【理论-Cisco】策略路由PBR
文章目錄
- 一、策略路由重要的三大工具
- 1.1 訪問控制列表ACL
- 1.1.1 標(biāo)準(zhǔn)ACL
- 1.1.2 擴(kuò)展ACL
- 1.1.3 命名ACL
- 1.2 前綴列表
- 1.3 路由圖-route-map
- 二、策略路由與路由策略
- 2.1 PBR(policy based routing)
- 2.2 策略路由和路由策略的區(qū)別
- 2.3 數(shù)據(jù)轉(zhuǎn)發(fā)過程
- 2.4 路由控制更新方法:
- 三、常見ACL調(diào)用的端口號(hào):
一、策略路由重要的三大工具
- 訪問控制列表ACL
- 前綴列表
- 路由圖route-map
1.1 訪問控制列表ACL
ACL特性:
-
對(duì)數(shù)據(jù)包進(jìn)行過濾
-
需要在接口調(diào)用ACL:如果在vty線路下——針對(duì)telnet遠(yuǎn)程登陸
-
一組按順序排放的過濾器,從上到下按順序執(zhí)行匹配條目,一旦匹配跳出過濾器
-
過濾動(dòng)作:允許或者拒絕
-
匹配標(biāo)準(zhǔn):源IP、目的IP、端口號(hào)(更精確)、協(xié)議類型(也可以不寫)
-
路由器不能過濾自己產(chǎn)生的流量
-
標(biāo)準(zhǔn)ACL和擴(kuò)展ACL刪除時(shí),不能刪除單獨(dú)一個(gè)條目,要先進(jìn)入表,否則刪除整張列表
-
每個(gè)過濾器前都有一個(gè)序列號(hào)
-
把具有嚴(yán)格限制條件的語句放在最前面
-
隱式拒絕器,最后一臺(tái)過濾器為deny any
-
正確的訪問控制列表都至少應(yīng)該有一條permit語句并且寫在deny語句前面
舉個(gè)栗子:
1.戴眼鏡男生————deny
2.男生————permit(匹配不到)
正確做法:
1.男生————允許(匹配到)
2.戴眼鏡男生——拒絕(匹配到)
至少要有一條允許(否則全部拒絕,沒意義) -
標(biāo)準(zhǔn)ACL離目的近的地方調(diào)用(只能匹配到源不能匹配到目的,否則會(huì)過濾掉其他包)
-
擴(kuò)展ACL離源近的地方調(diào)用(有嚴(yán)格的匹配條件,只有源和目的都符合的條件下才會(huì)匹配到,減少流量的浪費(fèi))
注意:如果反過來,則會(huì)出現(xiàn)的情況——假如目的是為了只拒絕最后一臺(tái),則過程中所經(jīng)過的路由器會(huì)全部拒絕。
1.1.1 標(biāo)準(zhǔn)ACL
- 基于源IP 地址匹配,定位數(shù)據(jù)包
- 只能基于源IP地址,不能檢查上層協(xié)議
- 匹配動(dòng)作:permit或者deny
- 編號(hào): 1-99,1300-1999
1.1.2 擴(kuò)展ACL
- 基于源IP、目的IP、端口號(hào)、協(xié)議等定位數(shù)據(jù)包
- 可以匹配特定的數(shù)據(jù)流包
- 匹配動(dòng)作:permit或者deny
- 編號(hào):100-199,2000-2699
1.1.3 命名ACL
- 可以用英文字符命名列表
- 既可以實(shí)現(xiàn)標(biāo)準(zhǔn)ACL也可以實(shí)現(xiàn)擴(kuò)展ACL的功能
- In方向調(diào)用:先查找ACL標(biāo)準(zhǔn)訪問列表
- Out方向調(diào)用:先查看路由條目
- Permit ip any any,允許所有IP協(xié)議
1.2 前綴列表
- 用來匹配前綴(網(wǎng)段)和前綴長(zhǎng)度(子網(wǎng)掩碼)
- ge:大于等于;范圍:ge-value-32
- le:小于等于;范圍:len-LE-value
- len(掩碼)<ge<=le
舉個(gè)栗子:
- ip prefix-list X permit 1.2.3.0/24——允許前綴1.2.3.0/24
- ip prefix-list X permit 172.0.0.0/8 ge 16 le 24——允許前綴172.0.0.0/8、子網(wǎng)掩碼為16-24
- ip prefix-list X permit 192.168.16.0/22 ge 24 le 24——允許前綴192.18.16.0/22、子網(wǎng)掩碼為24
- ip prefix-list X permit 0.0.0.0/0 le 32 ——允許全部的條目
- ip prefix-list X permit 0.0.0.0/0 ge 1 ——過濾除了默認(rèn)路由的所有條目
1.3 路由圖-route-map
- 既可以匹配感興趣流,又可以修改感興趣流某些特定的屬性,本身是工具,但是可以調(diào)用其他工具(ACL、前綴列表)
-
路由圖特性
末尾隱含deny
Match沒寫——就是match any
Set沒寫——就是set nothing
Or的關(guān)系:match ip add 1 2 3
And的關(guān)系:
match ip add 1
match interface f0/0 -
Route-map 創(chuàng)建
route-map X permit/deny 10————X:名字、10序列號(hào),按順序匹配
match x1————x1:匹配條件
set y1————y1:設(shè)置動(dòng)作
route-map X permit/deny————20序列號(hào),按順序匹配
match x1
set y1 -
定義匹配條件與set 動(dòng)作
match ip address + 列表:ACL或者前綴列表
match interface +f0/0:匹配某個(gè)接口
match ip next-hop +下跳IP地址
match metric +匹配具有指定度量值的路由
set metric:設(shè)置metric值
set ip next-hop:指定下一跳地址
二、策略路由與路由策略
2.1 PBR(policy based routing)
- 策咯路由:基于數(shù)據(jù)流的策略。通過策略來決定數(shù)據(jù)流方向
- 路由策略:通過路由信息決定數(shù)據(jù)流方向
2.2 策略路由和路由策略的區(qū)別
| 基于控制平面,會(huì)影響路由表表項(xiàng)。 | 基于轉(zhuǎn)發(fā)平面,不會(huì)影響路由表表項(xiàng),且設(shè)備收到報(bào)文后,會(huì)先查找策略路由進(jìn)行匹配轉(zhuǎn)發(fā),若匹配失敗,則再查找路由表進(jìn)行轉(zhuǎn)發(fā)。 |
| 只能基于目的地址進(jìn)行策略制定。 | 可基于源地址、目的地址、協(xié)議類型、報(bào)文大小等進(jìn)行策略制定。 |
| 與路由協(xié)議結(jié)合使用。 | 需手工逐跳配置,以保證報(bào)文按策略進(jìn)行轉(zhuǎn)發(fā)。 |
| 常用工具:Route-Policy、Filter-Policy等。 | 常用工具:Traffic-Filter、Traffic-Policy(轉(zhuǎn)發(fā))、Policy-Based-Route(本地)等。 |
- 路由器存在兩種類型的表:一個(gè)是路由表(routing-table),另一個(gè)是轉(zhuǎn)發(fā)表(forwarding-table),轉(zhuǎn)發(fā)表是由路由表映射過來的,策略路由直接作用于轉(zhuǎn)發(fā)表,路由策略直接作用于路由表。由于轉(zhuǎn)發(fā)在底層,路由在高層,所以直接作用在轉(zhuǎn)發(fā)表的轉(zhuǎn)發(fā)優(yōu)先級(jí)比查找路由表轉(zhuǎn)發(fā)的優(yōu)先級(jí)高。
- 路由策略是在路由發(fā)現(xiàn)的時(shí)候產(chǎn)生作用,并根據(jù)一些規(guī)則,使用某種策略來影響路由發(fā)布、接收或路由選擇的參數(shù),從而改變路由發(fā)現(xiàn)的結(jié)果,從而最終改變路由表內(nèi)容;策略路由是在數(shù)據(jù)包轉(zhuǎn)發(fā)的時(shí)候發(fā)生作用,不改變路由表中的任何內(nèi)容,它可以通過設(shè)置的規(guī)則影響數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)。
2.3 數(shù)據(jù)轉(zhuǎn)發(fā)過程
-
接口收到一個(gè)數(shù)據(jù)包
先判斷接口是否應(yīng)用策略路由
———沒有,根據(jù)路由表進(jìn)行轉(zhuǎn)發(fā)
———有,match 語句是否匹配
—————不匹配,根據(jù)路由表進(jìn)行轉(zhuǎn)發(fā)
—————匹配,是否permit
———————否,根據(jù)路由表進(jìn)行轉(zhuǎn)發(fā)
———————是,執(zhí)行策略動(dòng)作set -
路由管理距離AD:
直連=0
靜態(tài)=1
Ebgp=20
Ospf=110
RIP=120
EIGRP=170
IBGP=200
2.4 路由控制更新方法:
為了使多種路由協(xié)議協(xié)同工作。把直連或者靜態(tài)路由條目重分發(fā)進(jìn)RIP默認(rèn)metric值為1,可在命令后加上metric值進(jìn)行修改。靜態(tài)路由課改,默認(rèn)路由不能改。把其他協(xié)議的條目重復(fù)分發(fā)進(jìn)RIP默認(rèn)metric是為無窮大。因此,Ospf重分發(fā)進(jìn)RIP需要帶上metric值,否則無法學(xué)到路由。
重分發(fā)進(jìn)OSPF,直連或者靜態(tài)路由重分發(fā)進(jìn)OSPF默認(rèn)只重分發(fā)主類條目,要把明細(xì)條目重分發(fā)進(jìn)OSPF,要加上subnets參數(shù)。重復(fù)分發(fā)進(jìn)ospf的條目(外部條目OE2不累加)默認(rèn)為20。
要把條目重分發(fā)進(jìn)哪個(gè)協(xié)議,就在哪個(gè)協(xié)議下做重分發(fā)
三、常見ACL調(diào)用的端口號(hào):
| 20 | FTP-DATA | 文件傳輸協(xié)議(數(shù)據(jù)端) | TCP |
| 21 | FTP | 文件傳輸協(xié)議(控制端) | TCP |
| 23 | telnet | 終端連接 | TCP |
| 25 | snmp | 簡(jiǎn)單郵件傳輸協(xié)議 | TCP |
| 42 | nameserver | 主機(jī)名字服務(wù)器 | UDP |
| 53 | domain | 域名服務(wù)器(DNS) | TCP/UDP |
| 69 | TFTP | 普通文件傳輸協(xié)議(TFTP) | UDP |
| 80 | http | 萬維網(wǎng) | TCP |
思考:
- IP-Prefix List可以用來過濾IP報(bào)文嗎?
IP-Prefix List可以用來過濾路由信息,但不能過濾IP報(bào)文。 - 常用調(diào)整網(wǎng)絡(luò)流量路徑的方式都包括哪些?
常用調(diào)整網(wǎng)絡(luò)流量路徑的方式包括:路由策略和策略路由方式。 - 路由引入可能會(huì)帶來哪些問題?常用的解決辦法包括哪些?
路由引入可能會(huì)帶來次優(yōu)路徑、路由環(huán)路等問題,常采用路由過濾、調(diào)整協(xié)議優(yōu)先級(jí)方式來解決。
總結(jié)
以上是生活随笔為你收集整理的【理论-Cisco】策略路由PBR的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 算法导论(原书第3版) 目录
- 下一篇: APUE学习笔记-15章进程间通信