10路由控制-前缀列表
10路由控制-前缀列表
标签(空格分隔):HCIP
01路由过滤实施
02修改路由属性
03路由实施
04路由控制
05对流量行为的控制需求分析
06控制网络流量可达性
07调整网络流量路径-单协议简单场景
路由策略
定义: 通过一系列工具或方法对路由进行各种控制的"策略"
影响路由的产生,发布,选择等,进而影响报文的转发路径
目的:
| 作用 | 结果 |
|---|---|
| 对路由进行过滤 | 要不要这条路由? |
| 修改路由属性 | 将这条路由的某个属性值修改为一个特定值 |
08路由策略目的
作用:
- 控制路由的接收,发布和引入,提高网络安全性
- 修改路由属性,对网络数据流量进行合理规划,提高网络性能
实现机制:路由策略的核心内容是过滤器,通过使用过滤器,定义一组匹配规则
| 过滤器 | 应用范围 |
|---|---|
| 访问控制列表ACL | 各动态路由协议 |
| 地址前缀列表IP-prefix list | 各动态路由协议 |
| AS路径过滤器AS-Path-Filter | BGP协议 |
| 团体属性过滤器Community-Filter | BGP协议 |
| 扩展团体属性过滤器Extcommunity-Filter | v*n/bgp |
| RD属性过滤器Route Distinguisher-Filter | v*n/bgp |
| 路由策略 Route-Policy | 各动态路由协议 |
mpls v*n
Route-Policy可以使用前面6种过滤器定义自己的匹配规则,不仅可以匹配路由属性,还可以改变路由属性
09路由策略各工具之间的调用关系
| 类型 | 备注 |
|---|---|
| 条件工具 | 把需要的路由"抓取"出来 |
| 策略工具 | 把"抓取"出来的路由执行某个动作,如:允许,拒绝,修改属性等 |
| 调用工具 | 将路由策略应用到某个具体的路由协议里,使其生效 |
IP-Prefix List
能同时精确匹配网络号和前缀长度
- 性能及可控性比ACL更高(ACL无法匹配掩码/前缀长度)
- 前缀列表不能用于数据包的过滤
10前缀列表
小技巧–不接设备产生静态路由
无下一跳的静态路由无法写入路由表,此时使用NULL 0 黑洞接口
ip route-static 192.168.0.0 24 NULL 0
黑洞接口 丢弃此数据包 可以被写进路由表
11静态路由小技巧
acl 2000
rule permit source 192.168.0.0 0.0.255.255
ospf 1
filter-policy 2000 export
无法过滤 16 和 24 掩码的路由
12acl调用无法过滤需求的子网掩码
ip ip-prefix flipped permit 192.168.0.0 16
ospf 1
filter-policy ip-prefix flipped export
13前缀列表调用过滤子网掩码
14前缀匹配列表规则
地址前缀列表过滤路由的原则总结为:顺序匹配、唯一匹配、默认拒绝。
15前缀列表编写规则
| 语法规则 | 说明 |
|---|---|
| 不配置greater-equal和less-equal | 前缀长度=16 |
| 只配置greater-equal | 前缀长度=24~32 |
| 只配置less-equal | 前缀长度=16~28 |
| 同时配置greater-equal和less-equal | 前缀长度=24~28 |
IP地址前16位要和规则相同, 同时匹配掩码长度
匹配所有路由
permit 0.0.0.0 0 less 32
16前缀列表匹配案例
17前缀列表的特殊匹配
18匹配路由题
permit 192.168.4.0 24
permit 192.168.5.0 24
permit 192.168.6.0 24
permit 192.168.7.0 24
permit 192.168.4.0 22 greater-equal 24 less-equal 24
能同时精确匹配网络号和前缀长度
前言
在企业网络的设备通信中,常面临一些非法流量访问的安全性及流量路径不优等问题,故为保证数据访问的安全性,提高链路带宽利用率,就需要对网络中的流量行为进行控制,如控制网络流量可达性,调整网络流量路径等
而当面对更加复杂,精细的流量控制需求时,就需要灵活地使用一些工具来实现.介绍一些有关流量控制的常用工具及使用场景