利用路由策略过滤路由

合集下载

路由策略与策略路由的具体应用

路由策略与策略路由的具体应用
12 改 变控 制方 式 .
所谓 的改变控制 方式就是使用路 由器 的过滤策 略, 通过 路 由策 略对符合 某点 规则 的路由进行一些操 作 , 如最常用 例
到 的允 许 ( e t和 拒 绝 ( ey 操 作 , 次 在 允 许 的基 础 上 pr ) mi dn ) 其
下介绍 。
l 路 由策 略
不仅能够根据 目的地址 , 而且能够根据报 文大小、 用或 , 应 P源地址 来选择转发路径。
麓; 囊 晦瑟 路由 略 策 路 囊 策 略 由
Ab ta t Ro t g p l y i r u i g r c ii g a d p b ihn ,t e sr tg s t h n e t e u e o et i s r c u i o i s o t e ev n n u l i g h t e y i o c a g h s f c ran n c n s a r l s ,f c ig o o t g p b ih n ,r c i ig o o t g p r mee s t h n e t e fu d r s l .P l y r u ig u e ef t n r u i u l i g e ev n rr u i a a tr o c a g h o n e u t e n n s n s o i o t c n fr te e p n in a d i r v me t f t d t n lr u ig tc n l ge ,t e r u ig p l y b s d o h s r o h x a so n mp o e n r i o a o t e h oo is h o t o i a e n te u e moe o a i n n c l il h n ta i o a o t f xb e t a rd t n lr u ig,n to l o t e d si ain a d e sb tt e p c e ie p l ai n o o r e P e i n o ny t h e t t d r s u h a k tsz ,a p i t rs u c s I n o c o a d e s t e e t rn mi e r i 、 d rs o s l c a s t d t l t t as Ke wo d Ro t go iy P l y r u ig y rs u i l oi o t n c c n

策略路由,路由策略

策略路由,路由策略

策略路由,路由策略前⾔:在企业⽹络中,常⾯临⾮法流量访问及流量路径不优的问题,为了保护数据访问的安全性、提⾼链路带宽的利⽤率,需要对⽹络中的流量⾏为控制,如控制⽹络流量可达性,调整⽹络流量路径。

如何控制流量可达性? ⽅案⼀:对接收和发布的路由进⾏过滤来控制可达性,路由策略 ⽅案⼆:使⽤Traffic-filter⼯具对数据进⾏过滤,流量过滤 什么是路由策略? 通过⼀系列的⼯具或者⽅式对路由进⾏各种控制的策略,这个策略可以影响路由的产⽣,发布和选择等,进⽽影响报⽂的转发路径 在ip⽹络中,路由策略的⽤途主要有两个⽅⾯:对路由信息过滤和修改路由属性。

如图,如果使⽤流量过滤,使市场部的流量不能访问财务部。

会有极⼤的局限性,若是在RTA上做traffic-filter,流量会经过RTC RTB再在RTA上被过滤极⼤的浪费链路带宽。

若在RTC⼊⼝做traffic-filter,可能RTC不是由你进⾏管理的。

⽽且流量过滤针对每⼀个报⽂进⾏过滤,极⼤的浪费设备性能,所以建议使⽤路由策略来进⾏对流量的可达性进⾏控制。

 路由策略使⽤的⼯具: 条件⼯具:把路由匹配出来,acl ip-prefix 策略⼯具:匹配抓取的路由,执⾏各种各样的策略。

router-policy 调⽤⼯具:把策略应⽤到某个具体的协议中。

filter-policy import-route配置思路:配置filter-policy不让192.168.1.0路由发出给到AR1[AR2-rip-1]filter-policy 2000 export -----对所有接⼝发出的路由做过滤[AR2-rip-1]ACL 2000[AR2-acl-basic-2000]rule PER S 192.168.2.0 0 filter-policy 2000 export static import-route static 对引⼊的静态路由实现过滤,本地不存在LSDB 当过滤本地接⼝的路由时 filter-policy 2000 export 针对链路状态路由协议⽆效,链路状态路由协议发送的是LSA filter-policy 2000 import 针对链路状态协议有效,不过是在加表实现过滤,本地LSDB中依旧有此链路状态ACL的局限性?ACL只能抓取路由的前缀,不关⼼掩码信息,如果两条路由拥有相同的前缀,ACL⽆法分别抓取前缀列表的优势?相⽐ACL来说既能匹配前缀也能抓取掩码,前缀列表不能⽤于流量过滤。

路由策略与策略路由要点

路由策略与策略路由要点



set metric [+|-]<metric-value>
set metric-type { internal | external | type-1 | type-2 } set origin { igp | egp | incomplete } set tag <tag-value>
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
内部公开▲ 内部公开▲
学习内容
• 第一章 路由策略
第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
路由策略的定义方法(1)

内部公开▲

OSPF路由过滤器(filter)
仅针对OSPF协议,用于过滤Type-5、Type-7 LSA

OSPF区域过滤列表(area filter-list)
仅针对OSPF协议区域间路由过滤,过滤Type-3 LSA
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map
内部公开▲
AS100
B路由器需要对A路由器发布的路由进行选 择,只接收20.1.1.1/32网段的路由,屏蔽 30.1.1.1/32网段的路由
20.1100域内产生的路 由,其他路由条目出于安全考虑,需要对 B屏蔽
10.1.1.2/30
20.1.1.2/30
用路由策略解决这些问题
问题一解决方案:
内部公开▲
AS100
Lo0:30.1.1.1/32 Lo1:20.1.1.1/32 10.1.1.1/30 10.1.1.2/30

策略路由和路由策略原理-整理

策略路由和路由策略原理-整理
R
Interface GE11/1/0 GE11/1/0 Ethernet12/2/0 Ethernet12/2/0.200 InLoopBack0 GE11/1/0
RTB PC1 RTA RTC PC2 RTD
策略路由的引入
普通路由转发基于路由表进行报文的转发: 路由表的建立 直联路由 静态配置路由条目; 动态路由协议学习生成; 对于同一目的网段,可能存在多条distance不等的路由条目
有报文都匹配,根据permit/deny执行相应的操作,不再继 续往下匹配。但是策略路由的统计数字改变。
4、如果匹配项中使用的acl根本不存在,则缺省是不匹配任何
Page 22
报文。
5、当直接出接口指定为本地的以太网接口、子接口、
Virtual-Template接口时,虽然从指定接口转发,但不能正
通过设置IP Precedence或Tos来实现QOS。 实现负载均衡。

策略路由的分类
1、按报文分类:分为单播策略路由(针对单播报文进 行控制)和组播策略路由(只对组播报文进行控制)。
我是单播策略,单播 报文听我指挥,该报 文从接口e0/0转发
RTB RTE
单播报文 组播报文
RTA
我是组播策略,组播 报文听我指挥,该报 文从接口e1/0和s0/0 转发
直连路由:路由器接口所连接的子网的路由方式称为直连路由; 非直连路由:通过路由协议从别的路由器学到的路由称为非直连路由;分 为静态路由和动态路由; 直连路由是由链路层协议发现的,一般指去往路 由器的接口地址所在网段的路径,该路径信息不需要网络管理员维护,也 不需要路由器通过某种算法进行计算获得,只要该接口处于活动状态 (Active),路由器就会把通向该网段的路由信息填写到路由表中去,直连路 由无法使路由器获取与其不直接相连的路由信息。

路由策略及路由协议组网应用

路由策略及路由协议组网应用
宇信机密, 宇信机密,未经许可不得扩散
过滤的工具
访问控制列表( 访问控制列表(续)
有两种匹配顺序:
配置顺序
配置顺序,是指按照用户配置ACL的规则的 先后进行匹配
自动排序
自动排序使用“深度优先”的原则 “深度优先”规则是把指定范围最小的语句 排在最前面
宇信机密, 宇信机密,未经许可不得扩散

过滤的工具
ACL举例 ACL举例
过滤的工具
前缀列表举例
只允许10.0.0.0/8网段内,掩码长度在17 到18之间的路由通过 通过前缀列表: ip ip-prefix p1 permit 10.0.0.0 8 greaterequal 17 less-equal 18
宇信机密, 宇信机密,未经许可不得扩散


句号
星号
. *
+ ?
加号 问号
加字符 美元符 下划线 方括号
^ $
_ [范围] -
连字符 宇信机密, 宇信机密,未经许可不得扩散
过滤的工具
团体列表
团体列表用来根据团体属性表示和过滤 BGP路由 团体列表有基本的和高级的两种
基本团体列表用来匹配实际的团体属性值 和常量
路由策略 路由协议组网应用
数据通信技术支持部
宇信机密, 宇信机密,未经许可不得扩散
第1章 路由策略原理 第2章 策略路由原理
宇信机密, 宇信机密,未经许可不得扩散

概述
课程内容
路由策略基本知识 OSPF路由策略 一般使用方法及配置 ISIS路由策略 一般使用方法及配置 BGP路由策略 一般使用方法及配置 各协议大型组网应用及案例

过滤的工具
前缀列表
前缀列表用来过滤IP前缀,能同时匹配前缀号和前缀长度 前缀列表的性能比访问控制列表高 前缀列表不能用于数据包的过滤 ip ip-prefix ip-prefix-name [ index index-number ] { permit | deny } ip-address mask-length [ greater-equal greater-equalvalue ] [ less-equal less-equal-value ] ip-address:指定IP地址、mask-length:掩码长度。 greater-equal greater-equal-value | less-equal less-equalvalue:如果IP地址和掩码长度都已匹配,则使用该参数来指定地址前缀 范围。greater-equal的意思是“大于等于”;less-equal的意思是 “小于等于”。长度范围可以表达为mask-length <= greater-equalvalue <= less-equal-value <= 32。如果只指定了greater-equal, 宇信机密, 宇信机密,未经许可不得扩散 前缀范围为[greater-equal-value,32];如果只指定了less-equal, 前缀范围为[mask-length,less-equal-value]。

如何在路由器上设置IP地址过滤

如何在路由器上设置IP地址过滤

如何在路由器上设置IP地址过滤在路由器上设置IP地址过滤是一种有效的网络安全措施,可以帮助用户过滤不信任的IP地址,并保护家庭网络免受潜在的网络攻击。

本文将介绍如何在路由器上设置IP地址过滤,帮助读者加强网络安全。

一、为什么需要设置IP地址过滤在互联网时代,网络安全问题变得越来越重要。

恶意攻击者可能会利用漏洞或不安全的IP地址对网络进行入侵,从而导致用户的个人信息泄露、网络服务中断或数据丢失等问题。

为了避免这些安全风险,我们需要采取措施来限制和过滤不信任的IP地址。

二、IP地址过滤的工作原理IP地址过滤是基于路由器的访问控制列表(ACL)功能实现的。

当数据包通过路由器时,路由器将根据事先设定的规则判断数据包的源IP地址和目标IP地址是否符合过滤条件。

如果符合过滤条件,则根据设定的策略进行处理,例如允许通过或拒绝传输。

三、设置IP地址过滤步骤1. 登录路由器管理界面首先,打开浏览器,在地址栏中输入路由器的管理IP地址,并按下回车键。

然后,输入正确的用户名和密码,登录路由器的管理界面。

2. 导航到IP地址过滤设置页面在路由器管理界面中,根据不同的路由器型号和品牌,导航到相应的设置页面。

通常,可以在“设置”或“安全”等菜单中找到“IP地址过滤”或“访问控制列表”选项。

3. 创建IP地址过滤规则在IP地址过滤设置页面,点击“添加新规则”或类似的按钮,进入创建IP地址过滤规则的界面。

根据实际需求,填写相应的规则名称、起始IP地址和结束IP地址等信息。

4. 配置过滤策略在创建IP地址过滤规则时,可以设置过滤策略,包括允许通过或拒绝传输。

根据实际情况,选择适当的策略,并保存设置。

5. 启用IP地址过滤在完成IP地址过滤规则的设置后,确保启用了过滤功能。

某些路由器可能需要手动启用过滤功能,通过勾选“启用”或类似的选项来实现。

6. 保存设置并重启路由器在设置完成后,点击“保存”或类似的按钮,保存设置。

有些路由器需要重启才能使设置生效,这时可以通过点击“重启”或类似的选项来完成重启操作。

重分布和策略路由

重分布和策略路由

一、实验拓扑图:AucklandSanJose3Singapore 192.168.224.1/30S1/2192.168.240.2/30S1/2 S1/0192.168.224.2/30S1/1192.168.240.1/30 Engineers Lo0 192.168.232.1/24T1 1.544Mbps19.2Kpbs RIP v2Managers Lo1 192.168.236.1/24Lo0 192.168.5.1/24二、实验目的1、在实验中应用到高级路由功能来操作路由更新,这些特性包括分发列表,默认路由,被动接口和路由重分布。

2、掌握高级路由特性来控制路由更新。

三、实验要求1、公司的SanJose3和Singapore 之间的网络使用的RIPV2动态路由协议。

2、在SanJose3上面连接了一个stub network 192.168.5.1/24,为了减少流量,过滤RIPv2更新流量在整个192.168.5.1/24网络发送。

3、在Singapore 有Engineers 和Managers 部门,Managers 网络并不想被SanJose3所学习到。

4、有一条非常慢的19.2Kpbs 的链路连接Singapore 和Auckland ,为了减少这条链路的 流量,我们要禁止动态路由更新通过这条链路5、在满足上述条件的情况下,实现全网互通。

四、实验步骤1、按照拓扑图中IP ,配置好路由器接口的 IP 地址,但是不要配置RIPv2协议,使用CDP 协议检测相邻设备的连通性。

配置如下:Router(config)#hostname SanJose3SanJose3(config)#line c 0SanJose3(config-line)#exec-timeout 0 0SanJose3(config-line)#logging synchronousSanJose3(config)#no ip domain-lookupSanJose3(config)#interface s1/2SanJose3(config-if)#ip address 192.168.224.1 255.255.255.252SanJose3(config-if)#no shutdownSanJose3(config)#interface loopback 0SanJose3(config-if)#ip address 192.168.5.1 255.255.255.0Router(config)#hostname AucklandAuckland (config)#interface s1/2Auckland (config-if)#ip address 192.168.240.2 255.255.255.252Auckland (config-if)#no shutdownAuckland (config)#interface loopback 0Auckland (config-if)#ip address 192.168.248.1 255.255.255.0Router(config)#hostname SingaporeSingapore(config)#interface loopback 0Singapore(config-if)#ip address 192.168.232.1 255.255.255.0Singapore(config-if)#description EngineersSingapore(config)#interface loopback 1Singapore(config-if)#ip address 192.168.236.1 255.255.255.0Singapore(config-if)#description ManagerSingapore(config)#interface s1/0Singapore(config-if)#ip address 192.168.224.2 255.255.255.252Singapore(config-if)#no shutdownSingapore(config)#interface s1/1Singapore(config-if)#ip address 192.168.240.1 255.255.255.252Singapore(config-if)#no shutdown配置完成后使用CDP 协议检查相邻设备的连通性,如下2、在SanJose3上,配置RIPv2协议通告物理直连的网络,配置如下:SanJose3(config)#router ripSanJose3(config-router)#version 2SanJose3(config-router)#network 192.168.224.0SanJose3(config-router)#network 192.168.5.0因为192.158.5.0是一个stub network,这个网络里没有路由器或者主机需要RIPv2协议的更新。

路由策略和路由的引入

路由策略和路由的引入

路由策略和路由的引入一、路由引入1、路由引入的原因:(1)路由信息共享(2)不同AS运行不同路由协议的路由器之间为了获得对方的路由信息必须在起边界网关作用的路由上引入路由。

(3)路由引入使支持不同路由协议的路由器在网络中协同工作成为可能。

二、路由策略1、路由策略的作用:(1)是路由协议过滤路由信息的手段(2)可以使路由协议向外发布路由信息时只发布部分信息。

(3)可以使路由协议接受路由信息时只接收部分信息(4)可以使路由协议在进行路由引入时引入部分满足特定的条件的信息(5)可以设置路由协议引入的路由属性2、路由策略配置任务列表:(1)定义地址前缀列表(也可以定义访问列表)(2)地址前缀列表的监控和维护(3)定义路由映像(route-map)(4)定义路由映像的match子句(5)定义路由映像的set子句(6)路由映像的监控和维护(7)引入其他路由协议路由信息(8)路由接收时的过滤(9)路由发布时的过滤路由协议路由策略的配置可以分为:过滤列表的定义,过滤列表的应用两部分;过滤列表的应用实际上是一个策略规则的定义过程,通过对过滤列表的引用以实现路由过滤的功能。

3、路由策略的过滤列表的制定:(1)访问列表(access-list)(2)地址前缀列表(ip prefix-list)(3)路由映像(route-map)路由策略的过滤列表共有三种,通常定义一条策略等同于定义一组过滤列表,并在接收、发布一条路由信息或在不同协议间进行路由信息交换前应用这些过滤列表。

--4、Access-list在路由策略中的应用访问列表分为标准型和扩展型的访问列表,应用于路由信息的过滤时,一般使用标准型的访问列表,用户在定义访问列表时指定一个IP地址的网段范围用于匹配路由信息的目的网段地址或者下一跳地址。

5、ip perfix-list的配置任务(1)定义地址前缀列表(2)删除地址前缀列表(3)应用地址前缀列表Ip prefix-list是过滤列表的一种,它的作用类似于access-list,当用于路由信息过滤时,其匹配对象为路由信息的目的地址信息域或下一跳域,他的另一种-应用直接作用于路由器对象(gateway),使本地路由协议只能接收某些特定路由器发布的路由信息,这些路由器的之地必须通过ip prefix-list的过滤,在这种情况下,prefix-list的匹配对象为路由信息包IP报头的源地址。

ACL ,地址前缀,路由策略,策略路由之间的区别

ACL ,地址前缀,路由策略,策略路由之间的区别

1.ACL,它使用包过滤技术,在路由器上读取第3层及第4层包头中的信息,如源地址,目的地址,源端口和目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

2.ACL应用与接口上,每个接口的inbound,outbound 两个方向上分别进行过滤。

3.ACL可以应用于诸多方面包过滤防火墙功能:保证合法用户的报文通过及拒绝非法用户的访问。

NAT:通过设置ACL来规定哪些数据包需要地址转换。

QoS:通过ACL实现数据分类,对不同类别的数据提供有差别的服务。

路由策略和过滤:对路由信息进行过滤。

按需拨号:只有发送某类数据时,路由器才会发起PSTN/ISDN拨号。

地址前缀列表1.前缀列表是一组路由信息过滤规则,它可以应用在各种动态路由协议中,对路由协议发布出去和接受到的路由信息进行过滤。

2.前缀列表的优点:♦ 占用较小的CPU资源大容量prefix-list的装入速度和查找速度较快♦ 可以在不删除整个列表的情况下添加删除和插入规则♦ 配置简单直观♦ 使用灵活可以实现强大的过滤功能3.前缀列表中的每一条规则都有一个序列号,匹配的时候根据序列号从小往大的顺序进行匹配。

4.prefix-list的匹配满足一下条件:♦ 一个空的prefix-list允许所有的前缀♦ 所有非空的prefix-list最后有一条隐含的规则禁止所有的前缀♦ 序列号小的规则先匹配路由策略1.路由策略是为了改变网络流量所经过的途径而修改路由信息的技术。

2.Route-policy是实现路由策略的工具,其作用包括:♦路由过滤♦改变路由信息属性3路由策略设定匹配条件,属性匹配后进行配置,由ifmatch和apply语句组成策略路由PBR(基于策略的路由)是一种依据用户制定的策略进行路由选择的机制。

通过合理应用PBR,路由器可以根据到达报文的源地址、地址长度等信息灵活地进行路由选择。

策略路由配置命令

策略路由配置命令

一、基于dis‎tribu‎te的路由‎过滤1.定义acl‎ (conf)#acces‎s-list 1 deny 192.168.1.0 0.0.0.255 (conf)#acces‎s-list 1 permi‎t any2.进入路由重‎发布(conf)#route‎r rip (conf-route‎r)#distr‎ibute‎-list 1 out ospf 1 在rip协‎议下,配置dis‎tribu‎te列表,引用acl‎ 1,过滤从os‎p f 1重发布到‎r ip的网‎络路由。

也就是说,通过该路由‎器进行os‎p f的重发‎布到rip‎网络中,过滤acl‎ 1的数据。

在该例中的‎意思就是o‎spf中如‎果有数据属‎于192.168.1.0/24,那么在ri‎p网络中无‎法学习到这‎些路由。

由于重发布‎的命令是r‎e d ist‎r ibut‎e,所以这里可‎以理解为发‎布到rip‎网络中。

=============================================================================== ============================================二、基于rou‎te-map的路‎由过滤1.定义acl‎ (conf)#acces‎s-list 1 deny 192.168.1.0 0.0.0.255 (conf)#acces ‎s-list 1 permi‎t any2.定义rou‎te-map (conf)# route‎-map ospf-rip permi‎t 10 其中osp‎f-rip为r‎o ute-map的名‎称,10为序列‎号,下述条件如‎果成立的话‎动作为pe‎r mit。

注意:route‎-map和a‎c l相同的‎是,在尾部都有‎隐藏的默认‎拒绝所有的‎条件。

3.匹配条件(confi‎g-route‎-map)#match‎ ip addre‎ss 1 查询acl‎ 1是否满足‎4.进入路由重‎发布(conf)#route‎r rip (conf-route‎r)#redis‎tribu‎te ospf 1 metri‎c 4 route‎-map ospf-rip 在路由重发‎布的时候,对rout‎e-map的o‎spf-rip条目‎进行匹配过‎滤。

BGP 协议

BGP 协议

介绍BGP协议的基本概念和作用BGP(Border Gateway Protocol),边界网关协议,是一种用于在不同自治系统(AS)之间交换路由信息的协议。

它是互联网中最重要的路由协议之一,被广泛应用于构建大规模网络和实现互联网的可达性。

概念BGP协议的基本概念包括以下几个要点:1.自治系统(AS):自治系统是指由一组具有相同路由策略和管理机构的网络组成的单个网络运营单位。

每个AS在互联网中被分配一个唯一的自治系统号(ASN)。

2.BGP对等体:BGP协议的运行是基于对等体之间的互相连接。

每个对等体可以是一个路由器或者一个自治系统。

3.路由信息:BGP协议通过交换路由信息来实现网络的可达性。

每个路由信息包括目的地网络的前缀和与之相关的属性,比如AS路径和路由器的优先级。

作用BGP协议在互联网中发挥着至关重要的作用,具有以下几个主要功能:1.路由选择:BGP协议使用一种灵活的路由选择算法,可以根据自定义的策略和条件选择最佳的路由路径。

这使得网络管理员可以根据自己的需求来控制流量和优化网络性能。

2.自治系统间通信:BGP协议使得不同自治系统之间能够交换路由信息,实现跨网络的互联互通。

这对于构建大规模的互联网架构和实现全球范围的互联是至关重要的。

3.故障恢复:BGP协议具有快速的故障检测和恢复能力。

当网络中某个路径发生故障或不可达时,BGP能够快速调整路由,选择备用路径,确保网络的连通性和可靠性。

4.策略控制:BGP协议允许网络管理员通过定义策略和过滤条件来控制路由的传播和接受。

这使得网络运营者可以灵活地管理流量,优化网络资源的利用率,并保护网络的安全和稳定。

总之,BGP协议在互联网中扮演着重要的角色,它的基本概念和作用对于理解和构建大规模网络架构具有重要意义,同时也对网络安全和性能优化起着关键的作用。

解释BGP协议的路由选择算法和策略BGP(Border Gateway Protocol)协议是一种高度灵活的路由协议,它采用了复杂的路由选择算法和策略,以确保在不同的自治系统(AS)之间选择最佳的路径。

路由策略

路由策略

若允许其他子公司访问A,但是必须经过公司总部检查: 1:Ip as-path-acl 2 permit _100.+200$ 2:Ip as-path-acl 2 permit _100 200$
3:Ip as-path-acl 2 deny 200$ 4:Ip as-path-acl 2 permit .*
设置引入路由到IS-IS的级别:levelapply isis [ level-1 | level-2 | level-1-2 ] 1、level-2还是level-1-2
设置BGP路由信息的本地优先级 设置路由信息的路由权值 设置路由信息的路由权类型 设置BGP路由信息的路由源 apply local-preference localpref apply cost value apply cost-type [ internal | external ] apply origin { igp | egp as-number | incomplete }
匹配路由信息的路由权值
匹配OSPF路由信息的标记域
龙旭网络
网络创造无限
if-match tag value

Route-policy的apply配置
操作 命令
在BGP路由信息的as-path系列前加 入指定的AS号
在BGP路由信息中设置团体属性 设置路由信息的下一跳地址
设置OSPF路由信息的标记域
龙旭网络
网络创造无限
apply tag value

利用Route-policy实现路由发布和 接收的过滤
BGP中,对BGP邻居(组)发布和接收路由时通过route-policy进行路由过 滤.
配置:[ RA-bgp 100]peer {group-name | peer-address} route-policy <routepolicy-name> {import | export}

bgp route map用法

bgp route map用法

bgp route map用法
BGP(Border Gateway Protocol)路由映射(Route Map)主要用于对BGP路由进行策略控制和操作,以满足网络管理员的特定需求。

它可以用来过滤、修改、重定向或分配传入或传出的BGP路由。

下面是BGP路由映射的几种常见用法:
1. 路由策略:可以使用路由映射来定义特定的路由策略,例如限制某个特定网络的传入路由,或者配置具有特定属性的优先路由。

2. 路由过滤:可以使用路由映射来过滤传入或传出的路由,仅允许特定的路由或网络通过。

3. 路由重定向:可以使用路由映射将传入的路由重定向到其他的出口路径。

4. 路由属性修改:可以使用路由映射来修改传入或传出的路由的属性,例如修改AS路径、修改NEXT_HOP属性等。

5. 路由分配:可以使用路由映射将传入的路由分配给特定的邻居或出口。

通过定义和应用路由映射的规则,网络管理员可以更好地控制和管理BGP路由,以满足其网络需求和策略。

路由策略

路由策略

三、路由策略1、什么是策略路由路由策略一般是对路由信息的控制。

路由策略主要控制路由信息的引入(控制哪些路由信息引到路由协议中,哪些路由不引入,主要是针对某种路由协议,是否允许其它路由信息引进来)、发布(控制哪些发布出去,哪些不发布出去,通过同一种路由协议发布出去)、接收(控制哪些接收,哪些丢弃)2、路由策略的原理路由策略用来过滤路由信息,选择性的留下所需要的路由信息,将不需要的路由信息给过滤掉,而且路由策略只在本地有效,对于其他路由器是无效的。

3、路由策略的配置①、ACL+route-map过滤路由Router(config)#access-list 1 permit A.B.C.D A.B.C.DRouter(config)#route-map spotoRouter(config-route-map)#match ip address 1Router(config)#router ospf 1Router(config-router)#redistribute connected metric-type 1 route-map spoto//匹配到的access-list 1时菜将流量才会重发布进来②、前缀列表+route-map过滤路由Router(config)#ip prefix-list spoto permit A.B.C.D/24 //前缀列表的内容Router(config)#route-map guolv deny 10 //做策略,将匹配到的路由信息做过滤match ip prefix-list spoto //做流量的匹配Router(config)#route-map guolv permit 20 //必须加上这条,否则其他路由也会被deny,无法写进路由表4、路由策略的注意事项①、用前缀列表配置时,最后需要添加一条允许route-map,不然其他的路由信息也会被deny5、路由策略的应用①、过滤路由信息②、发布路由信息时只发送部分信息③、接收路由信息时只接收部分信息④、进行路由引入时引入满足特定条件的信息支持等值路由。

交换机上也做策略路由

交换机上也做策略路由

交换机上也做策略路由交换机上也可以做策略路由,这是因为现代交换机逐渐具备了路由器的功能,从而实现了多重功能的集成。

在网络拓扑结构较为复杂的情况下,为了保障网络的高可用性、安全性以及性能等方面的需求,交换机上的策略路由也变得越来越重要。

1. 策略路由的基本原理策略路由是一种基于目的地址不同的路由选择策略,可以根据不同的需求选择不同的路由方案进行转发,从而实现对流量的控制和管理。

在交换机上实现策略路由,通常采用的是ACL(Access Control List)技术,即访问控制列表技术,通过配置ACL可以实现路由的分流,以及对不同流量的控制和限制。

2. 策略路由的应用场景(1)流量分流在网络拓扑结构较为复杂的情况下,流量分流可以有效提高网络的负载能力,避免网络拥塞发生。

通过策略路由技术,可以将不同类型的流量按需求分流到不同的路由上进行传输,从而优化网络性能。

例如,在企业网络中,一部分部门需要专线连接,而另一部分只需要公网连接,此时可以通过ACL配置,将需要专线连接的部门的流量分流到专线路由上进行传输,让公网路由处理其他部门的流量。

(2)网络安全控制通过ACL技术,可以实现对不同类型的流量的过滤和控制,确保网络的安全性。

例如,可以通过配置ACL来限制某些危险的IP流量进入网络,以保证网络的正常运行;还可以通过ACL来防止DDoS攻击、网络蠕虫和病毒等恶意流量的攻击。

(3)灵活的路由控制传统的无层交换机无法支持路由控制,而现代交换机就可以利用策略路由技术灵活地对IP数据流进行路由的控制,同时还能够根据不同流量的特点进行不同的路由转发。

例如,某公司的某个部门需要对特定的IP流量进行优先级路由,可以通过ACL进行配置,将这部分IP流量发送到目标设备的路由上,从而实现更加灵活的路由控制。

3. 策略路由的配置方法在交换机上实现策略路由技术,需要按照以下步骤进行配置:(1)确定分流规则根据实际需求,确定需要分流的流量类型和路由方向,例如需要将某个部门的流量分流到专线连接上,或者需要将恶意流量分流到黑洞,从而实现网络的安全控制。

策略路由应用场景

策略路由应用场景

策略路由应用场景一、什么是策略路由策略路由是一种动态路由技术,它可以根据不同的网络流量应用不同的路由策略,从而实现更加灵活和高效的网络通信。

策略路由可以根据网络流量的特点、目的地、源地址等因素进行选择最优路径,从而提高网络性能和可靠性。

二、策略路由应用场景1. 多线接入场景在多线接入场景下,策略路由可以根据不同线路的带宽、延迟等因素进行选择最优路径,从而实现负载均衡和容灾备份。

例如,在企业内部搭建了多条线路连接到公网上,当其中一条线路出现故障时,策略路由可以自动切换到其他正常的线路上。

2. 多网关场景在多网关场景下,策略路由可以根据目的地地址选择合适的网关进行通信。

例如,在企业内部搭建了多个子网,并且每个子网都有一个独立的网关。

当子网之间需要通信时,策略路由可以根据目标地址选择合适的网关进行转发。

3. QoS保障场景在QoS保障场景下,策略路由可以根据不同的应用程序进行流量分类和优先级调度,从而保障重要业务的带宽和延迟要求。

例如,在企业内部需要保障视频会议、在线教育等实时应用的网络服务质量时,策略路由可以将这些应用程序的流量优先级调高,从而保证它们的带宽和延迟要求。

4. 安全防护场景在安全防护场景下,策略路由可以根据源地址、目标地址等因素进行黑白名单过滤和攻击防护。

例如,在企业内部需要禁止某些IP地址访问某些敏感资源时,策略路由可以根据源地址进行黑名单过滤,并且对于一些恶意攻击流量也可以进行拦截和过滤。

5. 智能分流场景在智能分流场景下,策略路由可以根据不同的服务类型、用户身份等因素进行智能分流和调度。

例如,在电商平台上需要对不同类型的用户提供不同的服务质量时,策略路由可以根据用户身份进行智能分流,并且对于一些高价值客户也可以提供更加个性化的服务。

三、总结以上就是策略路由的应用场景介绍,可以看到,在不同的网络应用场景下,策略路由都可以发挥出不同的优势和作用。

因此,在实际的网络设计和运维中,策略路由技术也是非常重要和必要的。

路由策略

路由策略

1、路由策略:路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤。

2、路由策略(rp)与策略路由(pbr)路由策略:先路由后策略策略路由:先策略后路由3、acl、地址前缀列表、bgp4、ACL 抓路由路由策略:1.抓前缀相同是几就是几,不同都为零2、抓反掩码相同为零,不同为13.根据反掩码中1的个数N来验证所抓路由的条数为2的N次方条路由。

反掩码有几个一路由就有几个 3 两个一 2的2次方就是4思科access-list 1 permit 2.2.0.0 0.0.19.0 1、是标准号(思科1—199)(华为2000---2999) 增加条目时修改1的位置route-map h3c permit 1 h3c是组名1、是结点号match ip address 1 1、也是标准号router OSPF 1red rip route-map ccie subnets 删除重发布后在重启从发布华为acl number 2000 2000、是标准号rule 0 permit source 2.2.0.1 0 增加条目时修改0的位置quitroute-policy h3c permit node 10 10。

是结点if-match acl 2000ospf 1import-route rip 1 route-policy h3c5、地址前缀列表抓路由Cisco:Ip prefix-list 1 permit2.2.0.0/24 ge 25 le 26Route-map ccie permit 1Match ip address prefix-list 1Router ospf 1red rip route-map ccie subnets华为Ip ip-prefix 1 permit source 2.2.0.0 24 gr 25 le 26 Route-map ccie permit1If-Match ip address ip-prefix 1Ospfimport-route rip 1 route-policy h3c。

华为BGP路由发布及过滤配置说明

华为BGP路由发布及过滤配置说明

配置BGP过滤器充分利用BGP过滤器,可以灵活地对发布的路由进行过滤。

背景信息目前提供以下六种过滤器供BGP使用:∙访问控制列表ACL(Access Control List)∙地址前缀列表(IP-Prefix List)∙AS路径过滤器(AS-Path-Filter)∙团体属性过滤器(Community-Filter)∙扩展团体属性过滤器(Extcommunity-Filter)∙Route-Policy操作步骤∙配置访问控制列表ACL访问控制列表ACL是由permit和deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。

ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。

ACL的有关配置请参见《HUAWEI NetEngine5000E 核心路由器配置指南-IP业务》中的描述。

访问控制列表ACL可以做为Route-policy的一个匹配条件,也可以在filter-policy{ acl-number| acl-name acl-name} export[protocol[ process-id] ]或peer{ group-name| ipv4-address} filter-policy{ acl-number| acl-name acl-name} export命令中直接使用。

∙配置地址前缀列表地址前缀列表是一种针对路由目的地址信息做过滤的工具,它使用名字作为地址前缀列表的标识。

地址前缀列表比较灵活,可以实现精确过滤,比如,可以对某一条路由或某一网段的路由进行过滤。

但是当需要过滤的路由数量较大,且没有相同的前缀时,配置地址前缀列表会比较繁琐。

地址前缀列表可以做为Route-policy的一个匹配条件,也可以在filter-policy ip-prefix ip-prefix-name export[ protocol[process-id] ]或peer{ group-name| ipv4-address} ip-prefix ip-prefix-name export 命令中直接使用。

华为路由器路由策略和策略路由

华为路由器路由策略和策略路由

路由策略和策略路由一、路由策略简介路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。

路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如:1、控制路由的接收和发布只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。

2、控制路由的引入在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。

3、设置特定路由的属性修改通过路由策略过滤的路由的属性,满足自身需要。

路由策略具有以下价值:通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。

、基本原理路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。

在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。

若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。

图1路由策略原理图如图1,一个路由策略中包含N(N>=1)个节点(Node)。

路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。

匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。

当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。

匹配模式分permit和deny两种:permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。

deny:路由将被拒绝通过。

当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。

如果和所有节点都匹配失败,路由信息将被拒绝通过。

过滤器路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

利用路由策略过滤路由实验拓扑:
没有配置路由过滤之前R1、R2、R3路由表
实验配置:
R1
R2
R2上配置acl 2000中第一条acl的意思是拒绝11.0.0.0/16网段中的偶数网段,第二条的意思是允许11.0.0.0/16网段中的所有网段。

Acl 2001中第一条命令的意思是拒绝10.0.0.0/16网段中的奇数数网段,第二条的意思是允许10.0.0.0/16网段中的所有网段。

R3
实验结果验证:
查看R1上的路由表:
查看R2上的路由表:
实验结果完全符合实验实验要求,R1上只有10.0.0.0/16的偶数网段,R3上也只有11.0.0.0/16的奇数网段。

实验思考:
根据R2实验配置得出,当acl语句是deny,route-policy语句是permit时,route-policy依然执行的deny。

那么当acl语句是permit,route-policy语句是deny是,route-policy执行的是deny还是permit?
修改R2上实验配置:
查看R3上路由表变化
总结:在使用路由策略引用acl时,当路由策略和acl定义的动作不一样时,动作定义为deny。

相关文档
最新文档