路由策略router

最新推荐文章于 2025-04-23 21:20:30 发布
最新推荐文章于 2025-04-23 21:20:30 发布
阅读量902 收藏 30
点赞数 19
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79514721/article/details/145797362
版权
  1. 在复杂的数据通信网络中,根据实际组网需求,往往需要实施一些路由策略对路由信息进行过滤、属性设置等操作,通过对路由的控制,可以影响数据流量转发。
  2. 路由策略并非单一的技术或者协议,而是一个技术专题或方法论,里面包含了多种工具及方法。

 

 

 

  1. R1上将业务A、B、C的网段路由引入时希望不引入业务C网段路由,同时R3上将OSPF路由引入到IS-IS中时,同样只希望引入B业务网段路由。
  2. 此时需要一个工具在引入路由时进行限制。
  1. 通配符掩码匹配规则

 

 

不要把通配符当作掩码来开,当作一个匹配的值  0是严格匹配不能改变,1是可以改变

 

路由匹配工具:ACL

ACL根据匹配信息不同,最终隐含规则也不同

1.如果ACL匹配的是流量,则默认是允许所有

2.如果ACL匹配的是路由,则默认是拒绝所

 

执行工具:filer-policy、filter、filter

路由策略:

1.filer-policy

2.filter

3.route-policy

流量策略:

1.traffic-fliter

2.traffic-policy

traffic-filter 流过滤:对于ACL的permit是允许流量通过

                                       对于ACL的deny  是禁止流量通过

路由策略:执行路由过滤

流量策略:执行流量过滤

数据信息管控:

1.要存在匹配工具

   1.ACL(可以匹配流量、可以匹配路由)

       ACL匹配路由时,执行对路由的网段做匹配,不能对路由的掩码做匹配

ACL只能匹配路由的前缀,不能匹配路由的网络掩码。

 

说人话:

1.1.1.1/32

1.1.1.2/32

1.1.1.3/32   可以直接匹配成1.1.1.0/30

但是ACL不能,ACL只能精确匹配

1.1.1.1/32

1.1.1.1/31

1.1.1.1/30

1.1.1.1/29 类似地址ACL要配置4个条目

控制平面:AR1的路由表中存在3.3.3.3的路由信息 (路由表项)

转发平面:AR1ping 3.3.3.3发出的数据流量 (转发信息表项)

AR1的路由表中存在3.3.3.3/32路由信息   (控制平面学习了路由 --路由表项) dis ip rou

AR1ping 3.3.3.3 发出数据流量        (转发平面发送了流量 --转发信息表项)dis fib

匹配工具2 :前缀匹配列表

 ip-prefix list:前缀列表

 只能匹配路由信息(不能匹配流量)

 匹配路由信息时,可以对路由的网段 和 掩码同时做匹配

 默认存在规则是拒绝所有

1.1.1.1  29to32 :类似网段可以直接匹配成一条

前缀列表实现方法:

[AR1]ip ip-prefix AR3-route index 1 deny 3.3.3.2 32

[AR1]ip ip-prefix AR3-route index 2 deny 3.3.3.3 32  进程  掩码

[AR1]ip ip-prefix AR3-route index 3 permit 3.3.3.1 32    index相当于ACL中的rule 因为是默认拒绝所有所以要permit允许放行想要放行的流量

[AR1-ospf-1]filter-policy ip-prefix AR3-route import  在OSPF进程中启用

如果这4条外部路由书写拒绝:

 ACL 就要写4个条目

 ip-prefix 只需要写1个条目

配置了前缀匹配列表之后,在AR3上引入外部路由之后在AR1上也是没有对应的路由条目,因为配置的前缀匹配列表没有允许放行

[AR3]ip rou 192.168.1.101 32 n 0

[AR3]ip rou 192.168.1.1 32 n 0

[AR3]ip rou 192.168.1.0 31 n 0

[AR3]ip rou 192.168.1.0 30 n 0

[AR3]ip rou 192.168.1.0 29 n 0

引入外部路由

[AR4-ospf-1]import-route static   OSPF进程视图下执行引入操作

[AR4]dis ospf lsdb router IP地址 查看设备路由描述

假设AR1要学习AR3的内部路由,不学习AR3的外部路由且AR3存在100条内部路由,存在4条外部路由?

通过前缀列表实现,要拒绝4条外部路由,允许所有内部路由

[AR1]ip ip-prefix D_E deny 192.168.1.0 24 greater-equal 29 less-equal 32    拒绝外部路由信息  匹配24位掩码以上的,大于29小于32,匹配上面的外部路由条目,如果不加后面的greater-equal(大于)less-equal(小于)则只匹配192.168.1.0这个网段的路由条目

[AR1]ip ip-prefix D_E permit 0.0.0.0 0 less-equal 32        允许所有路由信息    缺省路由 0.0.0.0 0-32

缺省路由实现:写了一个允许最大的网段,写了一个小于等于0大于等于32的范围

greater-equal(大于)

less-equal(小于)

 

 

 

匹配路由信息时:

         1.可以只设置匹配的路由网段(ip ip-prefix D_E deny 192.168.1.0 24

           匹配192.168.1.0/24这个路由条目

         2.可以设置匹配路由网段内的路由条目(ip ip-prefix D_E deny 192.168.1.0 24 g 29 l 32

           匹配192.168.1.0/24网段内 掩码大于等于29 小于等于32的所有路由条目

 

  • IP前缀列表IP-Prefix List)是将路由条目的网络地址、掩码长度作为匹配条件的过滤器,可在各路由协议发布和接收路由时使用。

不同于ACL,IP-Prefix List能够同时匹配IP地址前缀长度以及掩码长度,增强了匹配的精确度

 

1ip-prefix-name地址前缀列表名称

2、序号:本匹配项在地址前缀列表中的序号,匹配时根据序号从小到大进行顺序匹配

3、动作:permit/deny,地址前缀列表的匹配模式为允许/拒绝,表示匹配/不匹配

4IP网段与掩码:匹配路由的网络地址,以及限定网络地址的前多少位需严格匹配

5、掩码范围:匹配路由前缀长度,掩码长度的匹配范围 mask-length<=greater-equal-value<=less-equal-value<=32

 

 

匹配机制

IP-Prefix的基础配置命令

  • ip-prefix-name:指定地址前缀列表的名称。
  • index index-number:指定本匹配项在地址前缀列表中的序号。
  • permit:指定地址前缀列表的匹配模式为允许。
  • deny:指定地址前缀列表的匹配模式为拒绝。
  • ipv4-address mask-length:指定IP地址和指定掩码长度。
  • greater-equal greater-equal-value:指定掩码长度匹配范围的下限。
  • less-equal less-equal-value:指定掩码长度匹配范围的上限。

 

 

 

 

 

X>=8  <=32 X=掩码

 

 

一些示例

 

 

 

 

没有执行匹配多行流量的工具,我不需要或者不想到达的网络我直接过滤路由了,不可能说通过路由学习到了再把流量过滤掉

 

执行工具

 

Router-policy:路由策略

route-policy:路由策略

由一系列的条目节点组成,每一个节点内可以设置多个语句(分为条件语句和执行语句),可以自己匹配路由,不用通过ACL和ip-prefix来匹配

#

[AR1]route-policy test(name) permit node 1 (节点)

  匹配了什么内容1  如果你是OSPF 或者XXX

  匹配了什么内容2  如果你是外部路

  需要执行什么样的操作1  设置你的优先级多少

  需要执行什么样的操作2 设置你的开销多少   可以匹配得很精确

匹配内容可以匹配的很精确:(匹配内容1比如说你的目标地址是192.168.1.0(匹配内容2你的下一跳必须是10.1.12.1  (操作1我把你的开销值设置为50  (操作2优先级设置为100       根据路由本身带有的内容进行匹配,可以配合ACL 前缀列表使用

#

route-policy test permit node 2

  匹配了什么内容

  需要执行什么样的操作

#

route-policy test deny node 3

#

每一个节点之间是 或 的关系  :逻辑语言:与或非    说人话:就是你匹配第一个就不用匹配第二个匹配第二个就不用匹配第三个

每一个节点内设置的语句分类:

  1.条件语句 if-match

      多个条件语句之间是 与 的关系

     可以匹配ACL 、前缀列表

     可以匹配路由本身携带的相关参数(cost、接口、下一跳)

用法

 一个节点可以匹配很多信息,执行很多语句

多个节点匹配多个语句

2.执行语句 apply

     多个执行语句之间是 与 的关系

存在默认节点,动作为deny

操作

命令

设置路由信息的开销值

apply cost { [ + | - ] cost | inherit | none }

设置AS_Path属性

apply as-path as-path-value &<1-128> { additive | overwrite | delete }

apply as-path asValues { additive | overwrite | delete }

设置清空原有AS_Path属性

apply as-path none overwrite

设置路由最近AS_Path值添加次数

apply as-path most-recent most-recent-value

在本地AS号前附加AS号

apply as-path prepend asValues

设置路由信息的开销类型

apply cost-type { external | internal | type-1 | type-2 | internal-inc-ibgp | med-plus-igp }

设置EBGP路由的衰减参数

apply dampening half-life-reach reuse suppress ceiling

根据团体属性过滤器中指定的值删除BGP路由团体属性

apply comm-filter { basIndex | advIndex } delete

设置BGP团体属性

apply community { cmntyValue | cmntyNum | internet | no-advertise | no-export | no-export-subconfed } &<1-32> [ additive ]

apply community community-list community-list-name [ additive ]

说明:

该配置仅S5735-L-V2、S5735-S-V2、S5735I-S-V2、S5735I-L-V2、S5735I-H-V2、S5735S-L3、S1730S-S3、S5735S-S3、S5735R-L-V2产品支持。

删除BGP团体属性

apply community { cmntyValue | cmntyNum | internet | no-advertise | no-export | no-export-subconfed } &<1-32> delete

根据扩展团体属性过滤器中指定的值删除BGP扩展团体属性

apply extcommunity-filter rt filter-name delete

清空路由中已有的扩展团体属性

apply extcommunity rt none

设置BGP路由信息的路由源

apply origin { egp { egpVal } | igp | incomplete }

设置BGP路由信息的本地优先级

apply local-preference [ + | - ] preference

设置BGP Large-community属性

apply large-community-list large-community-list-name { additive | overwrite | delete }

apply large-community { aa:bb:cc } &<1-16> { additive | overwrite | delete }

设置BGP路由的VPN-Target扩展团体属性

apply extcommunity { rt extCmntyValue } &<1-16> [ additive ]

删除BGP路由的VPN-Target扩展团体属性

apply extcommunity { rt extCmntyValue } &<1-16> delete

设置BGP路由的SoO(Site of Origin)扩展团体属性

apply extcommunity soo { site-of-origin } &<1-16> additive

设置BGP路由的首选值

apply preferred-value preferredVal

设置BGP ADD-PATH优选路由的数量

apply add-path path-number path-number-value

设置本地QoS ID值

apply qos-local-id qos-local-id

设置IPv4路由信息的下一跳地址

apply ip-address next-hop { address | peer-address | blackhole }

设置IPv6路由信息的下一跳地址

apply ipv6 next-hop { address | peer-address | blackhole }

设置IS-IS的路由级别

apply isis { level-1 | level-1-2 | level-2 }

设置引入路由到OSPF的特定区域

apply ospf { backbone | stub-area }

设置IS-IS的路由级别

apply isis { level-1 | level-1-2 | level-2 }

设置路由协议的优先级

apply preference preference

设置路由信息的标记域

apply tag tag

设置路由的网关IP地址

apply gateway-ip { origin-nexthop | address }

设置路由的网关IPv6地址

apply ipv6 gateway-ip { origin-nexthop | address }

来自 <https://support.huawei.com/enterprise/zh/doc/EDOC1100411518/5a34b001>

使用router-policy拒绝192.168.1.3  的路由

使用过程

#

acl number 2000 

 rule 5 deny source 192.168.1.3 0  ACL匹配语句

 rule 10 permit

#

[AR1]route-policy abc permit node 10  创建节点10

 if-match acl 2000                                      在router-policy接口试图引入

#

ospf 1 router-id 10.3.3.3  import-route static route-policy abc  OSPF接口视图下引入

匹配工具    permit      deny   : ACL的

执行工具    permit      deny   : router-policy的

有什么关系?

1. acl-deny 和route-policy permit   最终的结果 不在该节点通过,继续下一个节点的匹配  ACL拒绝了就拒绝通过

2. acl-permit 和route-policy permit   最终的结果 在该节点通过,不进行下一个节点匹配  ACL通过了这里也通过就通过

3. acl-deny 和route-policy deny   最终的结果 不在该节点通过,继续下一个节点的匹配  ACL拒绝,我这里也拒绝 那就拒绝

4. acl-permit 和route-policy deny 最终的结果 不在该节点通过,不进行下一个节点匹配 ACL通过 我这里不通过

所有的视角都是盯着路由来看的,不要盯着ACL和什么前缀匹配来看

下图去192.168.1.1的匹配过程以及输出,路由策略

下图去192.168.1.2的匹配过程以及输出,路由策略

下图去192.168.1.3的匹配过程以及输出,路由策略

只要有一个是deny那就不通过 匹配下一条

配置ACL

acl 2000

 rule 5 deny source 192.168.1.1 0    拒绝192.168.1.1

 rule 10 permit source 192.168.1.2 0 允许192.168.1.2

配置前缀访问控制列表

ip ip-prefix 1 deny 192.168.1.3 32   拒绝192.168.1.3 32

节点10中引入ACL 2000

route-policy abc permit node 10

 if-match acl 2000

节点20中引入

route-policy abc deny node 20

 if-match ip-prefix 1

route-policy abc permit node 30

  没有任何匹配条目语句,待指匹配所有

  • 命令:[Huawei-ospf-100] filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name [ secondary ] } import

  • acl-number:指定基本访问控制列表号。整数形式,取值范围是20002999

  • acl-name acl-name:指定访问控制列表名称。字符串形式,不支持空格,区分大小写,长度范围是132,以英文字母azAZ开始。

  • ip-prefix ip-prefix-name:指定地址前缀列表名称。字符串形式,长度范围是1169,不支持空格,区分大小写。当输入的字符串两端使用双引号时,可在字符串中输入空格。

  • route-policy route-policy-name:指定路由策略名称。字符串形式,区分大小写,不支持空格,长度范围是140。当输入的字符串两端使用双引号时,可在字符串中输入空格。

  • secondary:设置优选次优路由。

  • 命令:[Huawei-ospf-100] filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name route-policy route-policy-name } export [ protocol [ process-id ] ]

  • protocol process-id:指定需要对引入的特定的路由协议进行过滤。目前的协议包括directisisbgpospfunrstatic。当指定路由协议为RIPIS-ISOSPF时,还可以指定进程号。整数类型,取值范围是165535,缺省值是1

 

 

 

策略工具2Route-Policy

Route-Policy的匹配顺序

甜天开心
关注
路由策略——Route-policy
网络技术联盟站
10-06 1万+
文章目录概述Route-policy的配置1.创建route-policy2.配置If-match子句3.配置apply子句Route-policy配置示例R1的配置如下: 概述 如上图所示,我们要在R2上部署RIP到OSPF的重发布,经过前面的学习,大家已经能够很轻松地给出配置,在执行重发布的命令中,可以关联cost关键字来指定路由注入ospf之后的cost。但是这是针对所有被注入的路由的。另外import-route rip命令会将R2路由表中的RIP路由全都注入OSPF。 如果希望只注入特定的路由
路由策略中 ACL、IP Prefix、Filter Policy、Router Policy 的使用
u013669912的博客
07-05 2922
重发布技术-路由策略-策略路由(详解)
qq_64302290的博客
05-17 2681
如下图:我们将: OSPF100重发布 ----到---> OSPF 200 -------再将OSPF200重发布到------> RIP 100中;之后我们在AR1上查看RIP路由表:发现只有 4.4.4.0/24和24.1.1.0/24这两条路由
专题二十:路由策略策略路由
最新发布
a9685699的博客
04-23 1072
管理员定义一组策略,这些策略可以基于多个因素,如源IP地址、目的IP地址、服务类型等。
路由策略 策略路由(华为)
2401_85549756的博客
06-11 2869
路由策略:通过一系列工具或者方法对路由进行各种控制的策略,目的是为了对路由进行过滤从而达到对于的路由控制,或者通过策略进行修改某条路由的属性,对网络数据流量进行合理的规划,从而提高网络性能。编号范围3000-3999。访问控制列表过滤器acl(acl相当于筛选器,控制路由的条件,acl的匹配顺序是rule的值从小到大,越小越优先匹配原则,同规则以rule值越小越优先)[条件工具,把需要的路由抓取出来]注:route-policy可以使用前6种过滤器进行定义匹配规则,不仅可以匹配路由属性还可以改变路由属性。
WAYOS策略路由专用工具——进程端口自动扫描导入工具
weixin_34049948的博客
09-30 212
WAYOS策略路由如何设置?传统的给WAYOS做策略,挺麻烦的,新手不好入手!首先你要用360工具(有些要用抓包)才可以真正扫描出来。然后分析,再根据具体情况下确定远程端口,远程IP或者本地协议等等,确实挺麻烦的,一般人还真不好入手,为了帮助一些客户解决这个难题,我就推出了根据进程来查看端口的功能。 上次的WAYOS端口进程查看器1.0出来以后,很多朋友觉得要加一个自动刷新才比较方便,后面我发现...
路由策略 & 策略路由
热门推荐
Knowledge warehouse
08-29 2万+
一、策略路由 策略路由PBR(Policy-Based Routing)是一种依据用户制定的策略进行路由选择的机制,分为本地策略路由、接口策略路由和智能策略路由SPR(Smart Policy Routing)。 策略路由具有如下优点: 可以根据用户实际需求制定策略进行路由选择,增强路由选择的灵活性和可控性。 可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。 在满足业务服务...
路由策略工具
2301_76170756的博客
08-31 366
策略路由的查找优先级比路由策略高,当路由器接收到数据包并进行转发时,会优先根据策略路由的规则进行匹配,如果能匹配上,则根据策略路由进行转发,否则按照路由表中的路由条目来进行转发。且每个node下可以有若干个if-mach和apply子旬,if-match之间是“与”的关系。1.原理:Route-Policy是一种功能非常强大的路由策略工具,它可以灵活地与ACL、IP-Prefix List.As-Path-Fiter等其它工具配合使用。对于距离矢量协议,会对引入的路由信息、本协议发现的路由信息进行过滤。
RouterOS(ROS)策略路由实现旁路由的自动分流
GUAIYU的博客
03-23 3216
很多时候需要指定局域网特定主机出口相应的路由网关来实现访问数据的分流,此时不得不使用到策略路由来帮以实现此目的。这种策略路由的好处在于,不需要单独为局域某些客户端配置特定的网关以及DNS地址指定的旁路由(如Openwrt)网关上面去,而是统一采用RouterOS作为网关及DNS即可实现出口路由策略分流。简而言之,就对不对客户端主机地址作任何地址的更改,自动采用ROS作为网关和DNS实现访问的分流。
解决vue更新路由router-view复用组件内容不刷新的问题
10-16
然而,在实现路由功能时,开发者可能会遇到router-view复用导致组件内容不刷新的问题。为了解决这个问题,我们可以采取几种不同的策略。 首先,我们来理解问题的背景。在Vue中,router-view是一个容器,它根据当前...
router路由策略之重分布
05-02
router 路由策略之重分布 router 路由策略之重分布是指 router路由过程中对流量的控制和过滤,实现路由策略的重分布。该策略主要通过 ACL、prefix-list、offest-list、distribute-list、route-map 等机制来实现...
路由Routes之策略路由-从零开始学RouterOS系列13
weixin_42588715的博客
08-14 1218
本章教程主要是讲RouterOS策略路由是怎样实现的。 上一章我们说了静态路由,但是静态路由有个不好,因为一旦我们指定的静态路由,它是全局控制的。也就是说我们192.168.11.0/24整个网段访问114.114.114.114整个IP时候都会通过电信的网关出去、但是如果我们只是一个IP需要用到这个某个网关出去而已,那么就需要通过策略路由来去实现了。 策略路由是一种特殊的静态路由,优先级比静...
路由策略
08-21 216
路由策略路由策略就是为了改变网络流量所经过的途径而修改路由信息的技术,在控制层面抓取流量后,对流量进行修改编辑,最终映像设备路由表的生成,从而控制选路。主要通过改变路由属性(包括可达性)来实现,路由策略是控制层面的行为,操作的对象是路由条目,匹配的是路由,具体是指目标网段、掩码、下一跳、度量值、Tag、Community、AS-PATH等。1)抓流量列表 access-lista ACL 访问...
路由策略(Route-Policy)
m0_59331971的博客
02-17 7095
路由策略 Route-Policy 强大而复杂的过滤器 用于路由过滤和修改路由属性 命令: 格式: route-policy 名称 permit/deny node 编号 if-match 过滤器 apply 动作 例: route-policy dj permit node 10 Info: New Sequence of this List. if-match acl 2000 apply cost 100 Route-Policy由若干个node构成 node之间是“或”的关系 每个node
路由策略(前缀列表,策略工具-filter-policy,策略工具-Router-policy,双点双向路由重发布)
weixin_74452917的博客
01-19 1422
就R3来说,他学到了两条去往10.1.1.1的路由,一条是通过R1通过引入ospf外部路由学到的(优先级为150),一条是通过R4的isis学到的(优先级为15),所以R3在去往10.1.1.1的时候默认去往了优先级更高的那边。现在这些我们做的只是从R1-R2-R4-R3的操作还有一种是R1-R3-R4-R2的操作,我们就如上操作R3将路由信息打上tag标签,R2进行tag过滤即可。1.在R3的ospf中因为isis路由时,通过router-policy过滤掉172.16.1.0/24的路由
路由策略策略路由
Dngney的博客
01-07 3697
但是有判断的条件没有用,设备不可能只依靠判断条件就对路由发生改变我们还需要判断工具和执行工具。
路由策略概述
weixin_45793782的博客
01-21 5332
文章目录1.Route-Policy2.Route-Policy的基本概念3.基础配置3.1创建一个Route-Policy节点3.2(可选)配置if-match语句3.3(可选)配置apply语句4.Filter-Policy5.IP前缀列表 路由策略(Routing Policy)是一套用于对路由信息进行过滤、属性设置等操作的方,法,通过对路由的控制,可以影响数据流量转发操作。实际上路由策略并非单一的技术或者协议,而是一个技术专题或方法论,里面包含着多种工具及方法。 路由策略的应用是非常广泛的,也是非常
路由策略以及策略路由
weixin_38788907的博客
11-24 638
路由策略 :可以不按照路由表进行报文的转发(控制路由信息) 策略路由:优于路由表检查,支持基于acl,报文长度信息来灵活指定转发路径,主要控制路由信息的引入,发布,接收(控制报文转发) ACL缺陷:无法匹配ip前缀 只能通过掩码进行ip地址的匹配(只针对ip表来说) ****前缀列表:acl无法匹配ip前缀,使用前缀列表在过滤ip前缀,能同时匹配前缀好和前缀长度,不能用于数据包的过滤 ip-pr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值