华为策略工具——路由策略
路由策略
路由策略:路由协议在传递路由的时候,支持多种多样的路由控制技术,灵活的使用这些路由控制技术可以对数据选路进行精确的控制。
路由控制:主要控制路由的属性,路由的传递进行选路的更改。其中实现进行路由的匹配,将所需要控制或修改的路由匹配,使用工具将其进行策略调度。
策略路由工具
策略路由工具可以直接定义路由的信息,修改路由的出接口。
(1)用来匹配路由条目的工具有:
① ACL
② ip-prefix
(2)用来调用匹配路由条目的工具有:
① filter-policy:过滤策略
② route-policy:路由策略
1. filter-policy
过滤策略,用于路由协议的路由通告过滤,filter-policy只能用于过滤路由,不能用于路由属性的修改,filter-policy隐式为丢弃所有。Filter-policy可以分方向调用,outbound在接口的出方向调用;inbound在入接口调用。
(1)路由矢量 Filter-policy:
Filter-Plicy可以用于路由矢量的路由过滤,在路由进行传递路由和接收路由时进行路由的过滤行为。
R1禁止将loo1通告给R2,允许通告loo0和loo2:
① 配置路由匹配:
[Huawei]ip ip-prefix 1 index 5 deny 1.1.1.2 32 less-equal 32---拒绝loo2
[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32---放行所有(默认为拒绝所有)
② RIP下调用Filter-policy:
[Huawei-rip-1]filter-policy ip-prefix 1 export GigabitEthernet 0/0/0---在接口下调用策略,并使用ip-prefic1匹配路由(如果所有的接口都使用过滤策略,可以不配置接口)
(2)链路状态 Filter-policy:
Filter-policy可以过滤路由,但是无法过滤LSA,所以Filter-policy只能修改本地路由,但是无法阻止LSA的传递。但是在abr处为距离矢量路由协议,默认只发送type3的lsa,所以可以采用filter-policy对区域间的路由进行过滤。
① 区域内做Filter-policy:
R2拒绝1.1.1.1/32路由:
① 配置路由匹配:
[Huawei]ip ip-prefix 1 index 5 deny 1.1.1.1 32
[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32
② 本地过滤在OSPF下调用Filter-policy(area下无作用):
[Huawei-ospf-1-area-0.0.0.0]filter ip-prefix 1 import
查看R2路由:
路由策略已经生效。
查看R3路由:
Filter-policy只能过滤路由条目,无法过滤LSA。
② 区域间做Filter-policy:
R3上过滤AREA0的1.1.1.1/32路由条目,禁止泛洪到AREA1中:
① 配置流量匹配:
[Huawei]ip ip-prefix 1 index 5 deny 1.1.1.1 32
[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32
② ABR不同区域过滤在区域下调用Filter-policy:
[Huawei-ospf-1-area-0.0.0.0]filter ip-prefix 1 export-----在区域0中不允许acl2000中的路由条目去往其他区域
或:[Huawei-ospf-1-area-0.0.0.1]filter ip-prefix 1 inport---在区域1中不允许acl2000中的路由条目进入此区域
③ 防止路由引入导致环路:
拓扑中OSPF和RIP相互引入,如果192.168.5.0/24的网段断掉,RIP没有及时发送路由信息给OSPF,OSPF会从R8将192.168.5.0/24的网段在传回来,造成网络环路。
使用filter-policy过滤OSPF传递给rip的192.168.5.0/24网段:
[Huawei]ip ip-prefix 1 index 5 permit 192.168.5.0 24
[Huawei-ospf-1]filter-policy ip-prefix huawei export rip
2. Router-Policy
two
路由策略,支持丰富的属性策略,可以用来修改路由的属性(cost、E1/E2)等。
(1)定义标准:
① Node:
Router-Policy由一个或多个节点(Node)构成。Node之间是“或”的关系。每个Node都有一个编号,路由项按照Node编号由小到大的顺序通过各个Node,如果Node被匹配,则执行动作,如果没有匹配,继续匹配下一个Node,当所有的Node都没有被匹配到,匹配默认隐式路由丢弃。
② If-math、apply:
Ø 每个node为“或”的关系,自上而下匹配,每个Node下可以有若干个if-match和apply(特殊情况下可以完全没有if-match和apply子句).
Ø if-match之间是“与”的关系。If-match子句用来定义匹配规则,即路由项通过Node所需要满足的条件,匹配兑现更新路由项的某些属性。
注1:as-path-filter、interface、community-filter、extcommunity-filter、route-type为“或”的关系,其余的If-math都为“与”的关系
注2:如果定义了ACL,但是ACL没有定义匹配目标,则默认使用隐式deny Any;如果没有定义ACL,则匹配所有
Ø 当满足If语句中的所有条件时,Apply子句用来规定处理动作,Apply中所有的动作都将执行。
③ permit/deny:
Router-policy的每个Node都有相应的permit模式或deny模式。
*permit模式:当路由项满足该node的所有if-match子句时,就被允许通过node的过滤并执行该Node的子句进行属性的apply属性修改。
*deny模式:当路由项满足该node的所有if-match子句时,就被拒绝通过该Node的过滤不执行apply的项目,直接输出。
(2)配置Router-Policy:
OSPF引入rip修改cost值:
① 匹配路由:
[Huawei]ip ip-prefix 1 deny 1.1.1.1 32
② 定义规则:
[Huawei]route-policy huawei deny node 5---定义节点5
[Huawei-route-policy]if-match ip-prefix 1
[Huawei]route-policy huawei permit node 10---------定义节点10放行其余流量(隐式拒绝其余流量)
[Huawei-ospf-1]import-route rip route-policy 1----引入rip时调用router-policy
路由条目1.1.1.1/32的COST值被修改为100
OSPF引入RIP路由修改E1/E2:
① 匹配路由:
[Huawei]ip ip-prefix 2 deny 1.1.1.1 32
② 定义规则:
[Huawei]route-policy Etype deny node 5---定义节点5
[Huawei-route-policy]if-match ip-prefix 2
[Huawei]route-policy Etype permit node 10---------定义节点10放行其余流量(隐式拒绝其余流量)
[Huawei-ospf-1]import-route rip route-policy Etype----引入rip时调用router-policy
1.1.1.1的类型已被修改为类型1
3. policy-based route
two
策略路由,可以直接定义路由的信息,修改路由的出接口。(路由策略也可指定下一跳)
注:策略路由只能使用ACL匹配数据流。
(1)PBR配置:
指定从E0/001接口收到的数据流量源ip为192.168.1.2走192.168.4.2:
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 5 permit souce 192.168.1.3 0
[Huawei]policy-based-route huawei permit node 5
[Huawei-policy-based-route-huawei-5]if-match acl 2000
[Huawei-policy-based-route-huawei-5]apply ip-address next-hop 192.168.4.2
[Huawei]inter e0/0/0
[Huawei-Ethernet0/0/0]ip policy-based-route Huawei
注:如果修改本设备发起流量的PBR,在全局模式下使用命令[Huawei]ip local
policy-based-route huawei
1
END
1
为了方便广大网络爱好学习者一起学(聚)习(众)交(搞)流(基),特开设华为干货交流群,里面已经上传大量学习资料,欢迎广大网络工程师进群学习!
点“在看”给我一朵小黄花