix perf2 index 20 permit 2.2.2.2 32

    (a,使用ACL或者IP-prefix list 工具来匹配目标流量

    (b,在协议视图,利用route-policy 对引入的路由进行控制

    route-policy介绍,可以添加子句 1.if-match 2.apply语句;由若干个node组成,node之间是或的关系(执行了一个node,其他的不予执行)if-match之间是与的关系

    路由策略主要是(路由控制路由策略)(1)

    filter-policy前缀列表

    路由策略主要是(路由控制路由策略)(2)

    A路由表

    路由策略主要是(路由控制路由策略)(3)

    B路由表

    可以看到路由10.1.2.0 的路由条目已经不见了,因为已经过滤了这条路由,可以看出路由策略是在控制层面的,影响路由表,会更改路由表的路由条目

    ospf 1 router-id 1.1.1.1 filter-policy ip-prefix ab export direct //在协议视图下引用前缀列表在直连 import-route direct //引入直连路由 area 0.0.0.0 network 12.1.1.0 0.0.0.255 # ip ip-prefix ab index 10 permit 10.1.1.0 24 //配置相应前缀列表 ip ip-prefix ab index 20 permit 10.1.3.0 24 #

    路由策略主要是(路由控制路由策略)(4)

    filter-policy ACL过滤测试

    路由策略主要是(路由控制路由策略)(5)

    C路由表

    可以看到10.1.1.0 的路由条目已经没有了,已经在协议下过滤了,可以看出路由策略是在控制层面的,影响路由表,会更改路由表的路由条目

    R3 acl number 2000 rule 5 deny source 10.1.1.0 0.0.0.255 rule 10 permit # ospf 1 router-id 3.3.3.3 filter-policy 2000 import area 0.0.0.0 network 12.1.2.0 0.0.0.255 network 10.1.4.0 0.0.0.255 #

    (2 方案二,可使用traffic-filter工具对数据进行过滤这叫做流量过滤,使用traffic-filter工具,采用的流量过滤的方式,过滤的是数据,但是在拓扑中的路由器的路由表里的路由是存在的,只是不能访问。

    补充内容(ACL和前缀列表)ACL:基本和高级,基本ACL,2000-2999,根据源地址匹配;高级ACL,3000-3999;前缀列表:不能过滤报文,过滤的是路由信息;test是前缀列表名称的意思,类似于acl号;index 节点的意思,类似于rule

    使用ACL来规定流量,在接口下应用ACL

    路由策略主要是(路由控制路由策略)(6)

    策略路由

    路由策略主要是(路由控制路由策略)(7)

    测试

    路由策略主要是(路由控制路由策略)(8)

    R6路仪表

    可以看到192.168.1.0 和192.168.2.0 的路由仍然在R6的路由表中,说明路由策略要由于路由表,策略路由是在是在转发层面的,不会更改路由表

    配置命令: R6: acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 rule 15 permit ip # interface GigabitEthernet0/0/0 ip address 10.1.1.1 24 traffic-filter inbound acl 3001 //接口下应用ACL 3000 使用traffic-filter工具 # ospf 1 router-id 6.6.6.6 area 0.0.0.0 network 10.1.1.0 0.0.0.255 network 192.168.4.0 0.0.0.255 R5: interface LoopBack1 ip address 192.168.1.1 255.255.255.0 //创建loopback地址,用来测试 # interface LoopBack2 ip address 192.168.2.1 255.255.255.0 # interface LoopBack3 ip address 192.168.3.1 255.255.255.0 # ospf 1 router-id 5.5.5.5 area 0.0.0.0 network 10.1.1.0 0.0.0.255 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 network 192.168.3.0 0.0.0.255

    调整网络流量路径

    方案一:可以通过路由策略方式修改协议属性控制路由条目,来调整流量(配置ospf cost)

    方案二:策略路由,在查找路由表之前控制流量行为

    (1)修改开销影响路由器的选择;路由策略是改变路由的一些参数,不能指定某条路径,这就需要策略路由策略路由,常采用traffic-policy

    (2)方案一修改开销使得ospf选路负载均衡,但是如果根据源地址、目的地址等复杂的要求,需要指定链路时就显得不够看了,这是其局限性

    (3)方案二常采用traffic-policy工具实现,首先使用ACL匹配目标流量然后对目标流量定义行为,比如下一跳等(策略优于路由表,并不影响本身路由情况)

    路由策略主要是(路由控制路由策略)(9)

    使用策略路由来配置下一跳

    R1: acl number 3000 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 # traffic classifier huawei-control1 if-match acl 3000 # traffic behavior huawei-control1 redirect ip-nexthop 12.1.1.1 # traffic policy huawei-control1 classifier huawei-control1 behavior huawei-control1 # interface GigabitEthernet0/0/0 ip address 12.1.1.2 255.255.255.0 traffic-policy huawei-control1 inbound //定义控制流量、控制行为;策略路由结合这两点;在接口应用 acl number 3001 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 # traffic classifier huawei-control2 if-match acl 3001 # traffic behavior huawei-control2 redirect ip-nexthop 12.1.3.1 # traffic policy huawei-control2 classifier huawei-control2 behavior huawei-control2 # interface GigabitEthernet0/0/3 ip address 12.1.3.1 255.255.255.0 traffic-policy huawei-control2 inbound

    策略路由和路由策略的不同点

    路由策略主要是(路由控制路由策略)(10)

    路由策略和策略路由的区别

    路由引入导致的问题和解决方法

    (a,调整网络流量路径,比如多协议的场景。ospf与rip,开销的问题,ospf会选择开销小的路径

    那么会有另一条路径被闲置,可以修改ospf接口开销

    (b,次优路径;1、策略路由;2、调整优先级

    (c,路由环路;1、策略路由;2、调整优先级

    路由策略主要是(路由控制路由策略)(11)

    开销导致的链路空闲

    可以配置接口的ospf开销,使得链路负载均衡

    路由策略主要是(路由控制路由策略)(12)

    次优路径

    路由器引入rip路由,重新生成路由条目,在Isis内部泛洪,Isis路由更优,所以会在图中会产生次优路径可以采用

    (1)路由过滤的方法,过滤2.2.2.2 的条目即可;

    (2)调整优先级rip为100,可以在Isis视图下修改perference 150即可

    路由策略主要是(路由控制路由策略)(13)

    路由环路

    RTB引入了外部路由在ospf内部泛洪,RTE收到后生成Isis路由在内部泛洪,RTC收到再泛洪在ospf中,RTB收到后发现Isis优先级高,所以2.2.2.2的下一跳是RTC的接口,RTC人为下一跳是RTD,RTD人为下一跳为TRE,RTE人为下一跳是RTB,RTB再下一跳到RTC,形成了环路,可以使用路由过滤和调整优先级

    (1)利用路由过滤避免路由环路,过滤源地址为2.2.2.2 的路由,可以使用route-policy 定义policy,node,if-match ACL

    (2)调整优先级,将Isis的优先级>150 比如160,调整Isis协议优先级为160,所以TRC引入isis收到Isis路由,也会选择RTB为下一跳。

    ,