流量行为控制需求
1.1. 控制网络流量的可达性
1.2. 调整网络流量的路径
关于上面两种流量控制的需求,我们可以用两种方式来解决
路由策略
可通过控制路由条目(即对接收和发布的路由进行过滤)来控制流量的可达性
策略路由
在查找路由表之前进行控制流量的行为(例如ACL)
- 路由策略
2.1. 路由策略的定义
通过一系列工具或方法对路由进行各种控制的策略
影响路由的产生、发布、选择等,进而影响报文的转发路径
2.2. 路由策略的目的
2.3. 路由策略的作用
控制路由的接入、发布和引入,提高网络安全性
修改路由属性,对网络数据流量进行合理规划,提高网络性能
2.4. 路由策略的实现机制
路由策略的核心内容是过滤器,通过使用过滤器,定义一组匹配规则
2.5. 路由策略各工具之间的调用关系
2.6. IP-Prefix List
2.6.1. IP-Prefix List的概念
能同时精确匹配网络号和前缀长度
性能及可控性比ACL更高(ACL无法匹配掩码/前缀长度)
前缀列表不能用于数据包的过滤
2.6.2. IP-Prefix List的工作机制
ACL、IP IP-Prefix、Route-Policy没有匹配到的路由的默认拒绝
2.6.3. IP-Prefix List的语法规则
2.6.4.
IP-Prefix List的示例
先精确匹配前面网络位,然后再匹配掩码
2.7. Filiter-Policy
一种常见的路由过滤工具,只能过滤路由,无法过滤LSA,不能修改路由属性
距离矢量
链路状态
2.8. Route-Policy
l Route-Policy是一种强大而又复杂的过滤器,用于路由过滤和修改路由属性
2.8.1. Route-Policy的语法规则
Route-Policy由若干个node组成,node之间是“或”的关系
每个node下可以有若干个if-macth和apply子句
If-match之间是“与”的关系
2.8.2. Route-Policy的匹配规则
- 策略路由
PBR:Policy-Based-Route,该技术打破了路由表的传统选路规则,可根据管理员定义的策略条件来选择性的转发数据包
3.1. 路由策略和策略路由的区别
路由策略中,拒绝的将不通过
策略路由中,拒绝的将正常转发
3.2. 策略路由的规则
Route-Policy由若干个node组成,node之间是“或”的关系
每个node下可以有若干个if-macth和apply子句
If-match之间是“与”的关系
3.3. 本地策略路由
仅对本机下发的报文起作用,对转发的报文不起作用
3.4. 接口策略路由
仅对转发的报文起作用,对本机下发的报文不起作用
接口策略路由的配置:通过流策略技术实现
流策略:将流分类和流行为关联,就是流策略,形成了“模板化”的配置方式,最大优点是可以节省配置,支持批量修改
流策略只能部署在入方向
