路由政策(routeing policy)的作用是當路由器在釋出、接收和引入路由資訊時,可根據實際組網需求實施一些政策,以便對路由資訊進行過濾或改變路由資訊屬性;如控制路由的釋出,我們可以隻釋出滿足條件的路由資訊;控制路由接收也是同樣的邏輯,隻接收必要、合法的路由資訊,以控制路由表的容量,提高網絡的安全性;過濾和控制引入的路由,我們隻需要在一種路由協定在引入其他路由協定時,隻引入一部分滿足條件的路由資訊,并對引入的路由資訊的某些屬性進行修改,以使其滿足本協定的要求;
前文我們了解了IS-IS路由聚合和認證相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/15306645.html;今天我們來聊一聊路由控制技術中的路由政策相關話題;
為什麼要路由控制?
在企業網絡的裝置通信中,經常面臨一些非法流量通路的安全性及流量路徑不優等問題,為了保證資料通路的安全性、提高鍊路帶寬使用率,我們就需要對網絡中的流量行為進行控制;比如控制網絡流量可達性、調整網絡流量路徑等;
路由控制應用場景
控制網絡流量可達性
提示:如上圖所示,我們可以對路由進行過濾,讓對端隻能學習到我們想要它學習的路由,進而實作控制網絡流量的可達性;
更改路由屬性
提示:如上圖所示,我們可以通過修改路由屬性,來影響路由的選路;比如更改某條路由開銷、給某條路由打标簽等;
路由政策
路由政策(routeing policy)的作用是當路由器在釋出、接收和引入路由資訊時,可根據實際組網需求實施一些政策,以便對路由資訊進行過濾或改變路由資訊屬性;如控制路由的釋出,我們可以隻釋出滿足條件的路由資訊;控制路由接收也是同樣的邏輯,隻接收必要、合法的路由資訊,以控制路由表的容量,提高網絡的安全性;過濾和控制引入的路由,我們隻需要在一種路由協定在引入其他路由協定時,隻引入一部分滿足條件的路由資訊,并對引入的路由資訊的某些屬性進行修改,以使其滿足本協定的要求;
提示:如上如所示,我們想要控制交換機A到相同網絡的路徑都走左邊,我們可以在交換機A上設定不接收右邊的路由;如果我們需要讓交換機到達相同網絡的流量有主備鍊路,可以修改對應路由的開銷,進而實作對流量路徑的影響;
總結:路由政策是指通過一系列工具或方法對路由進行各種控制的“政策”,來影響路由的産生、釋出、選擇,進而影響封包轉發路徑;比如對路由進行過濾,即對應路由要不要做一些政策;修改路由屬性,即将對應路由的某些屬性進行修改至特定的值;不管是對路由的過濾還是修改路由資訊屬性,最終的目的是控制路由的接收、釋出和引入,提高網絡安全性和網絡性能;
路由政策的實作機制
路由政策的核心内容是過濾器,通過使用過濾器,定義一組比對規則,即通過過濾器定義的規則來對應路由資訊分類;對滿足過濾器規則的路由資訊通過政策工具做特定的處理,比如做允許、拒絕或修改屬性等操作;最後通過調用工具将對應的路由政策應用到某些具體的路由協定裡面,使其生效;即隻定義了過濾器和政策工具,如果不調用對應路由政策是不生效的,隻有被調用到具體的路由協定裡面,對應路由政策才會生效;
路由政策各工具之間的調用關系
提示:首先我們需要通過條件工具(過濾器)來定義一組規則;然後通過政策工具調用條件工具來實作路由政策的定義;最後通過調用工具調用路由政策來應用對應的路由政策;當然有些調用工具也可以直接調用條件工具,來實作對應規則生效;比如調用工具filter-policy和peer這兩個工具可以直接調用條件工具,使對應條件工具中定義的規則生效;政策工具route-policy它調用條件工具後,必須要調用工具的調用才能是對應規則生效,如果隻是政策工具調用條件工具,對應條件工具中定義的規則不會生效;
條件工具IP-Prefix List
IP-Prefix List(IP字首清單):它能同時精準比對網絡号和字首長度;性能和可控性比ACL更高;對于ACL來說,它無法比對掩碼和字首長度;但是ip字首清單不能用于資料包過濾,隻能用于路由資訊過濾;
提示:對于ACL來講,我們無法實作将路由引入到OSPF中,隻引入192.168.0.0/16的路由,而字首清單可以;
實驗:如下拓撲,配置ospf,分别使用acl和IP-Prefix 過濾路由資訊
R1的配置
View Code
R2的配置
在R1上配置靜态路由,出接口指向NULL 0口
提示:靜态路由存在于路由表的必要條件是對應路由能有對應的出接口,沒有出接口隻有下一跳,對應靜态路由不會存在于路由表,且對應靜态路由的狀态也是非活動狀态(Inactive);
定義acl比對192.168.0.0/16路由資訊,然後将acl比對到的路由資訊導入ospf,看看對應ospfR2能夠學習到那些路由?
使用route-policy工具調用acl過濾路由資訊
提示:上述指令表示建立一個名為test的路由政策,其中調用過濾器acl 2000中的條件,即滿足過濾器acl2000中定義的規則,則路由政策允許放行;
使用調用工具import-route 調用路由政策test
驗證:檢視R2的路由表,看看對應R1導入的靜态路由,R2學習到了那些?
提示:可以看到對應在R2上還是能夠學習到192.168.0.0/24的路由;這意味着我們使用acl 不能精确比對後面的掩碼長度;
在R1上使用ip prefix過濾路由
使用政策工具route-policy調用條件工具ip-prefix
驗證:再次在R2上檢視路由表,看看現在R2通過ospf學習到那些路由?
提示:可以看到現在R2隻能學習到192.168.0.0/16網絡的路由,對應掩碼為24的網絡路由學習不到,其原因是字首清單中隻允許了掩碼為16的路由通過;
通過上述實驗我們可以看出,ACL不能夠精确比對掩碼長度,而字首清單可以正常比對對應掩碼長度;
IP-Prefix比對流程
提示:字首清單和acl比對流程差不多,都是從上至下依次比對,比對到的路由資訊後,不再比對下一條;如果沒有比對上,繼續下一條規則的比對,直到所有規則都不比對,此時就會走,預設規則;不同之處,acl在作為路由政策調用工具的條件時預設規則是拒絕通過,即所有規則都沒有比對上,預設是拒絕操作;acl作為包過濾工具調用條件時,它的預設規則是允許;而字首清單隻能作為路由政策調用工具調用的條件,不能作為包過濾工具的條件,預設規則是拒絕,即所有規則沒有被比對上,最後都會被預設規則比對,做拒絕操作;
IP-Prefix文法規則
提示:ip位址後面的數字表示比對字首的長度;如果不配置greater-equal 24和 less-equal 28 ,則表示精确比對字首長度和掩碼長度為16;如果隻配置了greater-equal 24,則表示比對掩碼長度為24-32,字首長度為16;如果隻配置了less-equal 28,則表示比對掩碼長度為16-28,字首長度為16;如果同時配置了greater-equal 和less-equal,則表示比對掩碼的長度為後面兩者指定的範圍,字首長度為16;如上圖表示比對掩碼長度為24-28,字首長度為16;即前面的16為必須相同;後面的掩碼必須在指定的範圍之内的網絡才能被比對上;
IP-Prefix特殊通配位址
提示:0.0.0.0 0表示任意位址,字首長度為0,即任意位址,不需要任何一位相同;如果後面不跟大于等于或小于等于掩碼的範圍,則表示之比對預設路由;如果後面跟上小于等于,則表示比對任意長度字首和任意位址,對應掩碼必須是指定的範圍内的掩碼路由;如0.0.0.0 less-equal 32就表示比對所有路由;任意路由都滿足上述條件;如果跟大于等于,則表示比對任意長度字首和任意位址,對應掩碼必須是大于等于指定的長度的掩碼網絡路由;即0.0.0.0 0 greater-equal 表示比對所有主機路由(掩碼長度為32);
作者:Linux-1874
出處:https://www.cnblogs.com/qiuhom-1874/
本文版權歸作者和部落格園共有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連接配接,否則保留追究法律責任的權利.