1. 路由器和交換機的安全策略
路由器安全策略示例:
1. 路由器上不得配置用戶賬戶。
2. 路由器上的enable password命令必須以一種安全的加密形式保存。
3. 禁止IP的直接廣播。
4. 路由器應當阻止源地址為非法地址的數據包。
5. 在本單位的業務需要增長時,添加相應的訪問規則。
6. 路由器應當放置在安全的位置,對其物理訪問僅限於所授權的個人。
7. 每一台路由器都必須清楚地標識下面的聲明:
「注意:禁止對該網路設備的非授權訪問。您必須在獲得明確許可的情況下才能訪問或配置該設備。在此設備上執行的所有活動必須加以記錄,對該策略的違反將受到紀律處分,並有可能被訴諸於法律。
每一台網路交換機必須滿足以下的配置標准:
1. 交換機上不得配置用戶賬戶。
2. 交換機上的enable password命令必須以一種安全的加密形式保存。
3. 如果交換機的.MAC水平的地址能夠鎖定,就應當啟用此功能。
4. 如果在一個埠上出現新的或未注冊的MAC地址,就應當禁用此埠。
5. 如果斷開鏈接後又重新建立鏈接,就應當生成一個SNMP trap.
6. 交換機應當放置在安全的位置,對其物理訪問僅限於所授權的個人。
7. 交換機應當禁用任何Web 伺服器軟體,如果需要這種軟體來維護交換機的話,應當啟動伺服器來配置交換機,然後再禁用它。對管理員功能的所有訪問控制都應當啟用。
2. 求路由策略與策略路由有什麼區別B
策略路由是一種依據用戶制定的策略進行路由選擇的機制,與單純依照IP報文的目的地址查找路由表進行轉發不同,可應用於安全、負載分擔等目的。
策略路由支持基於acl包過濾、地址長度等信息,靈活地指定路由。而acl報文過濾則可以根據報文的源ip、目的ip、協議、埠號、優先順序、tos、時間段、vpn等各種豐富的信息將報文分類,然後控制將這些報文按照不同的路由轉發出去。
策略路由既可以應用於被轉發的報文,又可以應用於路由器本地產生的報文。前者稱為介面策略路由,後者稱為本地策略路由。
介面策略路由只對轉發的報文起作用,對本地產生的報文(比如本地的ping報文)不起作用。而本地策略路由只對本地產生的報文起作用,對轉發的報文不起作用。
介面策略路由配置在介面視圖下。
本地產生的報文的策略路由配置在系統視圖下。
注意:組播策略路由只支持轉發的報文,不對路由器本機產生的報文進行策略路由。 路由策略的作用
過濾路由信息的手段
發布路由信息時只發送部分信息
接收路由信息時只接收部分信息
進行路由引入時引入滿足特定條件的信息支持等值路由
設置路由協議引入的路由屬性
路由策略(routing policy)
設定匹配條件,屬性匹配後進行設置,由if-match和apply字句組成
訪問列表(access-list)
用於匹配路由信息的目的網段地址或下一跳地址,過濾不符合條件的路由信息
前綴列表(prefix-list)
匹配對象為路由信息的目的地址或直接作用於路由器對象(gateway)
自治系統路徑信息訪問列表(aspath-list)
僅用於BGP協議,匹配BGP路由信息的自治系統路徑域
團體屬性列表(community-list)
僅用於BGP協議,匹配BGP路由信息的自治系統團體域
策略路由與路由策略是兩個不同的概念,應用領域不同。
策略路由主要是控制報文的轉發,即可以不按照路由表進行報文的轉發(因為一般報文的轉發要通過查找轉發表,而配上策略路由後就不用管轉發表了,可以隨心所欲將報文從轉發出去了)。
路由策略主要控制路由信息的引入(控制哪些路由信息引到路由協議中,哪些路由不引入,主要是針對某種路由協議,是否允許其它路由信息引進來)、發布(控制哪些發布出去,哪些不發布出去,通過同一種路由協議發布出去)、接收(控制哪些接收,哪些丟棄)。路由策略:是用路由來進行某些路由策略設置。
策略路由:是設置針對路由的策略,主要通過其他軟體對路由的限制。
兩者的區別就在於誰是主導,路由策略是以路由為主來創建的策略,而策略路由是通過軟體對路由的設置。 路由策略:影響路由表的生成
策略路由:影響包的轉發,優先順序高於路由表
意思是:一個包要轉發,先匹配策略路由轉發,其次匹配路由表轉發route map和ACL很類似,它可以用於路由的再發布和策略路由,還經常使用在BGP中.策略路由(policy route)實際上是復雜的靜態路由,靜態路由是基於數據包的目標地址並轉發到指定的下一跳路由器,策略路由還利用和擴展IP ACL鏈接,這樣就可以提供更多功能的過濾和分類
route map的一些命令:
一 路由重發布相關
match命令可以和路由的再發布結合使用:
1.match interface {type number} […type number]:匹配指定的下一跳路由器的介面的路由
2.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的目標IP地址的路由
3.match ip next-hop {ACL number|name} […ACL number|name]:匹配ACL所指定的下一跳路由器地址的路由
4.match ip route-source {ACL number|name} […ACL number|name]:匹配ACL所指定的路由器所宣告的路由
5.match metric {metric-value}:匹配指定metric大小的路由
6.match route-type {internal|external[type-1|type-2]|level-1|level-2}:匹配指定的OSPF,EIGRP或IS-IS的路由類型的路由
7.match tag {tag-value} […tag-value]:匹配帶有標簽(tag)的路由
set命令也可以和路由的再發布一起使用:
1.set level {level-1|level-2|level-1-2|stub-area|backbone}:設置IS-IS的Level,或OSPF的區域,匹配成功的路由將被再發布到該區域
2.set metric {metric-value|bandwidth delay RELY load MTU}:為匹配成功的路由設置metric大小
3.set metric-type {internal|external|type-1|type-2}:為匹配成功的路由設置metric的類型,該路由將被再發布到OSPF或IS-IS 1
4.set next-hop {next-hop}:為匹配成功的路由指定下一跳地址
5.set tag {tag-value}:為匹配成功的路由設置標簽
二 策略路由相關
match命令還可以和策略路由一起使用:
1.match ip address {ACL number|name} […ACL number|name]:匹配ACL所指定的數據包的特徵的路由
2.match length {min} {max}:匹配層3的數據包的長度
set命令也可以和策略路由一起使用:
1.set default interface {type number} […type number]:當不存在指向目標網路的顯式路由(explicit route)的時候,為匹配成功的數據包設置出口介面
2.set interface {type number} […type number]:當存在指向目標網路的顯式路由的時候,為匹配成功的數據包設置出口介面
3.set ip default next-hop {ip-address} […ip-address]:當不存在指向目標網路的顯式路由的時候,為匹配成功的數據包設置下一跳路由器地址
4.set ip precedence {precedence}:為匹配成功的IP數據包設置服務類型(Type of Service,ToS)的優先順序
5.set ip tos {tos}:為匹配成功的數據包設置服務類型的欄位的TOS位
Configuring Route Maps
route map是通過名字來標識的,每個route map都包含許可或拒絕操作以及一個序列號,序列號在沒有給出的情況下默認是10,並且route map允許有多個陳述,如下:
Linus(config)#route-map Hagar 20
Linus(config-route-map)#match ip address 111
Linus(config-route-map)#set metric 50
Linus(config-route-map)#route-map Hagar 15
Linus(config-route-map)#match ip address 112
Linus(config-route-map)#set metric 80
盡管先輸入的是20,後輸入的是15,IOS將把15放在20之前.
還可以允許刪除個別陳述,
如下: Linus(config)#no route-map Hagar 15 在刪除的時候要特別小心,假如你輸入了no route-map Hegar而沒有指定序列號,那麼整個route map將被刪除.並且如果在添加match和set語句的時候沒有指定序列號的話,那麼它們僅僅會修改陳述10.在匹配的時候,從上到下,如果匹配成功,將不再和後面的陳述進行匹配,指定操作將被執行
關於拒絕操作,是依賴於route map是使用再路由的再發布中還是策略路由中,
如果是在策略路由中匹配失敗(拒絕),那麼數據包將按正常方式轉發;
如果是用於路由再發布,並且匹配失敗(拒絕),那麼路由將不會被再發布 如果數據包沒有找到任何匹配,和ACL一樣,route map末尾也有個默認的隱含拒絕所有的操作,如果是在策略路由中匹配失敗(拒絕),那麼數據包將按正常方式轉發;如果是用於路由再發布,並且匹配失敗(拒絕),那麼路由將不會被再發布 如果route map的陳述中沒有match語句,那麼默認的操作是匹配所有的數據包和路由;
每個route map的陳述可能有多個match和set語句,如下:
! route-map Garfield permit 10
match ip route-source 15
match interface Serial0
set metric-type type-1
set next-hop 10.1.2.3 !
在這里,為了執行set語句,每個match語句中都必須進行匹配 .
基於策略的路由
基於策略的路由技術概述:
基於策略的路由為網路管理者提供了比傳統路由協議對報文的轉發和存儲更強的控制能力,傳統上,路由器用從路由協議派生出來的路由表,根據目的地址進行報文的轉發。
基於策略的路由比傳統路由強,使用更靈活,它使網路管理者不能夠根據目的地址而且能夠根據,報文大小,應用或IP源地址來選擇轉發路徑。策略可以定義為通過多路由器的負載平衡或根據總流量在各線上進行轉發的服務質量(QOS)。策略路由使網路管理者能根據它提供的機定一個報文採取的具體路徑。而在當今高性能的網路中,這種選擇的自由性是很需要的。
策略路由提供了這樣一種機制:根據網路管理者制定的標准來進行報文的轉發。策略路由用MATCH和SET語句實現路徑的選擇。
策略路由是設置在接收報文介面而不是發送介面。
基於源地址的策略路由
配置概述:
路由器A將192.1.1.1來的所有數據從介面S0發出,而將從192.1.1.2來的所有數據從介面S1發出。
路由器A定義幾個二級介面作為測試點。路由器A和B配置RIP.在A的ETHERNET介面上應用IP策略路由圖LAB1,為從192.168.1.1來的數據設置下一跳介面為S0,為從192..1.1.2來的數位設置下一跳介面為S1,所有其他的報文將用基於目的地址的路由。
路由器配置:
ROUTE A:
Version 11.2
No service udp-small-servers
No service tcp-small-servers
Hostname routerA
Interface ethernet0
Ip address 192.1.1.1 255.255.255.0 secondary
Ip address 192.1.1.2 255.255.255.0 secondary
Ip address 192.1.1.3 255.255.255.0 secondary
Ip address 192.1.1.10 255.255.255.0
Ip policy route-map lab1
//策略路由應用於E0口
interface serial0
ip addr 150.1.1.1 255.255.255.0
interface serial1
ip addr 151.1.1.1 255.255.255.0
router rip
network 192.1.1.0
network 150.1.0.0
network 151.1.0.0
ip local policy route-map lab1
//使路由器策略路由本地產生報文
no ip classless
access-list 1 permit 192.1.1.1
access-list 2 permit 192.1.1.2
route-map lab1 permit 10
//定義策略路由圖名稱:LAB1,10為序號,用來標明被匹配的路由順序。
Match ip address 1
//匹配地址為訪問列表1
Set interface serial0
//匹配下一跳為S0
Route-map lab1 permit 20
Match ip address 2
Set interface serial1
Line con0
Line aux0
Line vty 0 4
Login
End
路由器B為標准配置略。
相關調試命令:
show ip policy
show router-map
debug ip policy
注:PBR以前是CISCO用來丟棄報文的一個主要手段。比如:設置set interface null 0,按CISCO說法這樣會比ACL的deny要節省一些開銷。這里我提醒:
interface null 0
no ip unreachable//加入這個命令
這樣避免因為丟棄大量的報文而導致很多ICMP的不可達消息返回。
三層設備在轉發數據包時一般都基於數據包的目的地址(目的網路進行轉發),那麼策略路由有什麼特點呢?
1、可以不僅僅依據目的地址轉發數據包,它可以基於源地址、數據應用、數據包長度等。這樣轉發數據包更靈活。
2、為QoS服務。使用route-map及策略路由可以根據數據包的特徵修改其相關QoS項,進行為QoS服務。
3、負載平衡。使用策略路由可以設置數據包的行為,比如下一跳、下一介面等,這樣在存在多條鏈路的情況下,可以根據數據包的應用不同而使用不同的鏈路,進而提供高效的負載平衡能力。
策 略路由影響的只是本地的行為,所以可能會引起「不對稱路由」形式的流量。比如一個單位有兩條上行鏈路A與B,該單位想把所有HTTP流量分擔到A 鏈路,FTP流量分擔到B鏈路,這是沒有問題的,但在其上行設備上,無法保證下行的HTTP流量分擔到A鏈路,FTP流量分擔到B鏈路。
策略路由一般針對的是介面入(in)方向的數據包,但也可在啟用相關配置的情況下對本地所發出的數據包也進行策略路由。
本文就策略路由的以下四個方面做相關講解:
1、啟用策略路由
2、啟用Fast-Switched PBR
3、啟用Local PBR
4、啟用CEF-Switched PBR
啟用策略路由:
開始配置route-map。使用route-map map-tag [permit | deny] [sequence-number]進入route-map的配置模式。
使 用match語句定義感興趣的流量,如果不定義則指全部流量。match length min maxand/ormatch ip address {access-list-number | name}[...access-list-number | name]
使用set命令設置數據包行為。
set ip precedence [number | name]
set ip next-hop ip-address [... ip-address]
set interface interface-type interface-number [... type number]
set ip default next-hop ip-address [... ip-address]
set default interface interface-type interface-number [... type ...number]
這 里要注意set ip next-hop與set ip default next-hop、set interface與set default interface這兩對語句的區別,不含default的語句,是不查詢路由表就轉發數據包到下一跳IP或介面,而含有default的語句是先查詢路 由表,在找不到精確匹配的路由條目時,才轉發數據包到default語句指定的下一跳IP或介面。
進入想應用策略路由的介面。interface xxx
應用所定義的策略。注意必須在定義好相關的route-map後才能在介面上使用該route-map,在介面啟用route-map策略的命令為:
ip policy route-map map-tag
啟用Fast-Switched PBR
在Cisco IOS Release 12.0之前,策略路由只能通過「進程轉發」來轉發數據包,這樣數據包的轉發效率是非常低的,在不同的平台上,基本在每秒1000到10,000個數據 包。隨著緩存轉發技術的出現,Cisco實現了Fast-Switched PBR,大大提升了數據包的轉發速度。啟用方法即在介面中使用ip route-cache policy命令。
注意:Fast-switched PBR支持所有的match語句及大多數的set語句,但其有下面的兩個限制:
不支持set ip default next-hop 與 set default interface命令。
如 果在route-cache中不存在set中指定的介面相關的項,那麼僅在point-to-point時set interface命令才能夠Fast-switched PBR。而且,在進行「進程轉發」時,系統還會先查詢路由條目查看該interface是不是一個合理的路徑。而在fast switching時,系統不會對此進行檢查。
啟用Local PBR
默認情況下,路由器自身所產生的數據包不會被策略路由,如果想對路由器自身產生的數據包也進行策略路由,那麼需要在全局模式下使用如下命令來啟用:
ip local policy route-map map-tag
啟用CEF-Switched PBR
在支持CEF的平台上,系統可以使用CEF-Switched PBR來提高PBR的轉發速度,其轉發速度比Fast-Switched PBR更快!只要你在啟用PBR的路由器上啟用了CEF,那麼CEF-Switched PBR會自動啟用。
註:ip route-cache policy僅僅適用於Fast-Switched PBR,在CEF-Switched PBR中並不需要,如果你在啟用了CEF的路由器上使用PBR時,這個命令沒有任何作用,系統會忽略此命令的存在。
PBR配置案例:
案例1:
路由器通過兩條不同的鏈路連接至兩ISP,對於從async 1介面進入的流量,在沒有「精確路由」匹配的情況下,把源地址為1.1.1.1的數據包使用策略路由轉發至6.6.6.6, 源地址為2.2.2.2的數據包轉發至7.7.7.7,其它數據全部丟棄。
配置如下:
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
!
interface async 1
ip policy route-map equal-access
!
route-map equal-access permit 10
match ip address 1
set ip default next-hop 6.6.6.6
route-map equal-access permit 20
match ip address 2
set ip default next-hop 7.7.7.7
route-map equal-access permit 30
set default interface null0
案例2
在 路由器針對不同流量,修改其precedence bit,並設置下一跳地址。對於1.1.1.1產生的流量,設置precedence bit為priority,並設置其下一跳轉發地址為3.3.3.3;對於2.2.2.2產生的流量,設置precedence bit為critical,並設置其下一跳轉發地址為3.3.3.5。
配置如下:
access-list 1 permit ip 1.1.1.1
access-list 2 permit ip 2.2.2.2
!
interface ethernet 1
ip policy route-map Texas
!
route-map Texas permit 10
match ip address 1
set ip precedence priority
set ip next-hop 3.3.3.3
!
route-map Texas permit 20
match ip address 2
set ip precedence critical
set ip next-hop 3.3.3.5
3. 解析策略路由和路由策略的區別
解析策略路由和路由策略的區別
網路設備維護上,有很多搞維護的技術人員對這兩個名詞理解的還不是很透徹,無法准確把握這兩者之間的聯系與區別。本文我簡單分析一下這兩者之間的概念,並介紹一些事例,希望大家能從事例中得到更深的理解。
一、路由策略
路由策略,是路由發布和接收的策略。其實,選擇路由協議本身也是一種路由策略,因為相同的網路結構,不同的路由協議因為實現的機制不同、開銷計算規則不同、優先順序定義不同等可能會產生不同的路由表,這些是最基本的。通常我們所說的路由策略指的是,在正常的路由協議之上,我們根據某種規則、通過改變某些參數或者設置某種控制方式來改變路由產生、發布、選擇的結果,注意,改變的是結果(即路由表),規則並沒有改變,而是應用這些規則。
下面給出一些事例來說明。
改變參數的例子:例如,A路由器和B路由器之間是雙鏈路(分別為AB1和AB2)且帶寬相同,運行是OSPF路由協議,但是兩條鏈路的穩定性不一樣,公司想設置AB1為主用電路,當主用電路(AB1)出現故障的時候才採用備用電路(AB2),如果採取默認設置,則兩條電路為負載均衡,這時就可以採取分別設置AB1和AB2電路的COST(開銷)值,將AB1電路的COST值改小或將AB2電路的COST值設大,OSPF會產生兩條開銷不一樣的路由,COST(開銷)越小路由代價越低,所以優先順序越高,路由器會優先採用AB1的電路。還可以不改COST值,而將兩條電路的帶寬(BandWidth)設置為不一致,將AB1的帶寬設置的比AB2的大,根據OSPF路由產生和發現規則,AB1的開銷(COST)會比AB2低,路由器同樣會優先採用AB1的電路。
改變控制方式的例子,基本就是使用路由過濾策略,通過路由策略對符合一點規則的路由進行一些操作,例如最普通操作的是拒絕(deny)和允許(Permit),其次是在允許的基礎上調整這些路由的一些參數,例如COST值等等,通常使用的策略有ACL(Acess Control List訪問控制列表)、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP協議配合使用中,屬於路由接收和通告原則。
例如,上圖中AS1不向AS2發布19.1.1.1/32這個網段,可以設置ACL列表,在RTB上設置(以華為的路由器為例):
[RTB]acl number 1 match-order auto
[RTB-acl-basic-1]rule deny source 19.1.1.1 0
[RTB-acl-basic-1]rule permit source any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] peer 2.2.2.2 filter-policy 1 export
如果B向C發布了這條路由,但是C不想接收這條路由,則C可以設置:
[RTC]acl number 1 match-order auto
[RTC-acl-basic-1]rule deny source 19.1.1.1 0
[RTC-acl-basic-1]rule permit source any
[RTC]bgp 2
[RTC-bgp]peer 2.2.2.1 as-number 1
[RTC-bgp] peer 2.2.2.1 filter-policy 1 import
再舉個ip-prefix的例子:
例如RTB不向RTC發布19.1.1.0/24這個網段的路由,則可以設置
[RTB]ip ip-prefix test index 10 deny 19.1.1.0 24
[RTB]ip ip-prefix test index 20 permit any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] import-route direct
[RTB-bgp]peer 2.2.2.2 ip-prefix test export
ip-prefix是精確匹配的,如果想實現模糊匹配,可以通過後面的參數less-equal或greater-equal來實現,例如ip ip-prefix test index 10 deny 19.1.1.0 24 less-equal 31就表示從19.1.1.0/24、19.1.1.0/25、19.1.1.0/26一直到19.1.1.0/31都能匹配上,否則這僅僅表示只匹配目的網路是19.1.1.0/24這一條路由,而19.1.1.0/25不滿足該條件,具體可以參考命令手冊,這里不詳細解釋了。
上面講的都是路由的運行和禁止,下面講更靈活的路由策略設置方式:route-policy中if-match和apply的匹配,這里不僅能設置允許或禁止某些路由,還能對允許的路由設置其屬性。
上圖中RTB與RTC之間跑的是IBGP協議,RTA與RTB、RTC之間跑的是EBGP協議。Router_ID按A、B、C、D從小到大排序。正常情況下,RTA到RTD之間的通信會選擇RTB做中轉,RTD到RTA的通信也會選擇RTB,在默認情況下,所有參數都相同,BGP會選擇router_ID較小的一條路徑。現在想讓RTD到RTA之間的通信都走RTB,而RTA到RTD之間的通信都通過RTC,即兩台路由器中RTB專門負責自治域內路由器與域外路由器之間的出口通信,而RTC專門做自治域外路由器與域內路由器的進口通信,我們可以用route-policy中的as-path來實現,在RTB上做:
[rtb]route-policy test permit node 10
[rtb-route-policy]apply as-path 300 400 //添加虛假的路徑,使as-path增長
[rtb-bgp]peer 1.1.1.1 route-policy test export //向RTA發布路由信息的時候使用策略
這樣B在向A發布BGP路由的時候,加大路由的AS-Path值,根據BGP路由選擇規則,優先選用AS-Path較短的路由,這樣RTA向RTD通信的時候,優先選用AS-Path短的RTC這條路由,而RTD在選擇到RTA路由的時候仍然選擇的是RTB,因為對RTD來說,影響路由的參數什麼都沒有任何變化。其實也可以使用改變Med值來設定,這里用路由策略來舉例。
這種方法特別靈活在apply語句中能設置多種參數,除了as-path,還有ip next hop(設置下一跳)、local-preference(本地出口優先順序)、cost(開銷)、origin(起源,來自igp、egp還是incomplete)、tag(標記)。
二、策略路由
2.2.2.2/30
2.2.2.1/30
1.1.1.2/30
RTB
1.1.1.1/30
10.10.10.0/24
策略路由是在路由表已經產生的情況下,不按照現有的路由表進行轉發,而是根據需要,某些通信流量選擇其他路由的方式。
PC2
PC1
交換機
RTA
如圖,RTA和RTB之間的通信有2條鏈路,其中上面那條電路是主用,帶寬是1000M的,下面的電路是備用,帶寬是10M的,目前10M基本是空閑,大部分的通信都走主用上走,PC1(10.10.10.10/24)是某個特別重要的客戶,他發的信息要求被立即傳送,我們根據這種情況,我們可以將他的發送通信量單獨使用下面備用電路的方法。
#P#
rule-map intervlan permitpc1 ip 10.10.10.10 0.0.0.0 any
flow-action next2 redirect ip 2.2.2.2
eacl abc permitpc1 next2
然後在和10.10.10.0/24網路直連的埠上使用 access-group eacl abc命令下發應用。
這是一個策略路由的典型應用。這個應用是根據源地址來選擇轉發路徑的,還可以根據協議類型(例如將UDP和TCP分開跑不同的電路)、應用(例如某些視頻應用要求實時傳送,可以將rstp流單獨使用一條電路來跑)、報文大小或它們的組合等來設置轉發條件。其實就是將acl規則應用到數據轉發上,rule-map的規則同ACL,這里就不在舉再多的`例子了,熟悉ACL的技術人員都知道。
這里flow-action做的動作redirect就是設置下一條,使用flow-action還可以進行QoS相關的操作,例如使用cos或car動作對數據包進行隊列匹配,再根據相關設置的流量模型規則進行操作,具體參閱命令參考手冊。
三、聯系與區別
聯系:
雙方都是為了轉發數據包而進行路徑選擇的策略,都是根據某種規則改變某些參數或控制手段來設置不同的轉發路徑。
區別:
路由策略是根據一些規則,使用某種策略改變規則中影響路由發布、接收或路由選擇的參數而改變路由發現的結果,最終改變的是路由表的內容。是在路由發現的時候產生作用。
策略路由是盡管存在當前最優的路由,但是針對某些特別的主機(或應用、協議)不使用當前路由表中的轉發路徑而單獨使用別的轉發路徑。在數據包轉發的時候發生作用、不改變路由表中任何內容。
策略路由的優先順序比路由策略高,當路由器接收到數據包,並進行轉發的時候,會優先根據策略路由的規則進行匹配,如果能匹配上,則根據策略路由來轉發,否則按照路由表中轉發路徑來進行轉發。
概括一點講就是,路由策略是路由發現規則,策略路由是數據包轉發規則。其實將“策略路由”理解為“轉發策略”,這樣更容易理解與區分。由於轉發在底層,路由在高層,所以轉發的優先順序比路由的優先順序高,這點也能理解的通。其實路由器中存在兩種類型和層次的表,一個是路由表(routing-table),另一個是轉發表(forwording-table)。轉發表是由路由表映射過來的,策略路由直接作用於轉發表,路由策略直接作用於路由表。
四、優缺點
網路通信的規則是先有路由,才有轉發。路由策略由於僅僅在路由發現的時候產生作用,在路由表產生且穩定之後,如果網路不發生變化,路由表通常都不會變化,這時候,路由策略沒有應用就不會佔用資源。而策略路由是在轉發的時候發生作用,路由器在初始產生路由表之後,基本工作量都在數據包轉發上,如果沒有策略路由,路由器只要分析每一個數據包的目的地址,再按路由表來匹配就可以決定下一跳;但是如果有策略路由,策略路由就一直處於應用狀態,如果策略路由特別復雜,路由器要根據規則來判斷數據包的源地址、協議或應用等附加信息,這樣就會一直佔用大量的資源,所以除非不得已,盡量使用路由策略,而不要使用策略路由。
網路優化的時候需要考慮這一點,如果策略路由特別復雜,能通過將網路進行簡單分解而達到取消策略路由的盡量進行分解,否則路由器負擔很重。
;4. 求詳解策略路由和路由策略的區別
簡單的講路由策略是路由發現規則,策略路由是數據包轉發規則。
網路通信的規則是先有路由,才有轉發。
路由策略由於僅僅在路由發現的時候產生作用,在路由表產生且穩定之後,如果網路不發生變化,路由表通常都不會變化,這時候,路由策略沒有應用就不會佔用資源。
而策略路由是在轉發的時候發生作用,路由器在初始產生路由表之後,基本工作量都在數據包轉發上,如果沒有策略路由,路由器只要分析每一個數據包的目的地址,再按路由表來匹配就可以決定下一跳;但是如果有策略路由,策略路由就一直處於應用狀態。
如果策略路由特別復雜,路由器要根據規則來判斷數據包的源地址、協議或應用等附加信息,這樣就會一直佔用大量的資源。
所以除非不得已,盡量使用路由策略,而不要使用策略路由。網路優化的時候需要考慮這一點,如果策略路由特別復雜,能通過將網路進行簡單分解而達到取消策略路由的盡量進行分解,否則路由器負擔很重。
5. 靜態路由與策略路由的區別
這2個完全不是一個類型
靜態路由
顧名思義就是 IP地址為靜態不變,每個IP地址對應一台計算機,可以通過對IP地址的管理很好的控制計算機的網路行為。
策略路由,是指你設定好策略,由路由器判斷數據包是否通過路由發送,這是一種網管型路由器,通過對策略管理對計算機的網路數據控制,實現禁止,限速,和中轉到指定路由地址,,,
6. 路由策略和策略路由區別
簡單的講路由策略是路由發現規則,策略路由是數據包轉發規則。
網路通信的規則是先有路由,才有轉發。
路由策略由於僅僅在路由發現的時候產生作用,在路由表產生且穩定之後,如果網路不發生變化,路由表通常都不會變化,這時候,路由策略沒有應用就不會佔用資源。
而策略路由是在轉發的時候發生作用,路由器在初始產生路由表之後,基本工作量都在數據包轉發上,如果沒有策略路由,路由器只要分析每一個數據包的目的地址,再按路由表來匹配就可以決定下一跳;但是如果有策略路由,策略路由就一直處於應用狀態。
如果策略路由特別復雜,路由器要根據規則來判斷數據包的源地址、協議或應用等附加信息,這樣就會一直佔用大量的資源。
所以除非不得已,盡量使用路由策略,而不要使用策略路由。網路優化的時候需要考慮這一點,如果策略路由特別復雜,能通過將網路進行簡單分解而達到取消策略路由的盡量進行分解,否則路由器負擔很重。
路由器:連接網際網路中各區域網、廣域網的設備,它會根據信道的情況自動選擇和設定路由,以最佳路徑,按前後順序發送信號的設備。 路由器英文名Router,路由器是互聯網路的樞紐、"交通警察"。目前路由器已經廣泛應用於各行各業,各種不同檔次的產品已經成為實現各種骨幹網內部連接、骨幹網間互聯和骨幹網與互聯網互聯互通業務的主力軍。
7. 怎樣設置路由器的解析
怎樣設置路由器的解析
隨著路由行業的發展,其市場競爭非常激烈。對於用戶來講,如何正確的設置路由,也是非常重要的問題之一,這里我研究了一些網路路由器設置,在這里拿出來和大家分享一下,希望對大家有用。眾所周知目前我國國內網路接入服務提供商基本由中國網通和中國電信兩家壟斷,在線路和站點互訪方面存在一定的問題,那就是如果你的網路屬於中國網通的線路,那麼訪問中國電信的資源會比較慢,而如果你的網路是中國電信提供的,同樣訪問中國網通的資源會比較慢。
這也是為什麼很多企業用戶開始申請雙線路來解決這種問題的原因,但是身為網路管理員的我們是否了解合理分配網路訪問出口和鏈路方向呢?通過合理分配目的地IP地址可以讓我們更好的利用網路資源,讓訪問電信網路的數據可以發送到電信鏈路,同理讓訪問網通的數據可以順利發送到網通鏈路。今天就請各位IT168的讀者跟隨筆者一起學習如何通過路由策略實現雙線雙路網路路由器設置信息的自動分配,讓數據包轉發更加智能化。
一,路由策略的優勢:
經常關注我們IT168網路頻道的讀者都知道之前我們介紹過如何從本地計算機的路由信息入手解決這種雙線雙路的實際網路問題,然而該方法只限於在單台計算機上操作,如果企業的員工計算機非常多,一台一台機器的設置肯定不太現實,這時我們就可以通過路由策略實現對企業網路路由器設置出口的統籌管理,將出口網路路由器設置合理的路由策略,從而讓網路數據包可以根據不同需求轉發到不同的線路。
總體說來路由策略各個命令只需要我們在企業連接網路外部出口的網路路由器設置即可,該路由器實際連接的是雙線雙路,即一個介面連接通往中國網通的網路,一個介面連接抵達中國電信的網路。
二,路由策略命令簡單講解 :
路由策略的意義在於他可以讓路由器根據一定的規則選擇下一跳路由信息,這樣就可以自動的根據接收來的網路數據包的基本信息,判斷其應該按照哪個路由表中的信息進行轉發了。通過路由策略我們可以為一台路由器指定多個下一跳轉發路由地址。下面我們來看一段路由策略指令,然後根據其後面的指示信息來了解他的意義。
(1)路由策略基本信息的設置:
route-map src80 permit 10
//建立一個策略路由,名字為src80,序號為10,規則為容許。
match ip address 151
//設置match滿足條件,意思是只有滿足ip address符合訪問控制列表151中規定的才進行後面的set操作,否則直接跳過。
set ip next-hop 10.91.31.254
//滿足上面條件的話就將這些數據的下一跳路由信息修改為10.91.31.254。
access-list 150 deny tcp any 10.80.0.0 0.7.255.255 eq www
access-list 150 permit tcp 10.80.0.0 0.7.255.255 any eq www
//設置對應的訪問控制列表150中的匹配信息
(2)將已經設置的路由策略在某介面啟用並生效:
int FastEthernet3/2
//進入千兆快速乙太網介面
ip policy route-map src80
//應用路由策略src80。
no ip policy route-map src80
//取消src80路由策略的應用。
當然各個路由策略的實際指令會有所區別,不過基本的諸如match與set等指令類似,我們在實際使用過程中根據需求去修改即可。
三,網路路由器設置實例:
了解了基本的路由策略設置方法後我們來通過他解決雙線雙路網路路由器設置實際問題,首先虛擬出這樣一個環境,企業申請了雙線網路出口,一邊是網通線路另一邊則是電信線路,我們需要做的就是通過路由策略讓發往不同網路的數據可以直接轉發到對應網路的介面。知道了技術應用點後我們就要運用該技術解決實際問題了,策略路由的使用和我們編寫程序一樣是非常靈活的,他可以設置轉發的條件,也可以通過源地址或目的地址信息來指引數據包的發送方向。
(1)基於源地址的策略路由:
如果企業是根據網路劃分部門的話,我們可以通過基於源地址的策略路由來實現分發網路數據包的目的。針對源地址進行策略路由的話,那就是將網通部門要訪問網通的數據都轉發到網通線路對應的WAN1介面;而電信部門要訪問電信的數據都轉發到電信線路對應的WAN2介面。這樣兩個部門都可以順利的快速開展業務,而不互相干擾。但是這種網路路由器設置存在一個問題,那就是如果臨時需要網通部工作人員解決電信客戶需求時將無法實現,因為網通部的數據只會發送到網通線路,針對電信客戶的.訪問速度會大打折扣。
(2)基於目的地址的策略路由:
既然基於源地址的策略路由在交叉網路訪問方面存在問題的話,那麼基於目的地址的策略路由是否能夠完美解決實際問題呢?所謂目的地址就是指我們要訪問客戶的IP地址,一般來說判斷客戶是電信還是網通網路是可以通過他的IP地址實現的。所以只要企業收集到了電信和網通網路地址段,就可以基於目的地址採取策略路由,將發送或接收到的電信地址數據通過WAN2(電信線路)介面傳輸,將發送或接收到的網通地址數據通過WAN1(網通線路)介面傳輸。即使出現網通部工作人員臨時解決電信客戶情況時依然可以保證高速狀態。
四,總結:
從本文的描述我們可以看出,通過路由策略解決雙線雙路網路實際問題要比之前介紹過的從本機路由表入手靈活得多,並且解決問題的效率更高,不需要網路管理員為企業員工計算機一台台網路路由器設置。另一方面路由策略的功能還不僅僅局限於此,了解了他的真諦後我們可以像編寫程序一樣,從企業實際需求出發制定更合理更有效的轉發策略,可以精細到每台計算機路由信息的控制。
8. 路由策略與策略路由有什麼區別
一、主體不同
1、路由策略:是為了改變網路流量所經過的途徑而修改路由信息的技術。
2、策略路由:是一種比基於目標網路進行路由更加靈活的數據包路由轉發機制。
二、方式不同
1、路由策略:主要通過改變路由屬性(包括可達性)來實現。是一種比基於目標網路進行路由更加靈活的數據包路由轉發機制。
2、策略路由:將通過路由圖決定如何對需要路由的數據包進行處理,路由圖決定了一個數據包的下一跳轉發路由器。
三、規則不同
1、路由策略:路由器將通過路由圖決定如何對需要路由的數據包進行處理,路由圖決定了一個數據包的下一跳轉發路由器。
2、策略路由:必須要指定策略路由使用的路由圖,並且要創建路由圖。一個路由圖由很多條策略組成,每個策略都定義了1 個或多個的匹配規則和對應操作。
9. 干貨!詳解路由策略與策略路由區別
在網路設備維護上,現在很多維護的資料上都講到 「路由策略」與「策略路由」 這兩個名詞,但是有很多搞維護的技術人員對這兩個名詞理解的還不是很透徹,無法准確把握這兩者之間的聯系與區別。
本文簡單分析一下這兩者之間的概念,並介紹一些事例,希望大家能從事例中得到更深的理解。
路由策略,是路由發布和接收的策略。其實,選擇路由協議本身也是一種路由策略。
因為相同的網路結構,不同的路由協議因為實現的機制不同、開銷計算規則不同、優先順序定義不同等可能會產生不同的路由表,這些是最基本的。
通常我們所說的路由策略指的是,在正常的路由協議之上,我們根據某種規則、通過改變某些參數或者設置某種控制方式來改變路由產生、發布、選擇的結果。
注意,改變的是結果(即路由表),規則並沒有改變,而是應用這些規則。
下面給出一些事例來說明。
例如,A路由器和B路由器之間是雙鏈路(分別為AB1和AB2)且帶寬相同,運行是OSPF路由協議,但是兩條鏈路的穩定性不一樣。
公司想設置AB1為主用電路,當主用電路(AB1)出現故障的時候才採用備用電路(AB2),如果採取默認設置,則兩條電路為負載均衡,這時就可以採取分別設置AB1和AB2電路的COST(開銷)值,將AB1電路的COST值改小或將AB2電路的COST值設大,OSPF會產生兩條開銷不一樣的路由,COST(開銷)越小路由代價越低,所以優先順序越高,路由器會優先採用AB1的電路。
還可以不改COST值,而將兩條電路的帶寬(BandWidth)設置為不一致,將AB1的帶寬設置的比AB2的大,根據OSPF路由產生和發現規則,AB1的開銷(COST)會比AB2低,路由器同樣會優先採用AB1的電路。
基本就是使用路由過濾策略,通過路由策略對符合一點規則的路由進行一些操作,例如最普通操作的是拒絕(deny)和允許(Permit)。
其次是在允許的基礎上調整這些路由的一些參數,例如COST值等等,通常使用的策略有ACL(Acess Control List訪問控制列表)、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP協議配合使用中,屬於路由接收和通告原則。
例如,AS1不向AS2發布19.1.1.1/32這個網段,可以設置ACL列表,在RTB上設置(以華為的路由器為例):
[RTB]acl number 1 match-order auto
[RTB-acl-basic-1]rule deny source 19.1.1.1 0
[RTB-acl-basic-1]rule permit source any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] peer 2.2.2.2 filter-policy 1 export
如果B向C發布了這條路由,但是C不想接收這條路由,則C可以設置:
[RTC]acl number 1 match-order auto
[RTC-acl-basic-1]rule deny source 19.1.1.1 0
[RTC-acl-basic-1]rule permit source any
[RTC]bgp 2
[RTC-bgp]peer 2.2.2.1 as-number 1
[RTC-bgp] peer 2.2.2.1 filter-policy 1 import
例如RTB不向RTC發布19.1.1.0/24這個網段的路由,則可以設置
[RTB]ip ip-prefix test index 10 deny 19.1.1.0 24
[RTB]ip ip-prefix test index 20 permit any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] import-route direct
[RTB-bgp]peer 2.2.2.2 ip-prefix test export
ip-prefix是精確匹配的,如果想實現模糊匹配,可以通過後面的參數less-equal或greater-equal來實現,例如ip ip-prefix test index 10 deny 19.1.1.0 24 less-equal 31就表示從19.1.1.0/24、19.1.1.0/25、19.1.1.0/26一直到19.1.1.0/31都能匹配上,
否則這僅僅表示只匹配目的網路是19.1.1.0/24這一條路由,而19.1.1.0/25不滿足該條件,具體可以參考命令手冊。
上面講的都是路由的運行和禁止,下面講更靈活的路由策略設置方式。
route-policy中if-match和apply的匹配,這里不僅能設置允許或禁止某些路由,還能對允許的路由設置其屬性。
RTB與RTC之間跑的是IBGP協議,RTA與RTB、RTC之間跑的是EBGP協議。
Router_ID按A、B、C、D從小到大排序。正常情況下,RTA到RTD之間的通信會選擇RTB做中轉,RTD到RTA的通信也會選擇RTB。在默認情況下,所有參數都相同,BGP會選擇router_ID較小的一條路徑。
現在想讓RTD到RTA之間的通信都走RTB,而RTA到RTD之間的通信都通過RTC,即兩台路由器中RTB專門負責自治域內路由器與域外路由器之間的出口通信,而RTC專門做自治域外路由器與域內路由器的進口通信。
我們可以用route-policy中的as-path來實現,在RTB上做:
[rtb]route-policy test permit node 10
[rtb-route-policy]apply as-path 300 400 //添加虛假的路徑,使as-path增長
[rtb-bgp]peer 1.1.1.1 route-policy test export //向RTA發布路由信息的時候使用策略
這樣B在向A發布BGP路由的時候,加大路由的AS-Path值,根據BGP路由選擇規則,優先選用AS-Path較短的路由,這樣RTA向RTD通信的時候,
優先選用AS-Path短的RTC這條路由,而RTD在選擇到RTA路由的時候仍然選擇的是RTB。因為對RTD來說,影響路由的參數什麼都沒有任何變化。
其實也可以使用改變Med值來設定,這里用路由策略來舉例。
這種方法特別靈活在apply語句中能設置多種參數,除了as-path,還有ip next hop(設置下一跳)、local-preference(本地出口優先順序)、cost(開銷)、origin(起源,來自igp、egp還是incomplete)、tag(標記)。
策略路由是一種依據用戶制定的策略進行路由選擇的機制,與單純依照IP報文的目的地址查找路由表進行轉發不同,可應用於安全、負載分擔等目的。
它是一個基於路由表的影響特定數據包的轉發的一個方式,這個方式是應用於介面下的。
例如:讓192.168.1.1的數據包都從s0/1走,讓192.168.1.2的數據包都從s0/1走
access-list 1 permit host 192.168.1.1
access-list 2 permit host 192.168.1.2
route-map ccie permit 10
match ip address 1
set interface s0/1
router0map ccie permit 20
match ip address 2
set interface s0/2
int fa1/0
ip policy route-map ccie
注意:set interface s0/1 與 set default interface s0/1
set ip next-hip 與 set default ip next-hop 是有區別的,前者不查找路由直接進行了轉發,而後者是先查找路由表,查找不到精確的路由表時才會轉發到下一跳介面或IP。
PBR只有進方向方向,一定要注意!PBR優先於路由表查找。
策略路由PBR默認只對穿越流量生效。
(config)#(ip local policy route-map ccie) //這樣寫是策略理由也影響本地產生的流量
此外策略路由還可以通過改變IP報文的tos欄位達到流量控制的目的。
聯系:
雙方都是為了轉發數據包而進行路徑選擇的策略,都是根據某種規則改變某些參數或控制手段來設置不同的轉發路徑。
區別:
路由策略 是根據一些規則,使用某種策略改變規則中影響路由發布、接收或路由選擇的參數而改變路由發現的結果,最終改變的是路由表的內容。是在路由發現的時候產生作用。
策略路由 是盡管存在當前最優的路由,但是針對某些特別的主機(或應用、協議)不使用當前路由表中的轉發路徑而單獨使用別的轉發路徑。
在數據包轉發的時候發生作用、不改變路由表中任何內容。
策略路由的優先順序比路由策略高 ,當路由器接收到數據包,並進行轉發的時候,會優先根據策略路由的規則進行匹配,如果能匹配上,則根據策略路由來轉發,否則按照路由表中轉發路徑來進行轉發。
概括一點講就是,
路由策略是路由發現規則,策略路由是數據包轉發規則 。其實將「策略路由」理解為「轉發策略」,這樣更容易理解與區分。
由於轉發在底層,路由在高層,所以轉發的優先順序比路由的優先順序高,這點也能理解的通。其實路由器中存在兩種類型和層次的表,一個是路由表(routing-table),另一個是轉發表(forwording-table)。
轉發表是由路由表映射過來的,策略路由直接作用於轉發表,路由策略直接作用於路由表。
網路通信的規則是先有路由,才有轉發。路由策略由於僅僅在路由發現的時候產生作用,在路由表產生且穩定之後,如果網路不發生變化,路由表通常都不會變化,這時候,路由策略沒有應用就不會佔用資源。
而策略路由是在轉發的時候發生作用,路由器在初始產生路由表之後,基本工作量都在數據包轉發上,如果沒有策略路由,路由器只要分析每一個數據包的目的地址,再按路由表來匹配就可以決定下一跳;
但是如果有策略路由,策略路由就一直處於應用狀態,如果策略路由特別復雜,路由器要根據規則來判斷數據包的源地址、協議或應用等附加信息,這樣就會一直佔用大量的資源,所以除非不得已,盡量使用路由策略,而不要使用策略路由。
網路優化的時候需要考慮這一點,如果策略路由特別復雜,能通過將網路進行簡單分解而達到取消策略路由的盡量進行分解,否則路由器負擔很重。