路由策略解析
- 格式:doc
- 大小:97.00 KB
- 文档页数:4
策略路由,路由策略前⾔:在企业⽹络中,常⾯临⾮法流量访问及流量路径不优的问题,为了保护数据访问的安全性、提⾼链路带宽的利⽤率,需要对⽹络中的流量⾏为控制,如控制⽹络流量可达性,调整⽹络流量路径。
如何控制流量可达性? ⽅案⼀:对接收和发布的路由进⾏过滤来控制可达性,路由策略 ⽅案⼆:使⽤Traffic-filter⼯具对数据进⾏过滤,流量过滤 什么是路由策略? 通过⼀系列的⼯具或者⽅式对路由进⾏各种控制的策略,这个策略可以影响路由的产⽣,发布和选择等,进⽽影响报⽂的转发路径 在ip⽹络中,路由策略的⽤途主要有两个⽅⾯:对路由信息过滤和修改路由属性。
如图,如果使⽤流量过滤,使市场部的流量不能访问财务部。
会有极⼤的局限性,若是在RTA上做traffic-filter,流量会经过RTC RTB再在RTA上被过滤极⼤的浪费链路带宽。
若在RTC⼊⼝做traffic-filter,可能RTC不是由你进⾏管理的。
⽽且流量过滤针对每⼀个报⽂进⾏过滤,极⼤的浪费设备性能,所以建议使⽤路由策略来进⾏对流量的可达性进⾏控制。
路由策略使⽤的⼯具: 条件⼯具:把路由匹配出来,acl ip-prefix 策略⼯具:匹配抓取的路由,执⾏各种各样的策略。
router-policy 调⽤⼯具:把策略应⽤到某个具体的协议中。
filter-policy import-route配置思路:配置filter-policy不让192.168.1.0路由发出给到AR1[AR2-rip-1]filter-policy 2000 export -----对所有接⼝发出的路由做过滤[AR2-rip-1]ACL 2000[AR2-acl-basic-2000]rule PER S 192.168.2.0 0 filter-policy 2000 export static import-route static 对引⼊的静态路由实现过滤,本地不存在LSDB 当过滤本地接⼝的路由时 filter-policy 2000 export 针对链路状态路由协议⽆效,链路状态路由协议发送的是LSA filter-policy 2000 import 针对链路状态协议有效,不过是在加表实现过滤,本地LSDB中依旧有此链路状态ACL的局限性?ACL只能抓取路由的前缀,不关⼼掩码信息,如果两条路由拥有相同的前缀,ACL⽆法分别抓取前缀列表的优势?相⽐ACL来说既能匹配前缀也能抓取掩码,前缀列表不能⽤于流量过滤。
策略路由和路由策略
路由策略是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果,最终改变的是路由表的内容。
是在路由发现的时候产生作用。
策略路由是尽管存在当前最优的路由,但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。
在数据包转发的时候发生作用、不改变路由表中任何内容。
策略路由的优先级比路由策略高,当路由器接收到数据包,并进行转发的时候,会优先根据策略路由的规则进行匹配,如果能匹配上,则根据策略路由来转发,否则按照路由表中转发路径来进行转发。
总结一下,路由策略是路由发现规则,策略路由是数据包转发规则。
其实将“策略路由”理解为“转发策略”,这样更容易理解与区分。
由于转发在底层,路由在高层,所以转发的优先级比路由的优先级高,这点也能理解的通。
其实路由器中存在两种类型和层次的表,一个是路由表(routing-table),另一个是转发表(forwording-table)。
转发表是由路由表映射过来的,策略路由直接作用于转发表,路由策略直接作用于路由表。
路由策略解析【导读】大中型企业的内部网络比较复杂,往往由多个路由交换设备组成,网络构成也是分层次的,采用接入层,汇聚层,核心层三部分递进而成。
大中型企业的内部网络比较复杂,往往由多个路由交换设备组成,网络构成也是分层次的,采用接入层,汇聚层,核心层三部分递进而成。
在这些复杂网络中各种应用也是非常繁多的。
有时我们需要对路由进行策略,这时就需要用到网络高级交警——路由策略了,今天笔者将就路由策略的基本信息进行介绍,帮助各位IT168的读者掌握网络高级交警的应用。
什么是路由策略:(如图1)图1众所周知网络中的路由器主要起到为网络数据包提供路由的功能,说白了就是告诉一个数据包如何走才能到达目的地,类似于我们现实生活中的交通信号灯。
通过红绿黄三色灯来控制车辆的通行就类似于路由器控制数据包的通行。
比如我们企业内网中的一台计算机要和外部网络中的机器进行数据通讯,那么首先企业计算机会把数据发送到企业内部的路由器上,路由器告诉该数据任何到达企业临界路由器(就是和外网相连的路由器),到达临界路由器后该设备会继续告诉数据如何走才能到达电信路由器,接下来会通过一个又一个的电信路由器,最终到达外网那台计算机上。
所有路线如何行进都是由路由器中的路由表来支配的。
而本文介绍的路由策略却和路由有很大区别,他是对路由的控制,类似于我们现实生活中的交通警察,可以根据实际变动来控制车辆流动。
例如一般情况下一条道路是东西走向的,平时我们可以根据信号灯的指示来行走。
当有特殊需要时交通警察会到达路由指挥我们的行进,当道路临时封闭时他可以禁止我们继续向前行进而强行指引我们拐弯,这就是路由策略,他可以根据我们网络数据包的一些详细信息对数据包的路由走向进行修改,从而实现控制路由的效果。
路由策略与访问控制列表的区别:策略路由与简单的源地址路由不同,对于有多个出口的应用,如连接了公网的教育网,如果内部的服务器希望被外面访问,则需要使用策略路由技术。
策略路由是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。
策略路由配置详解
一、策略路由的概念
策略路由是一种网络路由管理方法,它的基本思想是建立一组用来定
义所有网络流量及其传输路径的策略,并利用这组策略实现路由负载均衡,从而提高网络性能。
二、策略路由配置的要素
1.路由器
路由器是策略路由的基础,配置正确的路由器是策略路由正常运行的
关键,一般需要设置路由协议和路由策略。
2.协议
协议是指路由器交换机之间的连接,当路由器与交换机之间的连接类
型是协议时,策略路由就可以在此基础上正确工作,用户可以根据自身需
要选择合适的协议进行配置。
3.连接
连接是指策略路由需要通过路由器或交换机保持的一种物理连接,它
是策略路由的基础,因此必须正确配置路由器和交换机之间的连接,才能
确保策略路由的正常运行。
4.地址
地址是指在策略路由系统中所有设备的IP地址,这些地址是策略路
由网络中所有设备的唯一标识符,必须正确设置,才能使策略路由能够真
正发挥出效用。
5.策略
策略是指在策略路由系统中,路由器或交换机根据其中一种规则选择最佳路由策略,从而实现合理分配网络流量,提高网络性能。
路由策略技术介绍(有兴趣的看看)路由策略简介路由策略(Routing Policy)是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。
路由策略的应用路由策略的应用灵活广泛,主要有下面几种方式:l控制路由的发布路由协议在发布路由信息时,通过路由策略对路由信息进行过滤,只发布满足条件的路由信息。
l控制路由的接收路由协议在接收路由信息时,通过路由策略对路由信息进行过滤,只接收满足条件的路由信息,可以控制路由表项的数量,提高网络的安全性。
l管理引入的路由路由协议在引入其它路由协议发现的路由时,通过路由策略只引入满足条件的路由信息,并控制所引入的路由信息的某些属性,以使其满足本协议的要求。
l设置路由的属性对通过路由策略的路由设置相应的属性。
路由策略的实现路由策略的实现步骤如下:(1)首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则。
可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。
(2)然后再将匹配规则应用于路由的发布、接收和引入等过程的路由策略中。
可以灵活使用过滤器来定义各种匹配规则,过滤器的相关内容见下面介绍。
过滤器过滤器可以看作是路由策略过滤路由的工具,单独配置的过滤器没有任何过滤效果,只有在路由协议的相关命令中应用这些过滤器,才能够达到预期的过滤效果。
路由协议可以引用访问控制列表、地址前缀列表、AS路径访问列表、团体属性列表、扩展团体属性列表和Route-policy几种过滤器。
下面对各种过滤器逐一进行介绍。
1. 访问控制列表访问控制列表包括针对IPv4报文的ACL和针对IPv6报文的ACL。
用户在定义ACL时可以指定IP(v6)地址和前缀范围,用于匹配路由信息的目的网段地址或下一跳地址。
2. 地址前缀列表地址前缀列表包括IPv4地址前缀列表和IPv6地址前缀列表。
地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于用户理解。
传统的路由策略都是使⽤从路由协议派⽣出来的路由表,根据⽬的地址进⾏报⽂的转发。
在这种机制下,路由器只能根据报⽂的⽬的地址为⽤户提供⽐较单⼀的路由⽅式,它更多的是解决络数据的转发问题,⽽不能提供有差别的服务。
基于策略的路由为络管理者提供了⽐传统路由协议对报⽂的转发和存储更强的控制能⼒。
基于策略的路由⽐传统路由控制能⼒更强,使⽤更灵活,它使络管理者不仅能够根据⽬的地址,⽽且能够根据协议类型、报⽂⼤⼩、应⽤、IP源地址或者其它的策略来选择转发路径。
策略可以根据实际应⽤的需要进⾏定义来控制多个路由器之间的负载均衡、单⼀链路上报⽂转发的QoS或者满⾜某种特定需求。
策略路由提供了这样⼀种机制:根据络管理者制定的标准来进⾏报⽂的转发。
这种标准根据实际的应⽤需求来指定,它的依据可以是协议类型、应⽤、报⽂⼤⼩、或者IP源地址中的⼀个或者多个的组合。
当数据包经过路由器转发时,路由器根据预先设定的策略对数据包进⾏匹配,如果匹配到⼀条策略,就根据该条策略指定的路由进⾏转发;如果没有匹配到任何策略,就使⽤路由表中的各项根据⽬的地址对报⽂进⾏路由。
安达通公司新近推出⽀持多线路均衡的新型安关。
该安关具备4个络⼝,可⽀持1~3个WAN⼝,⽤于连接不同的宽带上线路。
安关提供灵活的策略路由能⼒,不仅能够根据源地址、协议类型、应⽤、报⽂⼤⼩、链路流量进⾏路由,⽽且可以根据报⽂数据流的发起⽅向来确定以后的路由,在使⽤时更加灵活,能够满⾜各种应⽤环境的需要。
常见的应⽤模式有以下⼏种: 1.上负载均衡:对于多条ISP线路,络管理员可以在不同的路径之间根据带宽分配内上流量,实现负载平衡。
2.基于源地址选路:例如⼀个络通过两条速度不同的线路接⼊互联,管理员可以指定内中⼀些特定的⽤户使⽤快速线路,⽽普通⽤户使⽤慢速线路。
3.根据服务级别选路:对于不同服务要求(如:传送速率、吞吐量以及可靠性等)的数据,根据络的状况进⾏不同的路由。
IP路由目录目录路由策略 (1)路由策略简介 (1)路由策略的应用 (1)路由策略的实现 (1)过滤器 (2)访问控制列表 (2)地址前缀列表 (2)AS路径访问列表(as-path) (2)团体属性列表(community-list) (2)扩展团体属性列表(extcommunity-list) (3)路由策略(Route-policy) (3)路由策略路由策略简介路由策略(Routing Policy)是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。
路由策略的应用路由策略的应用灵活广泛,主要有下面几种方式:z控制路由的发布路由协议在发布路由信息时,通过路由策略对路由信息进行过滤,只发布满足条件的路由信息。
z控制路由的接收路由协议在接收路由信息时,通过路由策略对路由信息进行过滤,只接收满足条件的路由信息,可以控制路由表项的数量,提高网络的安全性。
z管理引入的路由路由协议在引入其它路由协议发现的路由时,通过路由策略只引入满足条件的路由信息,并控制所引入的路由信息的某些属性,以使其满足本协议的要求。
z设置路由的属性对通过路由策略的路由设置相应的属性。
路由策略的实现路由策略的实现步骤如下:(1) 首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则。
可以用路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。
(2) 然后再将匹配规则应用于路由的发布、接收和引入等过程的路由策略中。
可以灵活使用过滤器来定义各种匹配规则,过滤器的相关内容见下面介绍。
过滤器过滤器可以看作是路由策略过滤路由的工具,单独配置的过滤器没有任何过滤效果,只有在路由协议的相关命令中应用这些过滤器,才能够达到预期的过滤效果。
路由协议可以引用访问控制列表、地址前缀列表、AS路径访问列表、团体属性列表、扩展团体属性列表、Route-policy几种过滤器。
路由策略解析
【导读】大中型企业的内部网络比较复杂,往往由多个路由交换设备组成,网络构成也是分层次的,采用接入层,汇聚层,核心层三部分递进而成。
大中型企业的内部网络比较复杂,往往由多个路由交换设备组成,网络构成也是分层次的,采用接入层,汇聚层,核心层三部分递进而成。
在这些复杂网络中各种应用也是非常繁多的。
有时我们需要对路由进行策略,这时就需要用到网络高级交警——路由策略了,今天笔者将就路由策略的基本信息进行介绍,帮助各位IT168的读者掌握网络高级交警的应用。
什么是路由策略:(如图1)
图1
众所周知网络中的路由器主要起到为网络数据包提供路由的功能,说白了就是告诉一个数据包如何走才能到达目的地,类似于我们现实生活中的交通信号灯。
通过红绿黄三色灯来控制车辆的通行就类似于路由器控制数据包的通行。
比如我们企业内网中的一台计算机要和外部网络中的机器进行数据通讯,那么首先企业计算机会把数据发送到企业内部的路由器上,路由器告诉该数据任何到达企业临界路由器(就是和外网相连的路由器),到达临界路由器后该设备会继续告诉数据如何走才能到达电信路由器,接下来会通过一个又一个的电信路由器,最终到达外网那台计算机上。
所有路线如何行进都是由路由器中的路由表来支配的。
而本文介绍的路由策略却和路由有很大区别,他是对路由的控制,类似于我们现实生活中的交通警察,可以根据实际变动来控制车辆流动。
例如一般情况下一条道路是东西走向的,平时我们可以根据信号灯的指示来行走。
当有特殊需要时交通警察会到达路由指挥我们的行进,当道路临时封闭时他可以禁止我们继续向前行进而强行指引我们拐弯,这就是路由策略,
他可以根据我们网络数据包的一些详细信息对数据包的路由走向进行修改,从而实现控制路由的效果。
路由策略与访问控制列表的区别:
策略路由与简单的源地址路由不同,对于有多个出口的应用,如连接了公网的教育网,如果内部的服务器希望被外面访问,则需要使用策略路由技术。
策略路由是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。
不过很多网管员在初次听到路由策略概念和学习路由策略知识时都会产生以下疑惑,认为他和访问控制列表区别不大。
实际上这两者的区别还是比较明显的,在关键时候访问控制列表做不了的事情通过路由策略可以轻松解决。
访问控制列表是对数据包的控制,他仅仅能决定是否传输数据,例如一个数据包到达某接口是容许通过还是禁止通过而丢弃。
他不能实现对数据走向的控制。
说白了访问控制列表就是在网络流量车流到达某个地方时对车流类型进行检查,例如多少吨以上的或者来自某某城市的车不容许通过禁止通行,而其他车辆可以正常通过。
而路由策略却可以根据车辆的类型进行控制,例如多少吨以上的或者来自某某城市的车从东边走,而其他车辆从西边走。
这种对路由(行进方向)的控制就是路由策略的本质。
路由策略的特点:
本文主要为大家解析路由策略的概念,至于应用案例则需要等待下文揭晓。
路由策略主要有以下几大特点。
路由策略具有一系列的语句:用match语句来声明。
也就是说match后跟条件,例如前文比喻中的多少吨以上的汽车,这个多少吨就是match后的条件。
(如图2)
图2
路由策略可以用set语句改变匹配的数据包或者路由:也就是说set后跟改变的路由。
例如前文比喻中的多少吨以上或者来自某城市的车从东边走,这个往东走的内容就是set要明确的。
(如图3)
图3
有着相同路由策略名称的语句被认为是同一个路由策略:也就是说不管你添加了多少路由策略控制语句,只要他的路由策略名称一样,那么这些条件会放到一起作用。
match后的条件可以跟多个:例如既满足多少吨以上又满足来自某个城市的车
路由策略的简单格式:
下面笔者简单介绍下路由策略的格式,帮助读者加深记忆。
定义该路由策略:
route-map map-tap permit|deny sequence-number
其中route-map是表示该指令是一条路由策略,map-tap是指我们这条路由策略的名称,permit 和deny是对此路由策略的默认采取方式,具体执行标准和访问控制列表中的permit与deny 一致,最后的sequence-number是我们路由策略的序号,一般他是可选参数,指明一个具有相同名称的新路由策略在路由策略语句中的位置,类似于访问控制列表中的标号。
定义路由策略应用条件和结果:
match XXXXX
set XXXX
首先用match定义一个条件,这个条件可以是多个并列也可是“或”的关系,然后设置set 语句,当满足该条件时执行set后的语句,否则跳过该语句。
总结:
策略路由主要应用在企业路由表复杂或者需要对路由进行控制的情况下,特别是当企业网络出口有两条,需要对不同服务和应用或者不同客户端的路由进行控制时,当然企业内部跑两个网络也经常要用到路由策略。
笔者将在下篇文章为各位介绍一个应用路由策略的实际例子,帮助各位IT168的读者更好的灵活掌握路由策略的概念和应用,让我们更加熟悉网络中的高级交通警察,更加灵活自如的控制网络数据包为我们的企业网络多种应用服务。