控制网络流量可达性的常用工具及其使用场景控制方案

文章目录

前言

在企业网络设备通信中，它经常面临诸如非法流量访问的安全性和不良的流量路径之类的问题。因此，为了保证数据访问的安全性和提高链路带宽利用率，有必要控制网络中的流量。行为控制，例如控制网络流量的可达性，调整网络流量的路径等。

面对更复杂和复杂的流量控制要求时，需要灵活使用一些工具来实现这一目标。本课程将主要介绍一些与流控制相关的常用工具和使用场景

控制网络流量的可达性

思考：如何控制网络流量的可达性？

解决方案1：可以通过修改路由条目（即，过滤接收和发布的路由）来控制流量的可达性。这种方法称为路由策略。

解决方案2：可以通过用户制定的策略直接转发，该策略比路由表转发更好。这种方法称为策略路由。

路由策略

路由策略的作用是在路由器发布，接收和导入路由信息时，可以根据实际组网需求实施一些策略，以过滤路由信息或更改路由信息的属性，例如： ：

1）控制路由的分配：仅分配满足条件的路由信息??。

2）控制路由的接收：仅接收必要且合法的路由信息??，以控制路由表的容量并提高网络的安全性。

3）过滤和控制导入的路由：当路由协议导入其他路由协议时，它仅导入满足条件的部分路由信息，并设置导入路由信息的某些属性以使其符合要求。该协议的内容。

4）设置特定路由的属性：为通过路由策略过滤的路由设置相应的属性。

如何应用路由策略

1）过滤策略工具可用于过滤RTA导入OSPF的路由以及RTC写入路由表的路由：

首先使用ACL或IP前缀列表工具来匹配目标流量；

然后在协议视图中，使用过滤器策略将策略发布到目标流量。

2）可以在RTA引入直接路由时使用路由策略工具来过滤路由：

首先使用ACL或IP前缀列表工具来匹配目标流量；

然后在协议视图中，使用Route-Policy控制导入的路由条目。

ACL应用程序

访问控制列表ACL（访问控制列表）是一组由允许或拒绝语句组成的顺序规则。通过匹配数据包的信息对数据包进行分类。

acl 2001   //创建ACL编号2001
rule 0 permit source 1.1.0.0  0.0.255.255 	//匹配规则permit(通过)/deny（拒绝）,通过1.1.0.0/16

ACL分类：

基本ACL：主要根据源地址，分片标记和时间段信息对数据包进行分类和定义，数量范围为2000-2999。

高级ACL：可以根据源地址，目标地址，源端口号，目标端口号，协议类型，优先级，时间段和其他信息对数据包进行更详细的分类和定义。号码范围是3000-3999。

第2层ACL：根据信息（例如源MAC地址，目标MAC地址和消息类型）分类和定义数据包。号码范围是4000-4999。

用户自定义ACL：主要根据用户自定义规则处理数据包，编号范围为5000-5999。

一个ACL可以包含多个“拒绝|允许”语句，每个语句都描述一个规则。设备收到数据流量后，将一一匹配ACL规则以查看它们是否匹配。如果不匹配，请继续匹配下一个。找到匹配的规则后，将执行该规则中定义的操作，并且不会与后续规则进行进一步的匹配；如果找不到匹配的规则，则设备将直接转发数据包。

应注意，ACL中定义的这些规则可能有重复或矛盾。规则的匹配顺序确定规则的优先级。 ACL设置规则的优先级以处理规则之间的重复或矛盾。

ACL可以灵活地匹配IP地址的前缀，但是不能匹配掩码长度。例如，1. 1. 1. 0/24与1. 1. 1. 0/25不同。无法匹配过滤器。

IP前缀列表应用

地址前缀列表是IP前缀列表。通过地址前缀列表，可以根据定义的匹配方式对匹配定义的前缀过滤列表的路由进行过滤，以满足用户的需求。

[SW1]ip ip-prefix key permit 1.1.1.0 24

此24表示ip地址的前24位是固定的。由于以后没有掩码参数，所以这个24还表示前缀的掩码长度也是24位，即只能匹配一个。路线为1. 1. 1. 0/24

[SW1] ip ip-prefix key permit 192.168.1.0 24 greater-equal 25 less-equal 32 

此24表示ip地址的前24位是固定的，并且后掩码的范围在25到32之间以匹配，但是不能匹配到19 2. 16 8. 1. 0 / 24，因为掩码中的位数在25到32之间。

“过滤器策略”工具简介

在每个协议中应用过滤器策略工具，以通过引用ACL或地址前缀列表来过滤接收，发布和导入的路由。对于距离矢量协议和链接状态协议，Filter-Policy工具的操作过程不同。

 filter-policy { acl-number | ip-prefix ip-prefix-name } import  	//对接收路由信息过滤
 filter-policy { acl-number | ip-prefix ip-prefix-name } export		//对应引入路由信息过滤

对于距离矢量协议：路由是根据路由表生成的，因此过滤器将影响从邻居收到的路由以及发布给邻居的路由。

RIP协议中的实践演示

在导入方向上调用filter-policy时，它会影响自己的路由表的更改，而邻居设备也会影响它。

在导出方向上调用filter-policy时，它不会影响自己的路由表的更改，而邻居设备也会影响它。

链接状态协议：仅过滤导入的路由信息??，而不会影响链接通知，链接状态的完整性和协议路由，仅影响本地路由。

OSPF协议中的实际演示

因为OSPF是链路状态路由协议，传输是LSA信息，并且您的filter-policy过滤了路由信息，所以您可以在R3路由表中为同一ospf区域了解完整的条目。

因为R2是ABR路由器。 OSPF是整个区域中的链路状态路由协议，也是区域之间的距离矢量路由协议。因此，可以在R2的导入方向上执行过滤。因此，R3上没有奇数编号的路由条目（不能在R2中导出）。按上面的方向过滤）

路由策略工具介绍

Route-Policy是一个非常强大的路由策略工具，可以与其他工具（如ACL，IP前缀列表，As-Path-Filter等）灵活使用。

route-policy route-policy-name { permit | deny } node node
  if-match {acl/cost/interface/ip next-hop/ip-prefix}
  apply {cost/ip-address next-hop/tag}  	//类似if语句

Route-Policy的每个节点都有对应的允许模式或拒绝模式。如果处于允许模式，则当路由项满足节点的所有if-match子句时，将允许其通过节点的过滤并执行该节点的apply子句，并且不再进入下一个节点；如果路由项不满足，则如果节点的所有if-match子句均得到满足，它将进入下一个节点以继续进行过滤。如果处于拒绝模式，则当路由项满足节点的所有if-match子句时，将拒绝该路由项以通过节点的过滤。此时，apply子句将不会执行，并且下一个节点将不会输入；否则，它将进入“下一个节点继续过滤”。

思考：

Pref1用于匹配5. 5. 5. 5/32或1. 1. 2. 0/24，它们将被路由策略RP的节点10过滤掉（拒绝） ，因此在表2中看不到5. 5. 5. 5/32和1. 1. 2. 0/24。

Pref2用于过滤6. 6. 6. 6/32（拒绝），因此即使允许路由策略RP的节点20，6. 6. 6. 6/32也会过滤仍然被过滤。因此，在表2中看不到6. 6. 6. 6/32。

路由策略RP的节点30分别为ACL 2001和ACL 2002定义了两个if-match语句。匹配ACL 2001的路由为1. 1. 3. 0/24（下一跳为3 4. 3 4. 3 4. 2），1. 1. 3. 0 / 24（下一跳是1 3. 1 3. 1 3. 1），1. 1. 3. 0/25（下一跳是3 4. 3 4. 3 4. 2），1. 1. 3. 0/25（下一跳是1 3. 1 3. 1 3. 1），并且与ACL 2002匹配的路由具有1. 1. 3. 0/24（下一跳是1 3. 1 3. 1 3. 1）和1. 1. 3. 0/25（下一跳是1 3. 1 3. 1 3. 1）。因此，1. 1. 3. 0/24（下一跳是1 3. 1 3. 1 3. 1）和1. 1. 3. 0/25（下一跳的开销为1 3. 1 3. 1 3. 1）修改为21。

1. 1. 3. 0/24（下一跳是3 4. 3 4. 3 4. 2）和1. 1. 3. 0/25（下图）一跳是3 4. 3 4. 3 4. 2），并继续尝试通过路由策略RP的节点40。由于1. 1. 3. 0/25满足Pref3，所以1. 1. 3. 0/25（下一跳的开销为3 4. 3 4. 3 4. 2）修改为11。

最后，1. 1. 3. 0/24（下一跳是3 4. 3 4. 3 4. 2）经过路由策略RP的节点50。

示例：

如图所示：RTC设备配置禁止与1 0. 1. 1. 0 24网段中的设备通信，而RTA禁止与1 0. 1. 1. 2.中的设备通信] 0网段。

RTA也可以使用route-policy工具实现，配置要求如下：

acl 2000
	rule 0 permit source 10.1.1.0 0.0.0.255
	rule 5 permit source 10.1.3.0 0.0.0.255
route-policy huawei-control permit node 10 if-match acl 2000
ospf 1
	import-route direct route-policy huawei-control

策略路由

传统路由策略不具有负载分担，而策略路由具有负载分担以提高带宽利用率。策略路由策略路由分为三种类型：

本地策略路由：当用户需要以不同方式发送具有不同源地址的消息或具有不同长度的消息时，可以配置本地策略路由，这可以通过常用的基于策略的路由工具来实现。

智能策略路由：根据链路质量信息为服务数据流选择最佳链路。当用户需要为不同的服务选择不同质量的链路时，可以配置智能策略路由。常用的智能策略路由工具。

接口策略路由：当用户需要通过特定的下一跳地址转发某些接收到的数据包时，需要配置接口策略路由。符合重定向规则的报文通过特定的下一跳出口转发，不符合重定向规则的报文根据路由表直接转发。接口策略路由主要用于负载共享和安全监视。常用的流量策略工具来实现。

基于自定义策略的实现：使用流量过滤器工具过滤数据

经过测试，在设置策略路由后，RTC的路由表仍然具有整个网络的路由，营销部门无法访问财务部门和研发部门，其他部门仍可以正常访问它。同样，RTD路由表也包含整个网络的路由，公司总部无法访问研发部门，而其他仍然可以正常访问。

使用流量政策工具

[RTA]acl 3000
  rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control1
 if-match acl 3000
traffic behavior huawei-control1
 redirect ip-nexthop 12.1.1.2
traffic policy huawei-control1
 classifier huawei-control1 behavior huawei-control1
int g0/0/2
 traffic-policy huawei-control1 inbound

[RTA]acl 3001	
 rule 5 permit ip source 10.1.2.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control2
 if-match acl 3001
traffic behavior huawei-control2
 redirect ip-nexthop 12.1.3.2
traffic policy huawei-control2 
 classifier huawei-control2 behavior huawei-control2
int g4/0/0
 traffic-policy huawei-control2 inbound

路由策略和策略路由之间的区别

路由策略

策略路由

基于控制平面，它将影响路由表条目

基于转发平面，它将不会影响路由表条目，并且当设备接收到数据包时，它将查找用于匹配和转发的策略路由。如果匹配失败，路由表将再次转发

只能根据目的地址制定策略

可以根据源地址，目标地址，协议类型，消息大小等来制定。

与路由协议结合

需要手动配置逐跳，以确保根据策略转发数据包

常用工具：路由策略，过滤器策略等。

常用工具：流量过滤，流量策略，基于策略的路由等。

路由器中有两种类型的表：一种是路由表，另一种是转发表。转发表是从路由表映射的。策略路由直接作用于转发表。路由策略直接作用于路由表。由于转发位于底层，而路由位于顶层，因此直接作用于转发表的转发优先级高于查找路由表的转发优先级。

路由发现策略中使用路由策略，根据某些规则，使用某种策略影响路由通告，接收或路由选择的参数，从而改变路由发现的结果，最终改变路由的内容。路由表；路由在转发数据包时生效，并且不会更改路由表中的任何内容。它会通过设置的规则影响数据包的转发。

复杂的多协议场景（路由导入）

问题1：这将导致次优路径

1）使用路由控制可以避免路径欠佳

2）调整协议优先级以避免次优路由

问题2：路由循环

1）使用路由过滤来避免路由循环

2）调整协议优先级以避免路由循环

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-371996-1.html