HCIP Datacom - filter policy原理
HCIP Datacom - filter policy原理
Mr.ZhangHCIP Data-filter policy原理
- 面临一些非法流量访问的安全性及流量路径不优等问题,故为保证数据访问的安全性、提高链路带宽利用率,需要对网络中的流量行为进行控制,如:控制网络流量可达、调整网络流量路径等
流量行为控制需求
对流量行为的控制需求分析
控制网络流量可达性
- 保证网络安全性,客户常提出一些部门之间不可互访的需求
调整网络流量路径
- 后期对网络做优化时,常提出调整网络流量路径的需求
控制流量可达性
路由策略方式(控制平面-路由表\filter-policy\route-policy)
可通过修改路由条目(即对接收和发布的路由及路由进行过滤)来控制流量可达性,这种方式称为路由策略
可利用Fileter-Policy工具对RTA向OSPF引入的路由和RTC写入路由表的路由进行过滤:
- 首先使用ACL或IP-Prefix List工具来匹配目标流量
- 然后在协议视图下,利用Route-Policy向目标流量发布策略
可使用Route-Policy工具,在RTA引入直连路由时对路由进行过滤
- 首先使用ACL或IP-Policy List工具来匹配目标流量
- 然后在协议视图下,利用Route-Policy对引入的路由条目进行控制
ACL应用示例
- ACL可通过匹配报文的信息实现对报文的分类
IP-perfix List应用示例
- 能够同时匹配IP地址前缀及掩码长度
- 不能用于IP报文的过滤,只能用于路由信息的过滤
- ip ip-Prefix List test index 10 permit 10.0.0.0 16
特殊示例
- permit 0.0.0.0 0 默认匹配
- permit 0.0.0.0 32 匹配所有
- permit 0.0.0.0 1 gre 16 匹配掩码大于16的A类地址
- permit 128.0.0.0 2 gre16 匹配掩码大于16的B类地址
- permit 192.0.0.0 3 gre16 匹配掩码大于16的C类地址
Filter-Policy工具介绍
- Filter-Policy能够对接收或发布的路由进行过滤,可应用于RIP、OSPF、BGP等协议
- 对协议接收的路由进行过滤:
- filter-policy { acl-number | ip-prefix ip-prefix-name } import
- 对协议发布的路由进行过滤
- filter-policy { acli-number | ip-prefix ip-prefix-name } export
Route-Policy工具介绍
- Route-Policy是一种功能非常强大的路由策略工具,它可以灵活地与ACL、IP-Prefix List、As-Path-Filter等其它工具配合使用
- Route-Policy的组成
- route-policy route-policy-name { permit | deny } node node
- if-match { acl /cost/intertace/ip next-hop/ip-prefix }
- apply { cost/ip-address next-hop/tag }
- Route-policy由若干node构成,node之间是“或”的关系。且每个node不可以有若干个if-match和apply子句,if-match之间是“与”的关系
Route-Policy应用示例
| Network | Cost | NextHop |
|---|---|---|
| 1.1.2.0/24 | 4687 | 34.34.34.2 |
| 4687 | 13.13.13.1 | |
| 1.1.3.0/24 | 4687 | 34.34.34.2 |
| 4687 | 13.13.13.1 | |
| 1.1.1.3.0/25 | 1 | 34.34.34.2 |
| 1 | 13.13.13.1 | |
| 5.5.5.5/32 | 4687 | 34.34.34.2 |
| 4687 | 13.13.13.1 | |
| 6.6.6.6/32 | 4687 | 34.34.34.2 |
| 4687 | 13.13.13.1 |
| Network | Cost | NextHop |
|---|---|---|
| 4687 | 13.13.13.1 | |
| 1.1.3.0/24 | 4687 | 34.34.34.2 |
| 4687 | 13.13.13.1 | |
| 1.1.1.3.0/25 | 1 | 34.34.34.2 |
| 1 | 13.13.13.1 |
| 语句 |
|---|
| acl 2000 rule 0 permit source 1.1.3.0 0.0.0.255 acl 2002 rule 0 permit source 13.13.13.1 0 route-policy RP deny node 10 if-match ip-prefix Pref1 route-policy RP permit node 20 if-match ip-prefix Pref2 route-policy RP permit node 30 if-match acl 2001 if-match ip next-hop acl 2002 apply cost 21 route-policy RP permit node 40 if-match ip-prefix Pref3 apply cost 11 route-policy RP permit node 50 # ip ip-prefix Pref1 index 10 permit 5.5.5.5 32 ip ip-prefix Pref1 index 20 permit 1.1.2.0 24 ip ip-prefix Pref2 nidex 10 deny 6.6.6.6 32 ip ip-prefix Pref3 index 10 permit 1.1.3.0 24 greater-equal 25 less-equal 25 |
策略路由方式(数据平面,转发平面-ACL
- 可直接通过依据用户指定的策略进行转发,且该策略由于路由表转发,这种方式称为策略路由
调整网络流量路径
- 调整网络流量路径-单协议简单场景
- 在后期对网络进行优化时,常出现调整网络流量路径的需求
- 通过路由策略方式修改协议属性来控制路由条目表,从而调整流量路径
- 通过采用策略路由方式在查找路由表之前控制流量行为
路由策略方式
- 局限性
- 由于其只能依据数据包的目的地址做转发策略,无法满足需求;故当出现基于源地址、目的地址或或基于应用层等一些复杂的控制需求时,就出现其局限性
策略路由方式
基于源的策略路由方式,通过Traffic-Policy工具来实现
- 首先使用ACL工具匹配目标流量
- 然后对目标流量定义行为,修改下一跳
路由策略与策略路由的区别
| 路由策略 | 策略路由 |
|---|---|
| 基于控制平面,只影响路由表表项 | 基于转发平面,不会影响路由表表项,且设备收到报文后,会先查找策略路由进行匹配转发,若匹配失败,则再查找路由表进行转发 |
| 只能基于目的地址进行策略制定 | 可基于源地址、目的地址、协议类型、报文大小等进行策略制定 |
| 与路由协议结合使用 | 需手工逐跳配置,以保证报文按策略进行转发 |
| 常用工具:Route-Policy、Filter-Policy | 常用工具:Traffic-Filter、Traffic-Policy、Policy-Based-Route等 |
路由引入导致的问题及解决方法
- 调整网络流量路径 - 多协议复杂场景
Related Articles
Comment
匿名评论隐私政策
✅ 你无需删除空行,直接评论以获取最佳展示效果
Recent Post
