【理论-Cisco】策略路由PBR
文章目錄
- 一、策略路由重要的三大工具
- 1.1 訪問控制列表ACL
- 1.1.1 標準ACL
- 1.1.2 擴展ACL
- 1.1.3 命名ACL
- 1.2 前綴列表
- 1.3 路由圖-route-map
- 二、策略路由與路由策略
- 2.1 PBR(policy based routing)
- 2.2 策略路由和路由策略的區(qū)別
- 2.3 數據轉發(fā)過程
- 2.4 路由控制更新方法:
- 三、常見ACL調用的端口號:
一、策略路由重要的三大工具
- 訪問控制列表ACL
- 前綴列表
- 路由圖route-map
1.1 訪問控制列表ACL
ACL特性:
-
對數據包進行過濾
-
需要在接口調用ACL:如果在vty線路下——針對telnet遠程登陸
-
一組按順序排放的過濾器,從上到下按順序執(zhí)行匹配條目,一旦匹配跳出過濾器
-
過濾動作:允許或者拒絕
-
匹配標準:源IP、目的IP、端口號(更精確)、協議類型(也可以不寫)
-
路由器不能過濾自己產生的流量
-
標準ACL和擴展ACL刪除時,不能刪除單獨一個條目,要先進入表,否則刪除整張列表
-
每個過濾器前都有一個序列號
-
把具有嚴格限制條件的語句放在最前面
-
隱式拒絕器,最后一臺過濾器為deny any
-
正確的訪問控制列表都至少應該有一條permit語句并且寫在deny語句前面
舉個栗子:
1.戴眼鏡男生————deny
2.男生————permit(匹配不到)
正確做法:
1.男生————允許(匹配到)
2.戴眼鏡男生——拒絕(匹配到)
至少要有一條允許(否則全部拒絕,沒意義) -
標準ACL離目的近的地方調用(只能匹配到源不能匹配到目的,否則會過濾掉其他包)
-
擴展ACL離源近的地方調用(有嚴格的匹配條件,只有源和目的都符合的條件下才會匹配到,減少流量的浪費)
注意:如果反過來,則會出現的情況——假如目的是為了只拒絕最后一臺,則過程中所經過的路由器會全部拒絕。
1.1.1 標準ACL
- 基于源IP 地址匹配,定位數據包
- 只能基于源IP地址,不能檢查上層協議
- 匹配動作:permit或者deny
- 編號: 1-99,1300-1999
1.1.2 擴展ACL
- 基于源IP、目的IP、端口號、協議等定位數據包
- 可以匹配特定的數據流包
- 匹配動作:permit或者deny
- 編號:100-199,2000-2699
1.1.3 命名ACL
- 可以用英文字符命名列表
- 既可以實現標準ACL也可以實現擴展ACL的功能
- In方向調用:先查找ACL標準訪問列表
- Out方向調用:先查看路由條目
- Permit ip any any,允許所有IP協議
1.2 前綴列表
- 用來匹配前綴(網段)和前綴長度(子網掩碼)
- ge:大于等于;范圍:ge-value-32
- le:小于等于;范圍:len-LE-value
- len(掩碼)<ge<=le
舉個栗子:
- ip prefix-list X permit 1.2.3.0/24——允許前綴1.2.3.0/24
- ip prefix-list X permit 172.0.0.0/8 ge 16 le 24——允許前綴172.0.0.0/8、子網掩碼為16-24
- ip prefix-list X permit 192.168.16.0/22 ge 24 le 24——允許前綴192.18.16.0/22、子網掩碼為24
- ip prefix-list X permit 0.0.0.0/0 le 32 ——允許全部的條目
- ip prefix-list X permit 0.0.0.0/0 ge 1 ——過濾除了默認路由的所有條目
1.3 路由圖-route-map
- 既可以匹配感興趣流,又可以修改感興趣流某些特定的屬性,本身是工具,但是可以調用其他工具(ACL、前綴列表)
-
路由圖特性
末尾隱含deny
Match沒寫——就是match any
Set沒寫——就是set nothing
Or的關系:match ip add 1 2 3
And的關系:
match ip add 1
match interface f0/0 -
Route-map 創(chuàng)建
route-map X permit/deny 10————X:名字、10序列號,按順序匹配
match x1————x1:匹配條件
set y1————y1:設置動作
route-map X permit/deny————20序列號,按順序匹配
match x1
set y1 -
定義匹配條件與set 動作
match ip address + 列表:ACL或者前綴列表
match interface +f0/0:匹配某個接口
match ip next-hop +下跳IP地址
match metric +匹配具有指定度量值的路由
set metric:設置metric值
set ip next-hop:指定下一跳地址
二、策略路由與路由策略
2.1 PBR(policy based routing)
- 策咯路由:基于數據流的策略。通過策略來決定數據流方向
- 路由策略:通過路由信息決定數據流方向
2.2 策略路由和路由策略的區(qū)別
| 基于控制平面,會影響路由表表項。 | 基于轉發(fā)平面,不會影響路由表表項,且設備收到報文后,會先查找策略路由進行匹配轉發(fā),若匹配失敗,則再查找路由表進行轉發(fā)。 |
| 只能基于目的地址進行策略制定。 | 可基于源地址、目的地址、協議類型、報文大小等進行策略制定。 |
| 與路由協議結合使用。 | 需手工逐跳配置,以保證報文按策略進行轉發(fā)。 |
| 常用工具:Route-Policy、Filter-Policy等。 | 常用工具:Traffic-Filter、Traffic-Policy(轉發(fā))、Policy-Based-Route(本地)等。 |
- 路由器存在兩種類型的表:一個是路由表(routing-table),另一個是轉發(fā)表(forwarding-table),轉發(fā)表是由路由表映射過來的,策略路由直接作用于轉發(fā)表,路由策略直接作用于路由表。由于轉發(fā)在底層,路由在高層,所以直接作用在轉發(fā)表的轉發(fā)優(yōu)先級比查找路由表轉發(fā)的優(yōu)先級高。
- 路由策略是在路由發(fā)現的時候產生作用,并根據一些規(guī)則,使用某種策略來影響路由發(fā)布、接收或路由選擇的參數,從而改變路由發(fā)現的結果,從而最終改變路由表內容;策略路由是在數據包轉發(fā)的時候發(fā)生作用,不改變路由表中的任何內容,它可以通過設置的規(guī)則影響數據報文的轉發(fā)。
2.3 數據轉發(fā)過程
-
接口收到一個數據包
先判斷接口是否應用策略路由
———沒有,根據路由表進行轉發(fā)
———有,match 語句是否匹配
—————不匹配,根據路由表進行轉發(fā)
—————匹配,是否permit
———————否,根據路由表進行轉發(fā)
———————是,執(zhí)行策略動作set -
路由管理距離AD:
直連=0
靜態(tài)=1
Ebgp=20
Ospf=110
RIP=120
EIGRP=170
IBGP=200
2.4 路由控制更新方法:
為了使多種路由協議協同工作。把直連或者靜態(tài)路由條目重分發(fā)進RIP默認metric值為1,可在命令后加上metric值進行修改。靜態(tài)路由課改,默認路由不能改。把其他協議的條目重復分發(fā)進RIP默認metric是為無窮大。因此,Ospf重分發(fā)進RIP需要帶上metric值,否則無法學到路由。
重分發(fā)進OSPF,直連或者靜態(tài)路由重分發(fā)進OSPF默認只重分發(fā)主類條目,要把明細條目重分發(fā)進OSPF,要加上subnets參數。重復分發(fā)進ospf的條目(外部條目OE2不累加)默認為20。
要把條目重分發(fā)進哪個協議,就在哪個協議下做重分發(fā)
三、常見ACL調用的端口號:
| 20 | FTP-DATA | 文件傳輸協議(數據端) | TCP |
| 21 | FTP | 文件傳輸協議(控制端) | TCP |
| 23 | telnet | 終端連接 | TCP |
| 25 | snmp | 簡單郵件傳輸協議 | TCP |
| 42 | nameserver | 主機名字服務器 | UDP |
| 53 | domain | 域名服務器(DNS) | TCP/UDP |
| 69 | TFTP | 普通文件傳輸協議(TFTP) | UDP |
| 80 | http | 萬維網 | TCP |
思考:
- IP-Prefix List可以用來過濾IP報文嗎?
IP-Prefix List可以用來過濾路由信息,但不能過濾IP報文。 - 常用調整網絡流量路徑的方式都包括哪些?
常用調整網絡流量路徑的方式包括:路由策略和策略路由方式。 - 路由引入可能會帶來哪些問題?常用的解決辦法包括哪些?
路由引入可能會帶來次優(yōu)路徑、路由環(huán)路等問題,常采用路由過濾、調整協議優(yōu)先級方式來解決。
總結
以上是生活随笔為你收集整理的【理论-Cisco】策略路由PBR的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 算法导论(原书第3版) 目录
- 下一篇: APUE学习笔记-15章进程间通信