通过修改路由条目,对接收和发布的路由进行过滤,称为路由策略
流量过滤 Traffic-Filter工具对数据进行过滤
控制路由的发布:只发布满足条件的路由信息
控制路由的接收:只接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性
过滤和控制引入的路由:一种路由协议在引入其它路由协议时,只引入一部分满足条件的路由信息,并对所引入的路由信息的某些属性进行设置,以使其满足本协议的要求
设置特定路由的属性:为通过路由策略过滤的路由设置相应的属性
控制流量 两种路由策略方式
Filter-Policy 过滤策略 只是一个调用筛选的工具 本身不带允许 拒绝的动作 定义过滤应用的方向
对路由进行过滤 所以无法对链路状态协议进行过滤 OSPF IS-IS OSPF的五类LSA类似路由可以过滤
使用ACL IP-Prefix List匹配目标流量
使用Filter-policy发布策略
具体的允许还是拒绝由ACL或IP-Prefix决定
目的是进行过滤 当设置的是允许某条 那除了此项外全部拒绝
是拒绝某条 那除了此项全部允许
import/export 后可跟协议名或direct static 对指定的路由进行过滤
filter-policy import命令对接收的路由设置过滤策略,只有通过过 滤策略的路由才被添加到路由表中,没有通过过滤策略的路由不会被添加 进路由表
如果三条路由ABC 只是deny C 其余两条也视为没有通过过滤策略
Route-Policy 路由策略 可以限定更多的属性
使用ACL或IP-Prefix List匹配目标流量
使用Route-Policy进行路由条目的控制
拥有子命令 可以更详细的去进行路由过滤
可以有多个node 相当于编号 彼此之间是“或”的关系 node下有多个
if-match和apply 批次之间是“与”的关系
ip-prefix 前缀列表 匹配路由网段
ip ip-prefix ip-prefix-name[ index index-number ] {permit | deny} ipv4-address mask-length
Name参数是本IP前缀列表的名称。
Index关键字及参数指示本表项在本IP前缀列表中的序号(或索引号),该关键字及参数是可选的。缺省情况下,该序号值按照配置先后顺序依次递增,每次加10,第一个序号值为10。
ip ip-prefix mkbk index 10 deny 10.0.0.0 24 只是进行筛选 不做过滤
import-route ospf route-policy mkbk
引入ospf中不包括10.0.0.0/24的所有网段
控制路径 策略路由
通过改变路由的下一跳
traffic-policy
使用ACL工具匹配目标流量
PBR不更改路由表的内容,也不影响路由信息的传递
只是在路由器上,对单独某些流量,直接定义下一跳
如果沿途的其他路由器,还有多条路径,并且也需要认为干预
可能需要在沿途所有必要的路由器上,都做PBR,定义出完整的策略路径
策略路由PBR(Policy Based Routing)
与单纯依照IP报文的目的地址查找路由表进行转发有所不同,它是一种依据用户制定的策略而进行流量转发的机制
策略路由的查找优先级比路由策略高
当路由器接收到数据包并进行转发时,会优先根据策略路由的规则进行匹配
如果能匹配上,则根据策略路由进行转发
否则按照路由表中的路由条目来进行转发
策略路由不改变路由表中的任何内容,它可通过预先设置的规则来影响数据报文的转发
策略路由分类
本地策略路由
对本设备发送的报文实现策略路由,比如本机下发的ICMP、BGP等协议报文
当用户需要实现不同源地址的报文,或者不同长度的报文通过不同的方式进行发送时,可以配置本地策略路由
常用Policy-Based-Route工具来实现
接口策略路由
对本设备转发的报文生效,对本机下发的报文不生效
用户需要将收到的某些报文通过特定的下一跳地址进行转发时,需要配置接口策略路由。使匹配重定向规则的报文通过特定的下一跳出口进行转发,不匹配重定向规则的报文则根据路由表直接转发。接口策略路由多应用于负载分担和安全监控
常用Traffic-Policy工具来实现
智能策略路由 计算机中不确定性的不常用
基于链路质量信息为业务数据流选择最佳链路
当用户需要为不同业务选择不同质量的链路时,可以配置智能策略路由
常用Smart-Policy-Route工具来实现
路由策略 策略路由区别
路由器还存在两种表 路由表 转发表
转发表由路由表映射过来
策略路由直接作用于转发表,路由策略直接作用于路由表
由于转发在底层,路由在高层,直接作用在转发表的转发优先级比查找路由表转发的优先级高