HCIP(十)---路由策略

其他 2020-04-02 15:22:48 阅读次数: 0

路由策略

  • 控制层面对流量进行抓取,之后进行策略修改,最终影响到路由条目的加表,核心目的为干涉选路
  • 控制层面–路由信息,路由条目的流量传递层面
  • 数据层面–基于本地路由表发送的数据流量
  • 控制层面与数据层面方向相反

第一步:抓流量
1)ACL 访问控制列表

  • 访问控制,针对的是数据层面流量,在路由器接口上对进出的数据层面流量进行限制,简单来说就是如果一流量要去ping通另一流量的方向
  • 缺点:ACL匹配一个范围的地址,不关注数据包中的子网掩码;故在特点环境下无法精确匹配一个网络号

2)前缀列表–专用于抓取控制层面的网络号

[r1]ip ip-prefix hcip permit 1.1.1.0 24 less-equal 32     掩码长度为2432
[r1]ip ip-prefix hcip permit 5.5.5.0 24 greater-equal 30   掩码长度为3032
[r1]ip ip-prefix hcip permit 6.6.6.0 24 greater-equal 29 le 31  掩码长度为2931

[r1]ip ip-prefix hcip permit 0.0.0.0 0 le 32  允许所有
  • 匹配规则:至上而下逐一匹配,上条匹配,按上调执行,不再查看下条;末尾隐含拒绝所有
  • 例子:同时抓取 172.16.4.0/24 172.16.5.0/24 172.16.6.0/24 172.16.7.0/24
[r1]ip ip-prefix huawei permit 172.16.4.0 22 greater-equal 24 le 24

第二步:策略–修改流量参数
1)偏移列表

  • cisco中的策略,huawei中不是策略
  • 距离矢量协议专用:RIP EIGRP
  • cisco下只能用ACL为其服务,华为下ACL、前缀列表都ok
[r1]ip ip-prefix aa permit 2.2.2.0 24  使用前缀列表抓取;ACL也可
 
[r1]interface GigabitEthernet 0/0/1   控制层面流量传输的接口
[r1-GigabitEthernet0/0/1]rip metricin ip-prefix aa 2   流量入,匹配前缀列表aa,度量加2
                         metricout  2000 2      流量出,匹配acl 2000,度量加2
该策略为逐跳行为,效果可以叠加操作;整段路径中流量经过的多个接口均配置了度量增加,最终为总增加度量;

2)分发列表

[r2]ip ip-prefix qq deny 2.2.2.0 24
[r2]ip ip-prefix qq permit 0.0.0.0 0 less-equal 32

[r2]rip  1 
[r2-rip-1]filter-policy ip-prefix qq ?
export   Specify an export policy  出方向
import   Specify an import policy  入方向
[r2-rip-1]filter-policy ip-prefix qq export GigabitEthernet 0/0/0

切记:若使用ACL定义流量,正常华为acl末尾允许所有,但在过滤策略中一定手工配置允许所有命令;

OSPF协议无法在出方向调用,因为ospf使用的拓扑更新,在同一个区域内不可以限制拓扑的传递;正常只能在入向调用,并不影响数据库的同步,仅仅是不将该LSA计算所得的路由加载到路由表;

3)route-map 华为路由策略

  • 第一步:抓流量—acl和前缀列表均可
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 1.1.2.0 0.0.0.0

[r2]ip ip-prefix a permit 1.1.3.0 24
[r2]ip ip-prefix b permit  1.1.4.0 24
  • 第二步:路由策略
[r2]route-policy huawei deny node 10  创建名为huawei的路由策略,大动作为拒绝,序号为10
[r2-route-policy]if-match acl 2000        匹配一张ACL
[r2-route-policy]q
[r2]route-policy huawei permit node 20     列表huawei序号20,大动作为允许
[r2-route-policy]if-match acl 2001         匹配一张ACL
[r2-route-policy]apply cost-type type-1    定义小动作为修改度量类型,为类型1
  • 第三步:重发布时调用
[r2]ospf  1 
[r2-ospf-1]import-route rip 1 route-policy Huawei

配置指南

  • 1、 即便要拒绝一个流量,在抓取时也必须使用允许,之后在路由策略来拒绝;
  • 2、 至上而下逐一匹配,上条匹配按上条执行,不再查看下条,末尾隐含拒绝所有
  • 3、 在一条规则中,若没有进行流量匹配那就是匹配所有;若没有应用那么仅对匹配流量进行当前大动作;因此大动作为允许的空表代表允许所有;
杨杨杨✌️
发布了49 篇原创文章 · 获赞 4 · 访问量 876
私信 关注

猜你喜欢

转载自blog.csdn.net/weixin_45404784/article/details/105249323
今日推荐
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
周排行
循环神经网络(rnn)讲解
Tigao教程四:单独的关节运动
金蝶K3WISE15.0-注册套打教程
如何在Mac上配置Kubernetes
Android应用结束自身进程的方法
SpringMVC学习 十三 拦截器栈
中国驻洛杉矶总领馆举行新春招待会
HttpClient get post 发送
11 - three.js 笔记 - 绘制三维字体模型
Mysql递归获取某个父节点下面的所有子节点和子节点上的所有父节点
每日归档
更多
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022