HCIP-18.2 控制流量的可达性
控制网络流量的可达性
(1)通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性,这种方式成为路由策略。
(2)可使用Traffic-Fileter 、ACL 工具对数据进行过滤,这种方式称为流量过滤。
方案(1):采用路由策略方式
- 可利用Filter-Policy工具对RTA向OSPF引入路由和RTC写入路由进行过滤,首先使用ACL或IP-Prefix List工具来匹配目标流量,然后在协议视图下,利用FIlter-policy向目标流量发布策略。
- 可利用Route-policy工具,在RTA引入直连路由时对路由进行过滤,首先使用ACL或IP-Prefix List工具来匹配目标流量,然后在协议视图下,利用Route-policy对引入的路由条目进行控制。
策略路由的实现分为两个步骤
- 定义规则:首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则,可以在路由信息中的不同属性作为匹配依据进行设置,如目的地址、AS号等。
- 应用规则:根据设置的匹配规则,再将他们应用于路由的发布、接收和引入等过程中。
如下几种过滤器供路由协议引用:
- 访问控制列表
- 地址前缀列表
- AS路径过滤
- 团体属性过滤器
- 扩展团体属性过滤器
- 路由标识属性过滤器
前缀列表的注意事项:不能用于IP报文的过滤
控制流量的可达性方法
(1)路由策略
- route-policy
- filter-policy
注意:filter-policy export针对链路状态协议只对起源于本地的引入的路由信息生效。
(2)流量过滤
- 接口下traffic-filter调用ACL
R1:
ospf 1 router-id 1.1.1.1
area 0
net 1.1.1.0 0.0.0.255
net 10.1.1.0 0.0.0.255
net 10.1.2.0 0.0.0.255
net 12.1.1.0 0.0.0.255
net 13.1.1.0 0.0.0.255
同样的配置OSPF宣告网段,完成R2、R3、R4配置
R4:
import-route direct # 引入直连路由,不宣告
Filter-Policy工具介绍
Filter-Policy能够对接收或发布的路由进行过滤,可应用于ISIS、OSPF、BGP等协议。
对协议接收的路由进行过滤:
filter-policy {acl-number | ip ip-refix name} import
对协议发布的路由进行过滤:
filter-policy {acl-number | ip ip-refix name} export
应用各协议中的Filter-policy工具,可通过引用ACL或地址前缀列表,对接收、发布和引入的路由进行过滤
对于距离矢量协议和链路状态协议,Filter-Policy工具的操作过程是不同的:
- 距离矢量协议是基于路由表生成路由的,因此过滤器会影响从邻居接收的路由和向邻居发布的路由。
- 链路状态路由协议是基于链路状态数据库来生成路由的,且路由信息隐藏在链路状态LSA中,但Filter-Policy不能对发布和接收的LSA进行过滤,故Filter-Policy不影响链路状态通告或链路状态数据库的完整性以及协议路由表,而只会影响本地路由表,目只有通过过滤的路由才被添加到路由表中,没有通过过滤的路由不会被添加进路由表。
- 不同协议应用filter-policy export命令对待发布路由的影响范围不同:
- 对于距离矢量协议,会对引入的路由信息、本协议发现的路由信息进行过滤。
- 对于链路状态协议,只对引入的路由信息进行过滤。
需求:R5上使用Filter-Policy,分部2的PC2无法访问10.1.4.4研发PC4
R5:
acl 2000
rule deny source 10.1.4.0 0.0.0.255
ru per any
#
ospf 1
filter-policy 2000 import
Route-Policy工具介绍
Route-Policy是一种功能强大的路由策略工具,他可以灵活地与ACL、IP-Prefix List、AS-Path-Filter等其他工具配合使用
route-policy route-policy-name {permit|deny} node node
if-match {acl|cost|interface|ip next-hop|ip-prefix}
apply {cost|ip-address next-hop|tag}
Route-policy由若干个Node构成,node之间是【或】关系,且每个node下可以有若干个if-match和apply子句,if-match之间是【与】的关系
- Route-policy的每个node都有相应的permit模式或deny模式,如果是permit模式,则当路由项满足该node所有if-match子句时,就被允许通过node过滤,并执行该node的apply子句,且不再进入下一个node,如果路由项没有满足该node的所有if-match子句,则会进入下一个node继续进行过滤
- 如果是deny模式,则当路由满足该node所有if-match子句时,就会被拒绝通过该node进行过滤,这时apply子句不被执行,并且不进入下一个node,否则就会进入下一个node继续进行过滤。
需求:PC5只能被总部访问
R4:
ip ip-prefix aa deny 10.1.5.0 24 gr 24 le 24
ip ip-prefix aa permit 0.0.0.0 0 le 32
#
route-policy aa permit node 10
if-ma ip-prefix aa
ospf 1
import-route direct route-policy aa
Route-policy应用示例
采用流量过滤方式
本文链接:https://www.orcy.net.cn/4194.html,转载请附上原文出处链接
发表评论