HCIP-18.2 控制流量的可达性

数通

控制网络流量的可达性

(1)通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性,这种方式成为路由策略

(2)可使用Traffic-Fileter 、ACL 工具对数据进行过滤,这种方式称为流量过滤

6.24-105

方案(1):采用路由策略方式

6.24-106

  • 可利用Filter-Policy工具对RTA向OSPF引入路由和RTC写入路由进行过滤,首先使用ACL或IP-Prefix List工具来匹配目标流量,然后在协议视图下,利用FIlter-policy向目标流量发布策略。
  • 可利用Route-policy工具,在RTA引入直连路由时对路由进行过滤,首先使用ACL或IP-Prefix List工具来匹配目标流量,然后在协议视图下,利用Route-policy对引入的路由条目进行控制。

策略路由的实现分为两个步骤

  1. 定义规则:首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则,可以在路由信息中的不同属性作为匹配依据进行设置,如目的地址、AS号等。
  2. 应用规则:根据设置的匹配规则,再将他们应用于路由的发布、接收和引入等过程中。

如下几种过滤器供路由协议引用:

  • 访问控制列表
  • 地址前缀列表
  • AS路径过滤
  • 团体属性过滤器
  • 扩展团体属性过滤器
  • 路由标识属性过滤器

前缀列表的注意事项:不能用于IP报文的过滤

image-20241025171647399

控制流量的可达性方法

(1)路由策略

  • route-policy
  • filter-policy

注意:filter-policy export针对链路状态协议只对起源于本地的引入的路由信息生效。

(2)流量过滤

  • 接口下traffic-filter调用ACL

R1:

ospf 1 router-id 1.1.1.1
 area 0
  net 1.1.1.0 0.0.0.255
  net 10.1.1.0 0.0.0.255
  net 10.1.2.0 0.0.0.255
  net 12.1.1.0 0.0.0.255
  net 13.1.1.0 0.0.0.255

同样的配置OSPF宣告网段,完成R2、R3、R4配置

R4:

import-route direct   # 引入直连路由,不宣告

6.26-101

Filter-Policy工具介绍

Filter-Policy能够对接收或发布的路由进行过滤,可应用于ISIS、OSPF、BGP等协议。

对协议接收的路由进行过滤:

filter-policy {acl-number | ip ip-refix name} import

对协议发布的路由进行过滤:

filter-policy {acl-number | ip ip-refix name} export

应用各协议中的Filter-policy工具,可通过引用ACL或地址前缀列表,对接收、发布和引入的路由进行过滤

对于距离矢量协议和链路状态协议,Filter-Policy工具的操作过程是不同的:

  • 距离矢量协议是基于路由表生成路由的,因此过滤器会影响从邻居接收的路由和向邻居发布的路由。
  • 链路状态路由协议是基于链路状态数据库来生成路由的,且路由信息隐藏在链路状态LSA中,但Filter-Policy不能对发布和接收的LSA进行过滤,故Filter-Policy不影响链路状态通告或链路状态数据库的完整性以及协议路由表,而只会影响本地路由表,目只有通过过滤的路由才被添加到路由表中,没有通过过滤的路由不会被添加进路由表。
  • 不同协议应用filter-policy export命令对待发布路由的影响范围不同:
    • 对于距离矢量协议,会对引入的路由信息、本协议发现的路由信息进行过滤。
    • 对于链路状态协议,只对引入的路由信息进行过滤。

需求:R5上使用Filter-Policy,分部2的PC2无法访问10.1.4.4研发PC4

R5:

acl 2000
 rule deny source 10.1.4.0 0.0.0.255
 ru per any
 #
ospf 1 
 filter-policy 2000 import

Route-Policy工具介绍

Route-Policy是一种功能强大的路由策略工具,他可以灵活地与ACL、IP-Prefix List、AS-Path-Filter等其他工具配合使用

route-policy route-policy-name {permit|deny} node node
 if-match {acl|cost|interface|ip next-hop|ip-prefix}
 apply {cost|ip-address next-hop|tag}

Route-policy由若干个Node构成,node之间是【或】关系,且每个node下可以有若干个if-match和apply子句,if-match之间是【与】的关系

  • Route-policy的每个node都有相应的permit模式或deny模式,如果是permit模式,则当路由项满足该node所有if-match子句时,就被允许通过node过滤,并执行该node的apply子句,且不再进入下一个node,如果路由项没有满足该node的所有if-match子句,则会进入下一个node继续进行过滤
  • 如果是deny模式,则当路由满足该node所有if-match子句时,就会被拒绝通过该node进行过滤,这时apply子句不被执行,并且不进入下一个node,否则就会进入下一个node继续进行过滤。

需求:PC5只能被总部访问

R4:

ip ip-prefix aa deny 10.1.5.0 24 gr 24 le 24
ip ip-prefix aa permit 0.0.0.0 0 le 32
#

route-policy aa permit node 10
 if-ma ip-prefix aa

ospf 1
 import-route direct route-policy aa

Route-policy应用示例

6.27-101

6.27-102

采用流量过滤方式

6.27-103

本文链接:https://www.orcy.net.cn/4194.html,转载请附上原文出处链接

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注