module-1企业路由域快速部署控制

路由控制在企业网络的设备通信中，常面临一些非法流量访问的安全性及流量路径不优等问题，故为保证数据访问的安全性、提高链路带宽利用率，就需要对网络中的流量行为进行控制，如控制网络流量可达性、调整网络流量路径等。而当面对更加复杂、精细的流量控制需求时，就需要灵活地使用一些工具来实现，本课程将主要介绍一些有关流量控制的常用工具及其使用场景。学完本课程后，您将能够：掌握控制网络流量可达性的实现方式掌握调整网络流量路径的实现方式熟悉路由引入导致的问题及解决方法流量行为控制需求控制流量可达性调整网络流量路径路由引入导致的问题及解决办法对流量行为的控制需求分析控制网络流量可达性。调整网络流量路径。财务部公司总部研发部资料部OSPF市场部为保证网络安全性，客户常提出一些部门之间不可互访的需求在后期对网络做优化时，常提出调整网络流量路径的需求财务部公司总部OSPF市场部链路空闲10M10M10M5M流量行为控制需求控制流量可达性路由策略方式策略路由方式调整网络流量路径路由引入导致的问题及解决办法控制网络流量可达性思考：如何控制网络流量可达性？解决方案一：可通过修改路由条目（即对接收和发布的路由进行过滤）来控制流量可达性，这种方式称为路由策略。解决方案二：可直接通过依据用户制定的策略进行转发，且该策略优于路由表转发，这种方式称为策略路由。财务部公司总部研发部资料部OSPF市场部RTDRTCRTBRTA解决方案一：采用路由策略方式财务部公司总部研发部资料部OSPF市场部RTDRTCRTBRTA可利用Filter-Policy工具对RTA向OSPF引入的路由和RTC写入路由表的路由进行过滤：首先使用ACL或IP-PrefixList工具来匹配目标流量；然后在协议视图下，利用Filter-Policy向目标流量发布策略。可利用Route-Policy工具，在RTA引入直连路由时对路由进行过滤：首先使用ACL或IP-PrefixList工具来匹配目标流量；然后在协议视图下，利用Route-Policy对引入的路由条目进行控制。ACL应用示例(1)ACL可通过匹配报文的信息实现对报文的分类acl

2001rule0permitsource

1.1.0.00.0.255.2551.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/81.1.1.1/321.1.1.0/241.1.0.0/16ACL应用示例(2)acl

2001rule0permitsource

1.1.1.10rule1denysource1.1.1.00rule2permitsource1.1.0.00.0.255.0rule3denysourceany1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/81.1.1.1/321.1.0.0/16ACL应用示例(3)acl

2001rule0permitsource

1.1.1.001.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/81.1.1.0/241.1.1.0/25问题：如何过滤掉1.1.1.0/25？ACL可以灵活地匹配IP地址的前缀，但无法匹配掩码长度IP-PrefixList应用示例(1)IP-PrefixList能够同时匹配IP地址前缀及掩码长度。IP-PrefixList不能用于IP报文的过滤，只能用于路由信息的过滤。ipip-prefixtestindex10permit10.0.0.016greater-equal24less-equal28IP地址范围：10.0.0.0–10.0.x.x24<=掩码长度<=28例：10.0.1.0/24,10.0.2.0/25,10.0.2.192/26IP-PrefixList应用示例(2)ipip-prefixPref1index10permit1.1.1.024

greater-equal24less-equal241.1.1.1/321.1.1.0/241.1.1.0/251.1.0.0/161.0.0.0/81.1.1.0/241.1.1.0/25将被过滤掉“greater-equal24less-equal24”表示掩码长度只能是24Filter-Policy工具介绍对协议接收的路由进行过滤：

filter-policy{

acl-number

|ip-prefixip-prefix-name}import对协议发布的路由进行过滤：

filter-policy{acl-number|ip-prefixip-prefix-name}exportFilter-Policy能够对接收或发布的路由进行过滤，可应用于RIP、OSPF、BGP等协议。Route-Policy工具介绍Route-Policy是一种功能非常强大的路由策略工具，它可以灵活地与ACL、IP-PrefixList、As-Path-Filter等其它工具配合使用Route-Policy的组成：route-policy

route-policy-name{permit|deny}node

nodeif-match{acl/cost/interface/ipnext-hop/ip-prefix}apply{acl/cost/interface/ipnext-hop/ip-prefix}Route-Policy由若干个node构成，node之间是“或”的关系。且每个node下可以有若干个if-mach和apply子句，if-match之间是“与”的关系Route-Policy应用示例NetworkCostNextHop1.1.2.0/24468734.34.34.2468713.13.13.11.1.3.0/24468734.34.34.2468713.13.13.11.1.3.0/25134.34.34.2113.13.13.15.5.5.5/32468734.34.34.2468713.13.13.16.6.6.6/32468734.34.34.2468713.13.13.1NetworkCostNextHop1.1.3.0/24468734.34.34.22113.13.13.11.1.3.0/251134.34.34.22113.13.13.1acl2001rule0permitsource1.1.3.00.0.0.255acl2002rule0permitsource13.13.13.10route-policyRPdenynode10if-matchip-prefixPref1route-policyRPpermitnode20if-matchip-prefixPref2route-policyRPpermitnode30if-matchacl2001if-matchipnext-hopacl2002applycost21route-policyRPpermitnode40if-matchip-prefixPref3applycost11route-policyRPpermitnode50#ipip-prefixPref1index10permit5.5.5.532ipip-prefixPref1index20permit1.1.2.024ipip-prefixPref2index10deny6.6.6.632ipip-prefixPref3index10permit1.1.3.024greater-equal25less-equal25Table-1Table-2路由策略方式配置实现(1)财务部公司总部研发部资料部OSPF市场部RTDRTCRTBRTA10.1.4.012.1.2.012.1.3.010.1.5.012.1.1.010.1.1.010.1.2.010.1.3.0ospf1area0network12.1.2.00.0.0.255network10.1.4.00.0.0.255ospf1area0network12.1.3.00.0.0.255network10.1.5.00.0.0.255ospf1area0network12.1.1.00.0.0.255network12.1.2.00.0.0.255network12.1.3.00.0.0.255ospf1import-routedirectarea0network12.1.1.00.0.0.255路由策略方式配置实现(2)acl2000rule5denysource10.1.1.00.0.0.255rule10permitsourceanyospf1

filter-policy2000import财务部公司总部研发部资料部OSPF市场部RTDRTCRTBRTA10.1.4.010.1.5.010.1.1.010.1.2.010.1.3.0ipip-prefixabindex10permit10.1.1.024ipip-prefixabindex20permit10.1.3.024ospf1

filter-policyip-prefixabexportdirect路由策略方式配置实现(3)<RTC>disiprouting-tableRouteFlags:R-relay,D-downloadtofib------------------------------------------------------------------------------RoutingTables:Public

Destinations:14Routes:14Destination/MaskProtoPreCostFlagsNextHopInterface

10.1.3.0/24O_ASE1501D12.1.2.1GigabitEthernet0/0/0

10.1.4.0/24Direct00D10.1.4.2GigabitEthernet0/0/110.1.5.0/24OSPF103D12.1.2.1GigabitEthernet0/0/0<RTD>disiprouting-tableRouteFlags:R-relay,D-downloadtofib------------------------------------------------------------------------------RoutingTables:Public

Destinations:15Routes:15Destination/MaskProtoPreCostFlagsNextHopInterface

10.1.1.0/24O_ASE1501D12.1.3.1GigabitEthernet0/0/0

10.1.3.0/24O_ASE1501D12.1.3.1GigabitEthernet0/0/0

10.1.4.0/24OSPF103D12.1.3.1GigabitEthernet0/0/0

10.1.5.0/24Direct00D10.1.5.2GigabitEthernet0/0/1流量行为控制需求控制流量可达性路由策略方式策略路由方式调整网络流量路径路由引入导致的问题及解决办法解决方案二：采用策略路由方式

(1)基于自定义策略实现：使用Traffic-Filter工具对数据进行过滤。财务部公司总部研发部资料部OSPF市场部RTDRTCRTBRTA10.1.4.010.1.5.010.1.1.010.1.2.010.1.3.0aclnumber3000rule0denyipsource10.1.4.00.0.0.255dest10.1.1.00.0.0.255rule5denyipsource10.1.4.00.0.0.255dest10.1.2.00.0.0.255rule10permitipsourceanyintg0/0/1

traffic-filterinboundacl3000acl3000rule0denyipsource10.1.5.00.0.0.255dest10.1.2.00.0.0.255intg0/0/1

traffic-filterinboundacl3000G0/0/1G0/0/1[RTC]disiprouting-tableRouteFlags:R-relay,D-downloadtofib------------------------------------------------------------------------------RoutingTables:Public

Destinations:16Routes:16Destination/MaskProtoPreCostFlagsNextHopInterface

10.1.1.0/24O_ASE1501D12.1.2.1GigabitEthernet0/0/0

10.1.2.0/24O_ASE1501D12.1.2.1GigabitEthernet0/0/0

10.1.3.0/24O_ASE1501D12.1.2.1GigabitEthernet0/0/0

10.1.4.0/24Direct00D10.1.4.2GigabitEthernet0/0/110.1.5.0/24OSPF103D12.1.2.1GigabitEthernet0/0/0解决方案二：采用策略路由方式(2)PC-市场部>ping10.1.1.1Ping10.1.1.1:32databytes,PressCtrl_CtobreakRequesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!---10.1.1.1pingstatistics---

4packet(s)transmitted

0packet(s)received

100.00%packetloss流量行为控制需求控制流量可达性调整网络流量路径路由策略方式策略路由方式路由引入导致的问题及解决办法调整网络流量路径-单协议简单场景解决方案一：可通过路由策略方式修改协议属性来控制路由表条目，从而调整流量路径。解决方案二：可采用策略路由方式在查找路由表之前控制流量行为。RTC财务部公司总部OSPF市场部链路空闲10M10M10M5MRTARTBRTD在后期对网络进行优化时，常出现调整网络流量路径的需求。解决方案一：采用路由策略方式财务部10人公司总部OSPF市场部20人10M(cost1)10M(cost1)10M(cost1)5M(cost2)RTDRTCRTBRTA12.1.1.012.1.2.012.1.3.012.1.4.010.1.1.010.1.2.010.1.3.0G0/0/0disiprouting-tableDestination/MaskProtoPreCostFlagsNextHopInterface

10.1.3.0/24

OSPF103D12.1.1.2GigabitEthernet0/0/0intg0/0/0ospfcost2disiprouting-tableDestination/MaskProtoPreCostFlagsNextHopInterface

10.1.3.0/24

OSPF104D12.1.1.2GigabitEthernet0/0/0

OSPF104D12.1.3.2GigabitEthernet0/0/1G0/0/1解决方案一的局限性如图，若采用解决方案一来实现以上需求，由于其只能依据数据包的目的地址做转发策略，所以无法满足需求；故当出现基于源地址、目的地址或基于应用层等一些复杂的控制需求时，就体现出其局限性。为充分利用链路带宽，现要求市场部访问总部流量路径为RTA-RTB-RTD，财务部访问总部流量路径为RTA-RTC-RTD。RTCRTB财务部10人公司总部OSPF市场部20人10M10M10M5MRTDRTA流量行为控制需求控制流量可达性调整网络流量路径路由策略方式策略路由方式路由引入导致的问题及解决办法解决方案二：采用策略路由方式(1)采用基于源的策略路由方式，即来自市场部的流量下一跳为RTB，来自财务部的流量下一跳为RTC策略路由方式常采用Traffic-Policy工具来实现：首先使用ACL工具匹配目标流量；然后对目标流量定义行为，如修改下一跳。RTCRTB财务部10人公司总部OSPF市场部20人10M10M10M5MRTDRTAG0/0/2G4/0/012.1.1.012.1.2.012.1.3.012.1.4.010.1.1.010.1.2.010.1.3.0解决方案二：采用策略路由方式(2)[RTA]acl3001 rule5permitipsource10.1.2.00.0.0.255dest10.1.3.00.0.0.255trafficclassifierhuawei-control2

if-matchacl3001trafficbehaviorhuawei-control2

redirectip-nexthop12.1.3.2trafficpolicyhuawei-control2classifierhuawei-control2behaviorhuawei-control2intg4/0/0traffic-policyhuawei-control2inbound[RTA]acl3000rule5permitipsource10.1.1.00.0.0.255dest10.1.3.00.0.0.255trafficclassifierhuawei-control1if-matchacl3000trafficbehaviorhuawei-control1redirectip-nexthop12.1.1.2trafficpolicyhuawei-control1classifierhuawei-control1behaviorhuawei-control1intg0/0/2traffic-policyhuawei-control1inbound解决方案二：采用策略路由方式(3)PC-市场部>tracert10.1.3.1tracerouteto10.1.3.1,8hopsmax(ICMP),pressCtrl+Ctostop

110.1.1.247ms31ms15ms

212.1.1.247ms31ms32ms

312.1.2.293ms63ms46ms

4*10.1.3.162ms31ms<RTA>disiprouting-tableRouteFlags:R-relay,D-downloadtofib-------------------------------------------------------------------------RoutingTables:Public

Destinations:19Routes:20Destination/MaskProtoPreCostFlagsNextHopInterface

10.1.1.0/24Direct00D10.1.1.2GigabitEthernet0/0/210.1.2.0/24Direct00D10.1.2.2GigabitEthernet4/0/010.1.3.0/24OSPF103D12.1.1.2GigabitEthernet0/0/0PC-财务部>tracert10.1.3.1tracerouteto10.1.3.1,8hopsmax(ICMP),pressCtrl+Ctostop

110.1.2.216ms31ms16ms

212.1.3.262ms47ms31ms

312.1.4.247ms47ms31ms

410.1.3.132ms46ms32ms路由策略与策略路由的区别路由策略策略路由基于控制平面，会影响路由表表项。基于转发平面，不会影响路由表表项，且设备收到报文后，会先查找策略路由进行匹配转发，若匹配失败，则再查找路由表进行转发。只能基于目的地址进行策略制定。可基于源地址、目的地址、协议类型、报文大小等进行策略制定。与路由协议结合使用。需手工逐跳配置，以保证报文按策略进行转发。常用工具：Route-Policy、Filter-Policy等。常用工具：Traffic-Filter、Traffic-Policy、Policy-Based-Route等。流量行为控制需求控制流量可达性调整网络流量路径路由引入导致的问题及解决办法

ospf1import-routerip1type1

ospf1import-routerip1type1调整网络流量路径-多协议复杂场景财务部10人公司总部市场部20人10M5MRTDRTCRTBRTA前文示例中描述的四台路由器都运行同一种协议，分析若运行不同协议会出现什么问题？10.1.3.0/24150310.1.3.0/241504

链路空闲，链路带宽利用率低

解决：可通过修改接口的ospf开销值实现负载RIPOSPF多协议复杂场景带来的其他问题-次优路由Lo0:2.2.2.2Dest.RIP100

Dest.RIP100importripDest.ISIS15Dest.ISIS15RTARTCRTBRTD[RTB]displayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2.0.0.0/8

ISIS158412.12.12.1Serial0isis1

import-routerip1S012.12.12.1RIPISIS解决方案一：利用路由过滤避免次优路由Lo0:2.2.2.2RIPISISRTARTDRTCRTB24.24.24.2acl2001rule5denysource2.0.0.00.255.255.255rule10permitisis1

filter-policy2001importdisplayiprouting-tableDestination/MaskProtoPreCostNextHopInterface2