其他分享
首页 > 其他分享> > datacom数通HCIP和HCNP中级难点详细解析---策略路由和路由策略和ACL

datacom数通HCIP和HCNP中级难点详细解析---策略路由和路由策略和ACL

作者:互联网

策略路由和路由策略

路由策略:filter-policy、route-policy、
策略路由:policy-based-route、traffic-policy
在这里插入图片描述

区别和联系:两者都是为了改变网络流量的转发路径,目的一 样,但实现的方式不一样。
路由策略是通过更改某些路由参数影响路由表的路由条目来影响 报文的转发.

route-policy关键字总结:
案例1:
ospf 1 
	filter-policy 2000 import 
acl  2000 
	rule 5 deny source 2.2.2.2 0 
	rule 10 permit 
注意:由于ospf 传递的是链路信息,因此filter-policy import 指令只能阻止链路信息进入路由表。 LSA会继续传递给其邻居。

案例2:
也可用于isis的路由引入类似于:
import-route isis level-2 into level-1 filter-policy 2005
---------------------------------------------------------------
 route-policy关键字总结:
 (用于后面的ospf章节中的不同AS之间路由引入时可选择过滤,也可用于BGP的控制选路)
 
 ospf 1 
	import-route rip 1 route-policy aa 
route-policy aa permit node 10 
	if-match acl 2005 
acl 2005 
	rule 5 deny source 9.9.8.0 0.0.0.255
	rule 10 permit
---------------------------------------------------------------
cost值修改
[]dis ospf int gx/x/x 查看port的cost值
int gx/x/x/
	ospf cost 5
---------------------------------------
 优先级修改等。。。。。。
int gx/x/x
	ospf dr-pri 10

策略路由是通过管理员在路由器上面配置策略强制数据包按照策 略转发 ,策略路由优先于路由表。(比如:策略路由可以基于源 地址定制数据的转发路径)

策略路由配置—本地方式:只能对由本机主动触发的流量生 效。对流经本机的(转发流量)无效。

R1: 
acl number 3000 
	rule 5 permit ip destination 4.4.4.4 0 
policy-based-route aa permit node 10 
	if-match acl 3000 
	apply ip-address next-hop 13.1.1.3 (强制下一跳) 
ip local policy-based-route aa 本地调用

tracert 4.4.4.4 查看下一跳
dis policy-based-route 查看本地策略路由

策略路由-接口方式(基于接口策略路由)

① 分类 
acl 2006 
	rule 5 permit source 1.1.1.2 0 
acl 2007 
	rule 5 permit source 1.1.1.3 0 
traffic classifier aa
	if-match acl 2007 
traffic classifier bb
	if-match acl 2006 
② 动作 
traffic behavior aazu
	redirect ip-nexthop 13.1.1.3 
traffic behavior bbzu
	redirect ip-nexthop 12.1.1.2
③ 关联 (策略) 
traffic policy temp 
	classifier aa behavior aazu
	classifier bb behavior bbzu
④ 接口调用  
interface GigabitEthernet0/0/2 
	ip address 1.1.1.1 255.255.255.0 
	traffic-policy temp inbound 
注意:目前基于接口的策略路由只针对入方向生效

dis traffic-policy applied-record查看分类和动作绑定、接口调用情况




## ACL 访问控制列表
ACL:traffic-filter
① ACL 简介 (三层技术) ACL :access control list 访问控制列表 用于数据包的访问控制。
 acl 常用两种: 
 基本acl(2000-2999):只能匹配源ip地址。 
 高级acl(3000-3999):可以匹配源ip、目标ip、源端 口、目标端口等三层和四层的字段。
ACL 两种作用:
① 用来对数据包做访问控制
② 结合其他协议用来匹配范围

**②基本ACL:basic acl** 
基础配置:ip地址和静态路由 使全网互通 略
 需求:在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络 

```bash
 R2:
acl 2000 创建
	acl 2000 rule deny source 192.168.10.1 0 
int gi 0/0/1 在接口的出方向调用acl
	traffic-filter outbound acl 2000 outbound
调试:dis acl 2000

③ 高级ACL
需求:在R2上配置高级acl 拒绝PC1和PC2 ping server,但 是允许其HTTP 访问server。
注意:只有报文是① icmp、且② 源地址是192.168.10.x 、且③ 目标地址是172.16.10.2 才会被拒绝。需同时满足 这三个条件才会被匹配。

acl number 3000 
	rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 

interface GigabitEthernet0/0/1
	traffic-filter outbound acl 3000

其他需求:

需求:拒绝源地址192.168.10.2 telnet 访问 12.0.0.2 
acl 3005 
	rule deny tcp source 192.168.10.2 0 destination 12.0.0.2 0 destination-port eq 23 
需求:允许源地址1.1.1.1访问2.2.2.2.其他剩下的报文全部被拒绝。 
acl 3008 
	rule 5 permit ip source 1.1.1.1 0 destination 2.2.2.2 0 rule 10 deny ip
需求:拒绝任何人上QQ :传输层 UDP 8000 
acl 3101 
	rule deny udp destination-port eq 8000

注意: ① 如果某acl 没有被调用,该acl不起任何作用
② acl 属于三层技术 只能部署在三层设备上面 ,acl适合 用于不同网段互访的访问控制
③ 相同vlan 和网段的pc互访控制(这种情况不适合用 acl),建议使用端口隔离来实现。

④ ACL用于控制telnet

例如:只允许12.1.1.5 远程telnet R2 
R2开启telnet (略) 
R2:
acl number 2008 
	rule 5 permit source 12.1.1.5 0 
	rule 10 deny 
user-interface vty 0 4 到vty 接口调用
	acl 2008 inbound

⑤ACL 用于多层交换机

方式1:acl 写法和路由器保持一致。华为设备需在物理接 口下调用acl。
```bash
 int Gi0/0/2 
 	traffic-filter outbound acl 3006

方式2:

 [ ]traffic-filter vlan 10 inbound acl 2000 
  acl 2000 只对vlan 10 生效,类似将acl 2000 调用到了vlanif 10口。

注1:一个接口的同一个方向,只能调用一个acl
注2:一个acl里面可以有多个rule 规则,从上往下依次执 注3:数据包一旦被某rule匹配,就不再继续向下匹配
注4: 用来做数据包访问控制时,默认隐含放过所有(华为 设备)

总结分析:
区别ACL和路由策略和策略路由:
在这里要区分ACL是用于数据包的访问控制,而路由策略和策略路由是为了改变网络流量的转发路径,目的一 样,但实现的方式不一样。。
路由策略:filter-policy、route-policy、
策略路由:policy-based-route、traffic-policy
ACL:traffic-filter

标签:datacom,数通,route,rule,acl,traffic,policy,路由
来源: https://blog.csdn.net/u013965752/article/details/121461547