华为策略工具——路由策略

路由策略

路由策略:路由协议在传递路由的时候,支持多种多样的路由控制技术,灵活的使用这些路由控制技术可以对数据选路进行精确的控制。

路由控制:主要控制路由的属性,路由的传递进行选路的更改。其中实现进行路由的匹配,将所需要控制或修改的路由匹配,使用工具将其进行策略调度。

策略路由工具

策略路由工具可以直接定义路由的信息,修改路由的出接口。

(1)用来匹配路由条目的工具有:

① ACL

② ip-prefix

(2)用来调用匹配路由条目的工具有:

① filter-policy:过滤策略

② route-policy:路由策略

1. filter-policy

过滤策略,用于路由协议的路由通告过滤,filter-policy只能用于过滤路由,不能用于路由属性的修改,filter-policy隐式为丢弃所有。Filter-policy可以分方向调用,outbound在接口的出方向调用;inbound在入接口调用。

(1)路由矢量 Filter-policy:

Filter-Plicy可以用于路由矢量的路由过滤,在路由进行传递路由和接收路由时进行路由的过滤行为。

R1禁止将loo1通告给R2,允许通告loo0和loo2:

① 配置路由匹配:

[Huawei]ip ip-prefix 1 index 5 deny 1.1.1.2 32 less-equal 32---拒绝loo2

[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32---放行所有(默认为拒绝所有)

② RIP下调用Filter-policy:

[Huawei-rip-1]filter-policy ip-prefix 1 export GigabitEthernet 0/0/0---在接口下调用策略,并使用ip-prefic1匹配路由(如果所有的接口都使用过滤策略,可以不配置接口)

(2)链路状态 Filter-policy:

Filter-policy可以过滤路由,但是无法过滤LSA,所以Filter-policy只能修改本地路由,但是无法阻止LSA的传递。但是在abr处为距离矢量路由协议,默认只发送type3的lsa,所以可以采用filter-policy对区域间的路由进行过滤。

① 区域内做Filter-policy:

R2拒绝1.1.1.1/32路由:

① 配置路由匹配:

[Huawei]ip ip-prefix 1 index 5 deny 1.1.1.1 32

[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32

② 本地过滤在OSPF下调用Filter-policy(area下无作用):

[Huawei-ospf-1-area-0.0.0.0]filter ip-prefix 1 import

查看R2路由:

路由策略已经生效。

查看R3路由:

Filter-policy只能过滤路由条目,无法过滤LSA。

② 区域间做Filter-policy:

R3上过滤AREA0的1.1.1.1/32路由条目,禁止泛洪到AREA1中:

① 配置流量匹配:

[Huawei]ip ip-prefix 1 index 5 deny 1.1.1.1 32

[Huawei]ip ip-prefix 1 index  10 permit 0.0.0.0 0 less-equal 32

② ABR不同区域过滤在区域下调用Filter-policy:

[Huawei-ospf-1-area-0.0.0.0]filter ip-prefix 1 export-----在区域0中不允许acl2000中的路由条目去往其他区域

或:[Huawei-ospf-1-area-0.0.0.1]filter ip-prefix 1 inport---在区域1中不允许acl2000中的路由条目进入此区域

③ 防止路由引入导致环路:

拓扑中OSPF和RIP相互引入,如果192.168.5.0/24的网段断掉,RIP没有及时发送路由信息给OSPF,OSPF会从R8将192.168.5.0/24的网段在传回来,造成网络环路。

使用filter-policy过滤OSPF传递给rip的192.168.5.0/24网段:

[Huawei]ip ip-prefix 1 index 5 permit 192.168.5.0 24

[Huawei-ospf-1]filter-policy ip-prefix huawei export rip

2. Router-Policy

two

路由策略,支持丰富的属性策略,可以用来修改路由的属性(cost、E1/E2)等。

(1)定义标准:

① Node:

Router-Policy由一个或多个节点(Node)构成。Node之间是“或”的关系。每个Node都有一个编号,路由项按照Node编号由小到大的顺序通过各个Node,如果Node被匹配,则执行动作,如果没有匹配,继续匹配下一个Node,当所有的Node都没有被匹配到,匹配默认隐式路由丢弃。

② If-math、apply:

Ø 每个node为“或”的关系,自上而下匹配,每个Node下可以有若干个if-match和apply(特殊情况下可以完全没有if-match和apply子句).

Ø if-match之间是“与”的关系。If-match子句用来定义匹配规则,即路由项通过Node所需要满足的条件,匹配兑现更新路由项的某些属性。

注1:as-path-filter、interface、community-filter、extcommunity-filter、route-type为“或”的关系,其余的If-math都为“与”的关系

注2:如果定义了ACL,但是ACL没有定义匹配目标,则默认使用隐式deny Any;如果没有定义ACL,则匹配所有

Ø 当满足If语句中的所有条件时,Apply子句用来规定处理动作,Apply中所有的动作都将执行。

③ permit/deny:

Router-policy的每个Node都有相应的permit模式或deny模式。

*permit模式:当路由项满足该node的所有if-match子句时,就被允许通过node的过滤并执行该Node的子句进行属性的apply属性修改。

*deny模式:当路由项满足该node的所有if-match子句时,就被拒绝通过该Node的过滤不执行apply的项目,直接输出。

(2)配置Router-Policy:

OSPF引入rip修改cost值:

① 匹配路由:

[Huawei]ip ip-prefix 1 deny 1.1.1.1 32

② 定义规则:

[Huawei]route-policy huawei deny node 5---定义节点5

[Huawei-route-policy]if-match  ip-prefix 1

[Huawei]route-policy huawei permit  node 10---------定义节点10放行其余流量(隐式拒绝其余流量)

[Huawei-ospf-1]import-route  rip route-policy 1----引入rip时调用router-policy

路由条目1.1.1.1/32的COST值被修改为100

OSPF引入RIP路由修改E1/E2:

① 匹配路由:

[Huawei]ip ip-prefix 2 deny 1.1.1.1 32

② 定义规则:

[Huawei]route-policy Etype deny node 5---定义节点5

[Huawei-route-policy]if-match  ip-prefix 2

[Huawei]route-policy Etype permit  node 10---------定义节点10放行其余流量(隐式拒绝其余流量)

[Huawei-ospf-1]import-route  rip route-policy Etype----引入rip时调用router-policy

1.1.1.1的类型已被修改为类型1

3. policy-based route

two

策略路由,可以直接定义路由的信息,修改路由的出接口。(路由策略也可指定下一跳)

注:策略路由只能使用ACL匹配数据流。

(1)PBR配置:

指定从E0/001接口收到的数据流量源ip为192.168.1.2走192.168.4.2:

[Huawei]acl 2000

[Huawei-acl-basic-2000]rule 5 permit souce 192.168.1.3 0

[Huawei]policy-based-route huawei permit  node 5

[Huawei-policy-based-route-huawei-5]if-match acl 2000

[Huawei-policy-based-route-huawei-5]apply ip-address next-hop 192.168.4.2

[Huawei]inter e0/0/0

[Huawei-Ethernet0/0/0]ip policy-based-route Huawei

注:如果修改本设备发起流量的PBR,在全局模式下使用命令[Huawei]ip local

policy-based-route huawei

1

END

1

为了方便广大网络爱好学习者一起学(聚)习(众)交(搞)流(基),特开设华为干货交流群,里面已经上传大量学习资料,欢迎广大网络工程师进群学习!

点“在看”给我一朵小黄花

(0)

相关推荐

  • 实战干货-现网环境中,路由重分发的标准解决方案

    路由重分发这一技术在现网环境中是一种很常见的技术,所以其地位也非常重要.很多教程在在讲路由重分发的时候,只讲了重分发的操作却没有说现网环境中的一些"讲究".所以,很多学员,包括一些 ...

  • 福利!华为数通设备基础命令大全,文末送书

    优质文章,及时送达 基本配置 Telnet配置 FTP配置 其它配置 路由IP配置 VLAN配置 端口类型配置 Eth-trunk配置 STP配置 STP配置 配置MSTP 查看STP DHCP配置 ...

  • 【思唯网络】路由交换技术

    点个'赞'再走吧~ 01 STP原理总结 Stp(802.1D)普通生成树协议(STP通过阻塞端口来消除环路,并能够实现链路备份的目的) Stp选举过程(所有设备都声明自己为根桥,对比桥协议数据单元中 ...

  • 华为策略工具大全——匹配工具之IP-Prefix

    ACL ACL默认只能匹配路由条目,无法匹配掩码范围,路由前缀采用大于小于的形式来匹配路由,弥补了acl的不足. 前缀列表,它可以将所定义的前缀列表相匹配的路由,根据定义的匹配模式进行过滤.前缀列表中 ...

  • 华为策略工具大全——流策略

    一.traffic-filter 流过滤,用来阻止数据流的通信访问,使用ACL对源数据流进行匹配,可以是基本ACL对源进行匹配,也可以是高级ACL对目标进行匹配. 规则 如果ACL定义的行为为Deny ...

  • 引入测试工具的策略

    做事情就要把他的利益最大化. 当年我看<佣兵天下>的时候,感受最深的就是这句话. 测试过程的改进离不开引入测试工具. 而我们要想使引入测试工具的利益最大化,那么,不管组织的财力是财大气粗还 ...

  • Linux 基于策略的路由

    https://www.cnblogs.com/gaozhengwei/p/7098024.html Linux 基于策略的路由(Linux Policy Routing) Linux 有传统的基于数 ...

  • 暂时放弃硬件,专注软件,或许是华为的一个可选策略

    有人给华为出主意,台积电不代工5nm.7nm的芯片,华为就一直用14nm的芯片,反正只是体积大一点,不也能用. 现在的手机越做越大,动不动就配置6寸以上的屏幕,芯片的制程大一些应该没什么问题吧. 目前 ...

  • 双IE带你全面解读路由策略在实际现网中的应用

    路由策略背景 为满足业务需求和保证数据访问安全性,要求市场部不能访问财务部.研发部,公司总部不能访问研发部 filter-policy 过滤策略,能够对接收或发布的路由进行过滤,可以调用ACL.ip- ...

  • HCIE考试中策略工具的相关问题

    了解学霸学习秘籍 ACL 1.匹配奇数路由器 有路由条目:192.168.1.0.192.168.2.0.192.168.3.0.192.168.4.0.192.168.5.0.192.168.6.0 ...

  • 【2020 NAB】8K内容制作的工具和策略

    该线上研讨由8K协会组织,讨论在分辨率超过4K的超高分辨率影像的价值. RED,IMAX和Frame.io将提供硬件和工作流设计方的观点,而摄影指导 Erik Messerschmidt将提供电影摄影 ...

  • 常用期权策略汇集 期权策略分析工具使用的芝加哥商品交易所CME策略工具QuikStrike Esse...

    期权策略分析工具使用的芝加哥商品交易所CME策略工具QuikStrike Essentials,对象为WTI 原油. 1.买入看涨期权如下图.风险固定,收益理论是无限的.适用于强烈看涨,虚值期权为激进 ...