一、網絡流量雙平面解析
在路由策略的設計中,必須明確區分兩個關鍵平面:
1. 控制層面(Control Plane)
- ??定義??:路由協議傳遞路由信息形成的邏輯平面(如OSPF的LSA、RIP的Response報文)
- ??特征??:
- 流量方向與數據層面??相反??
- 攜帶路由的??拓撲信息??與??開銷值??
- 使用協議端口(如OSPF用224.0.0.5/6)
2. 數據層面(Data Plane)
- ??定義??:用戶數據實際轉發的物理平面
- ??特征??:
- 轉發路徑由控制平面決策決定
- 遵循??最長匹配原則??與??路由優先級?
關鍵差異說明??:
- OSPF控制層面使用??入接口開銷??計算路徑成本(有向圖模型)
- 數據層面流量實際轉發時,路徑開銷是??逐跳出接口開銷??的累加
二、路由策略實施三部曲
1. 流量抓取:精準定位目標路由
1)ACL(訪問控制列表)
基本概念
- 傳統用于數據層面流量過濾
- 在路由策略中可用于匹配路由源/目的網絡
- 匹配精度有限(通配符掩碼不夠靈活)
因為ACL主要是應用在數據層面,所以,在抓取控制層流量時,因為通配符的設計,導致無法精確匹配路由信息。
示例:
# 創建基本ACL(2000-2999匹配源IP)
acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 # 匹配192.168.1.0/24rule 10 deny source any # 隱含拒絕所有# 創建高級ACL(3000-3999匹配源/目的IP)
acl number 3000rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 172.16.0.0 0.0.255.255局限性
- 無法精確匹配路由掩碼長度
- 通配符掩碼與子網掩碼邏輯不同(0表示嚴格匹配,1表示忽略)
2)前綴列表---ip-prefix:
基本概念
- 專為路由策略設計的匹配工具
- 可同時匹配網絡地址和掩碼長度
- 提供greater-equal/less-equal等靈活匹配方式
匹配規則
- 自上而下順序匹配
- 默認步長10(可自定義)
- 末尾隱含拒絕所有規則
典型配置
[r1]ip ip-prefix aa index 15 permit 192.168.1.0 24 # 精確匹配192.168.1.0/24[r1]ip ip-prefix aa permit 192.168.1.0 24 less-equal 28--- 抓取掩碼長度在24和28之間的路由
信息[r1]ip ip-prefix aa permit 192.168.1.0 24 greater-equal 28--- 如果出現前后矛盾,則掩碼以
后面的規則為準,前面的數字變為前多少位固定(這里是前24位固定,子網掩碼大于等于28)[r1]ip ip-prefix aa permit 0.0.0.0 0 greater-equal 32--- 匹配所有的主機路由[r1]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32--- 匹配所有[r1]ip ip-prefix aa permit 0.0.0.0 0 --- 匹配缺省路由查看前綴列表
<r1>dis ip ip-prefix
2.?策略執行:精細化的路由操控
1)RIP Metricin與Metricout
1. Metricin(入方向度量調整)
基本概念
Metricin用于修改路由器接收到的RIP路由的跳數值,影響本地路由表的計算。
工作原理
- 當路由器從鄰居接收到RIP路由更新時
- 在將路由加入路由表之前,先增加指定的metric值
- 最終metric = 原始metric + metricin增加值
典型配置
interface GigabitEthernet0/0/1rip metricin 3 # 所有從該接口收到的RIP路由跳數+3高級用法(ACL過濾)
acl number 2000rule permit source 192.168.1.0 0.0.0.255 # 只匹配192.168.1.0/24網絡interface GigabitEthernet0/0/1rip metricin 2000 5 # 僅對192.168.1.0/24的路由跳數+52. Metricout(出方向度量調整)
基本概念
Metricout用于修改路由器向鄰居發送的RIP路由的初始跳數值。
工作原理
- 當路由器向鄰居發送RIP路由更新時
- 在發送前修改路由的metric值
- 鄰居收到的metric = 原始metric + metricout設置值
典型配置
interface GigabitEthernet0/0/2rip metricout 2 # 所有從該接口發出的RIP路由跳數設為2高級用法(IP-Prefix過濾)
ip ip-prefix VIP permit 10.0.0.0 8interface GigabitEthernet0/0/2rip metricout ip-prefix VIP 1 # 對10.0.0.0/8路由設置跳數為12)Filter-Policy
1. 基本概念
Filter-Policy用于過濾路由的傳播,可以基于ACL或IP-Prefix進行過濾。
2. 入方向過濾(Import)
ip ip-prefix DENY permit 172.16.0.0 16rip 1filter-policy ip-prefix DENY import # 阻止172.16.0.0/16進入路由表3. 出方向過濾(Export)
acl number 2100rule deny source 192.168.0.0 0.0.255.255rule permit source anyrip 1filter-policy 2100 export # 禁止192.168.0.0/16路由傳播4. 接口級過濾
rip 1filter-policy ip-prefix INTERNAL export GigabitEthernet0/0/15. 注意事項
- import影響本地路由表
- export影響鄰居路由表
- 末尾隱含deny any規則
3)Route-Policy
1. 基本結構
route-policy NAME permit|deny node NODE_NUMif-match [條件]apply [動作]2. 條件匹配(if-match)
if-match ip-prefix VIP # 匹配前綴列表
if-match acl 2000 # 匹配ACL
if-match cost 10 # 匹配cost值
if-match tag 100 # 匹配tag值3. 動作設置(apply)
apply cost +10 # 增加cost值
apply cost 100 # 設置固定cost值
apply tag 6666 # 設置tag值
apply preference 150 # 修改協議優先級4. 完整示例
ip ip-prefix FROM_OSPF permit 10.0.0.0 8
ip ip-prefix IMPORTANT permit 192.168.0.0 16route-policy OSPF_TO_RIP deny node 10if-match ip-prefix FROM_OSPF # 阻止OSPF路由進入RIProute-policy OSPF_TO_RIP permit node 20if-match ip-prefix IMPORTANTapply cost 5 # 重要路由設置低costapply tag 100route-policy OSPF_TO_RIP permit node 30 # 放行其他路由5. 調用方式
rip 1import-route ospf 1 route-policy OSPF_TO_RIP四、技術對比
| 技術 | 作用層次 | 主要功能 | 匹配精度 |
|---|---|---|---|
| Metricin/out | 接口級 | 調整路由metric值 | 中等(ACL/IP-Prefix) |
| Filter-Policy | 協議級 | 路由過濾 | 高(精確匹配) |
| Route-Policy | 策略級 | 復雜路由控制和屬性修改 | 非常高(多條件) |
五、排錯命令
display rip route # 查看RIP路由表
display route-policy POLICY # 查看策略內容
debugging rip packet # 調試RIP報文(慎用)
reset rip process # 重置RIP進程
dis ip ip-prefix # 查看前綴列表
開發 python3基礎14:在python 中 總能看到方法里面套方法,那什么時候用這種方式合適呢?)
)
 tmux 超級終端快速入門的宏觀思維)
