控制层面:路由协议传递路由信息的流量--对应的方向
数据层面:设备间具体访问时请求的流量--对应方向
控制层面方向与数据层面方向一定相反
在控制层面流量进或出的接口上,抓取流量后,修改其中参数或删除该信息,最终起到影响路由器路由表的生成,从而实现干涉选路的作用;
抓取流量的技术:
1、ACL---访问控制列表设计初衷用于限制激据层面流量的进出; 故在用于抓取控制层面流量时,可能无法精确匹配;
2、前缀列表--专门设计用于抓取控制层面流量
一个名字为一张表;一张表中可以配置多条内容;匹配规则为至上而下逐一匹配,上条匹配按上条执行,不再查看下一条;末尾隐含拒绝所有;
默认以10为步调,自动添加序列,便于插人和删除
r1ip ip-prefix aa index 15 permit 1.1.3.0 24
r1undo ip ip-prefix aa index 10
r1ip ip-prefix qq permit 2.2.2.0 24 less-equal 30
匹配网络号2.2.2.0子网掩码长度24-30均可
匹配网络号3.3.3.0子网掩码长度为30-32(一般不这样写)
r1ip ip-prefix qq permit 4.4.4.0 24 greater-equal 26 less-equal 30
匹配网络号 4.4.4.0 掩码长度 26-30
数值规则:length<=ge<=le
路由策略
修改或删除流量--路由策略(偏移列表、分发列表、route-map)
1.cisco的偏移列表,在cisco体系中算一种路由策略,在华为体系中不是策略;而是 RIP 这样的距离矢1量协议专用,修改度量的操作; 在cisco中偏移列表也只能在RIP和eigrp这样的距离矢量协议中使用,华为也一样; 在cisco下只能用ACL为其服务; 华为下,acl和前缀列表都可以;
r1ip ip-prefix aa permit 2.2.2.024 使用前级列表抓取:ACL也可
r1interface GigabitEthernet 0/0/1 控制层面流量传输的接口
r1-GigabitEthernet0/0/1rip metricin ip-prefix aa 2 流量人,匹配前缀列表aa,度量加2
metricout 2000 2 流量出,匹配acl 2000,度量加2
该策略为逐跳行为,意思可以叠加操作; 整段路径中流量经过的多个接口均配置了度量增加,最终为总增加度量;
路由在发出时,度量全部加2
2)cisco下的分发列表:华为为过滤策略;
先使用ACL或前级列表,匹配流量; 然后在控制层面流量的人或出接口上限制路由条目的传递;
r2ip ip-prefix qq deny 2.2.2.0 24r2ip ip-prefix qq permit 0.0.0.0 0 less-equal 32
r2rip 1
r2-rip-1filter-policy ip-prefix qq ?
export Specify an export policy 出方向
import Specify animport policy 入方向
r2-rip-1filter-policy ip-prefix qq export GigabitEthernet 0/0/0
切记: 若使用 ACL 定义流量,正常华为 acl末尾允许所有,但在过滤策略中一定手工配置允许所有命令; 注:OSPF协议中正常无法在出方向调用,因为ospf使用的拓扑更新,在同一个区城内不可以限制拓扑的传递; 正常只能在人向调用,不影响数据库的同步,仅仅是不将LSA计算所得的路由加载到路由表; 若想出口调用,可以在ABR/ASBR上针对3/4/5/7类Isa 进行;