1. 路由控制概述
2. 路由控制工具
2.1 路由匹配工具
访问控制列表(Access Control List, ACL)是一个匹配工具。
由若干条 permit / deny 组成的ACL规则组成。
ACL 匹配原则: 一旦命中即停止匹配
ACL在做路由匹配时,更多是匹配"以什么地址开头的IP段",而不是"这个IP段的具体掩码"。
2.2 路由策略工具
Filter-Policy只能过滤路由信息,无法过滤LSA
在路由协议中,"路由信息"和"LSA(Link State Advertisement,链路状态通告)"是两个不同的概念:
-
路由信息:
- 路由信息是路由器根据网络中的通告计算出的最终路径。它告诉路由器从当前位置到达某个目标地址的最佳路径。例如:一条路由信息可以表示"到达192.168.1.0/24网络的最佳路径是通过接口A"。
- 路由信息是路由表中的内容,包含目标网络的前缀、下一跳、度量等信息,供路由器进行实际的数据转发。
-
LSA(链路状态通告):
- LSA是OSPF(开放最短路径优先)等链路状态路由协议使用的通告信息,用于在网络中的路由器之间交换和传播网络拓扑信息。
- 每个路由器会通过LSA发布自身的连接状态,比如"我有到192.168.1.0/24网段的连接"。其他路由器接收到LSA后,会综合所有路由器的LSA来构建整个网络的拓扑图,再基于该拓扑图计算出到每个网络的最佳路径。
- LSA包含的信息比路由信息更加详细,它描述的是网络的连接情况,而不是具体的路径。
例子解释
假设一个网络中有三个路由器,R1、R2和R3,连接成一个链状网络,R1连到R2,R2连到R3。以下是路由信息和LSA在这个网络中的表现:
-
LSA信息:
- R1发出LSA,通告"我有到R2的连接"。
- R2发出LSA,通告"我有到R1和R3的连接"。
- R3发出LSA,通告"我有到R2的连接"。
- 每个路由器基于这些LSA信息绘制出网络拓扑图,知道所有路由器之间的连接关系。
-
路由信息:
- 基于LSA信息构建的拓扑图,R1计算出到达R3的最佳路径应该是"通过R2",并将这一信息更新到自己的路由表中。
- 最终,R1的路由表中会有一条路由信息:"到达R3的网络,下一跳是R2"。
Filter-Policy的作用
- Filter-Policy 是用来过滤路由信息的策略。它可以阻止某些路由信息被传播或学习到,但它不能直接影响LSA的传播 。例如:
- R1的Filter-Policy可以设置为不接收来自R2的到达某个特定网络的路由信息,这样R1的路由表里就不会有到达那个网络的路径。
- 但R1仍然会接收到R2的LSA,并更新拓扑信息。
总结
- 路由信息是具体的路径,用于路由器做数据转发。
- LSA是网络拓扑信息,用于构建整个网络的连接图,帮助路由器计算路由信息。
- Filter-Policy只能过滤路由信息,无法过滤LSA,所以它不能影响拓扑图的构建,只能控制具体路径是否被加入路由表。
OSPF和IS-IS用于一个自治系统(AS)内部的路由(IGP),而BGP用于不同自治系统之间的路由(EGP)
在一台路由器上可以配置多个Route-Policy节点。这些节点是逻辑上的配置单元,它们不是物理实体,而是作为决策点来对经过路由器的路由信息进行过滤和修改。
路由表(Routing Table)是路由器用于决定最佳路径的数据库。路由表中包含了目的网络、下一跳地址等信息。Route-Policy的作用就是对路由表中的路由条目进行过滤和修改属性设置,以影响路由器的路由决策过程。
流量过滤与转发路径控制
1. 策略路由
背景
策略路由和PBR的应用场景
一、定义
-
PBR(策略路由,Policy-Based Routing):PBR是一种路由机制,允许网络管理员根据预定义的策略而非仅仅依赖目标IP地址来决定数据包的转发路径。它可以基于源IP地址、目的IP地址、协议类型、端口号等多种匹配条件,实现对流量的精细化控制。
-
路由策略(Route-Policy):路由策略是用于控制路由信息的收发和选择的规则集合。它可以过滤、修改或设置路由属性,影响路由协议(如BGP、OSPF)中的路由传播和选择过程。
五、实例解释
-
PBR实例:
场景:一家企业希望将来自财务部门的流量通过安全性更高的专用线路传输,而其他部门的流量则走普通的互联网线路。
实现步骤:
- 定义ACL:创建一个ACL,匹配源IP地址属于财务部门的流量。
- 配置路由映射(Route-Map):使用上述ACL作为匹配条件,设置下一跳为专用线路的网关。
- 应用PBR策略:在入接口上应用该路由映射,使进入的流量根据策略进行转发。
效果:财务部门的流量将被策略路由到专用线路,而其他流量仍按正常路由转发。
-
路由策略实例:
场景:一家ISP希望在与合作伙伴的BGP对等连接中,拒绝接收某些特定的路由前缀,以避免流量经过不可信任的网络。
实现步骤:
- 定义路由过滤器:创建一个前缀列表,列出需要过滤的路由前缀。
- 配置路由策略:使用上述前缀列表作为匹配条件,在路由策略中设置拒绝(deny)动作。
- 应用路由策略:在BGP对等体的入向方向应用该路由策略。
效果:来自合作伙伴的特定路由前缀将被过滤,不会进入本地路由表,避免了潜在的安全风险。
数据报文是网络中传输的实际数据单元。它包含数据内容以及头部信息(如源IP地址、目的IP地址、协议类型等)
路由信息指的是网络设备之间用来决定数据报文转发路径的路由表或路由协议信息。这些信息帮助设备确定数据报文的最佳路径。
PBR分类
接口PBR是在网络设备的某个具体接口上配置策略路由规则。也就是说,进入或离开该接口的数据流量会根据预设的策略来决定其转发路径。本地PBR是在网络设备本身上配置的策略路由规则,而不是绑定到特定接口。这些规则根据数据包的属性(如源IP、目的IP、协议等)来决定其转发路径,无论数据包通过哪个接口进入设备。
为什么使用PBR进行"引流"而不直接将外部流量引向防火墙?
在网络设计中,引流(Traffic Steering)是指将特定的流量引导到特定的设备或路径进行处理。使用**策略路由(PBR)**进行引流,而不是简单地通过传统路由将外部流量直接引向防火墙,有多个关键原因和优势。让我们通俗易懂地解释一下。
1. 灵活的流量控制
传统路由 基于目的地址、子网等静态信息来转发流量,所有符合条件的流量都会按照路由表的指示走相同的路径。而PBR允许根据更丰富的策略(如源地址、协议类型、端口号等)来决定流量路径。
举例说明:
- 不同业务需求:假设公司有多个外部连接需求,普通网页浏览的流量可以直接通过高带宽的主互联网连接,而需要严格安全检查的金融交易流量则需要经过防火墙。这种基于业务类型的流量区分,传统路由无法实现,而PBR可以根据源或目的IP、端口等属性灵活地引导流量。
2. 优化网络性能和资源利用
通过PBR,可以实现负载均衡 和链路优化。不仅仅是将所有流量引向防火墙,而是根据实际需要,有选择性地引导部分流量,从而避免防火墙成为瓶颈。
举例说明:
- 分流处理:高流量的媒体传输(如视频会议)可能不需要经过严格的安全检查,而普通的网页浏览则需要。这种情况下,PBR可以将需要检查的流量引向防火墙,而其他流量则直接通过,减轻防火墙的负担,提高整体网络效率。
3. 增强网络安全
通过PBR,可以细化安全策略,确保只有特定类型的流量经过防火墙检查,而其他流量则可以根据不同的安全需求采取不同的处理方式。
举例说明:
- 分级安全:内部敏感数据的流量必须经过高安全性的防火墙,而一般的员工上网流量则可以通过较低安全级别的设备处理。PBR使得这种分级安全策略得以实施,提升整体网络的安全性和灵活性。
4. 简化网络管理
当网络规模较大、接口较多时,PBR可以在核心交换机上集中管理流量引导策略,而不需要在每个接口或设备上单独配置路由规则。
举例说明:
- 集中管理:在核心交换机上配置PBR规则,可以统一管理所有流量的引导路径,减少配置的复杂性和出错的可能性。而如果直接通过传统路由进行引导,可能需要在多个设备和接口上重复配置,增加管理工作量。
5. 支持复杂网络拓扑
在复杂的网络环境中,可能存在多条路径和多个安全设备,PBR可以根据具体的策略灵活地选择最佳路径,适应不同的网络拓扑和需求。
举例说明:
- 多防火墙环境:公司可能有多个防火墙,分别负责不同的安全策略或服务。PBR可以根据流量的不同特征,动态地选择通过哪个防火墙进行处理,而传统路由难以实现这种动态和智能的流量选择。
2. MQC
QoS,即服务质量(Quality of Service) 是目标和概念,旨在提升网络服务质量。
MQC,全称是Modular QoS Command-line Interface(模块化QoS命令行接口) 是实现QoS的具体工具和方法。
在网络中,流 指的是一系列具有相同特征的数据包,通常由相同的源IP、目标IP、协议类型、源端口和目标端口等组成。可以将其类比为一条车道上的一组车辆,它们具有相同的目的地和路线。
一个流由多个数据报文 组成,这些数据报文共享相同的特征和传输路径。
MQC基于流的特征来应用QoS策略,而不是逐个数据包处理,提高了效率。
假设你正在进行视频会议,这个会议产生了一系列具有相同源IP和目标IP的视频数据包,这些数据包组成一个流。同时,你在下载一个大文件,这也会生成另一个流。MQC可以为视频会议的流分配更高的优先级,确保会议的流畅进行,而文件下载的流则在带宽允许的情况下进行。
MQC三要素
流分类:
识别不同类型的流量 :例如,将视频会议流量与文件下载流量区分开。
基于特征进行分类 :使用源IP、目的IP、端口号、协议类型等特征来定义流量类别。
类比: 将流分类比作在机场安检时,根据乘客的登机牌信息(如航班号、舱位等级)将乘客分配到不同的安检通道。
流行为
视频会议流量 :需要低延迟和高优先级。
文件下载流量 :需要保证带宽,但延迟要求不高。
类比: 流行为就像在机场,针对不同类别的乘客(如商务舱、经济舱)设置不同的登机优先级和安检时间。
流策略
流策略 是将流分类和流行为结合起来的整体策略
视频会议流量 被赋予高优先级,确保其低延迟和稳定性。
文件下载流量 被分配到预定带宽范围内,防止其占用过多资源。
其他默认流量 按照公平队列进行处理,保证整体网络的平衡。
类比: 流策略就像机场制定的一整套登机和安检规则,决定了不同类别的乘客如何被处理,并确保整个流程高效运行。
综合示例:企业网络中的QoS实施
场景:
一家企业需要在其核心交换机上实施QoS,以确保关键业务应用(如视频会议和语音通信)获得优先处理,同时合理分配带宽给非关键应用(如文件下载和网页浏览)。
步骤:
-
流分类(Traffic Classifier)
- 视频会议流量:UDP协议,端口5000。
- 语音通信流量:UDP协议,端口5060。
- 文件下载流量:TCP协议,端口80/443。
plaintextaccess-list 110 permit udp any any eq 5000 ! 视频会议 access-list 111 permit udp any any eq 5060 ! 语音通信 access-list 112 permit tcp any any eq 80 ! HTTP下载 access-list 113 permit tcp any any eq 443 ! HTTPS下载
-
定义分类器(Class Map)
plaintextclass-map match-all Video_Conference match access-group 110 class-map match-all Voice_Communication match access-group 111 class-map match-all File_Download_HTTP match access-group 112 class-map match-all File_Download_HTTPS match access-group 113
-
定义流行为(Traffic Behavior)
plaintextpolicy-map QoS_Policy class Video_Conference priority 1500 ! 高优先级和保留带宽 class Voice_Communication priority 1000 ! 次高优先级 class File_Download_HTTP bandwidth 700 ! 分配带宽 class File_Download_HTTPS bandwidth 700 ! 分配带宽 class class-default fair-queue ! 默认流量公平分配
-
应用流策略(Traffic Policy)到接口
plaintextinterface GigabitEthernet0/1 service-policy output QoS_Policy
效果:
- 视频会议流量 和语音通信流量被赋予最高优先级,确保关键业务的实时性和稳定性。
- 文件下载流量被限制在合理的带宽范围内,避免影响其他关键应用。
- 默认流量被公平处理,保证整体网络的公平性和效率。
3. 流量过滤
在一个企业网络中,可能使用Traffic-Filter来阻止来自外部的恶意流量,同时使用QoS来确保内部关键应用如视频会议得到足够的带宽和低延迟。
"RTA"通常是指"Router"(路由器)的缩写