一:作者序: 在常见的组网中,对于一些大规模的网络,如超过200台路由器的中小型网络中,可能就需要一些动态路由协议,来适应大规模网络的组网需求。 通常在我们把网络通过各种协议,如OSPF,ISI,RIP等组建好后。涉及到对于不同网络层面的控制就显得尤为重要, 如何时允许数据包通过这条链路,是那条网段被指定允许通过这条网络段。以上列举的只是一小部分,如果把思维方向看远一点,如应对网络的一些防范与攻击,来自非法地址的伪造,如果我们部署的网络没有像防火墙那样的过滤规则,可想而知这样的网络也只是空中楼宇。 在路由器的各种协议随着历史的被智慧的推崇出来之时,各种路由策略也为了整体提高路由器的功能和优化网络的性能而随之产生。可见研究者们是聪慧的,敢于从各种失败中吸取研发经验.
二: 以下是我总结的一些常用的路由过滤工具:
{ 1:prefix-list :地址前缀列表 使用规则: { prefix_index {premit|deny ip_address mask {g-q(大于)|l-q(小于) }
2:silent :静默端口; { [interface_name]silent {all|type} }
3:acl:访问控制列表; { acl numer(2000-2999,3000-3999,4000,4999,5000,5999) rule {prefix|deny} }
4:fiter-policy(过滤策略) 这里对过滤策略做一些说明,过滤策略可结合acl和ip-prefix结合使用,说白了,过滤策略是一把瑞士军刀, 可把多种功能结合使用,达到更好的过滤效果. { 列1:(地址前缀列表和过滤策略的导入) rip 100 filter-policy ip-prefix 3 import ip ip-prefix 1 index 10 deny 10.0.1.0 24 ip ip-prefix 2 index 10 deny 10.0.2.0 24 ip ip-prefix 3 index 10 permit 0.0.0.0 0 less-equal 32 列2:(访问控制列表和过滤策略的导出) acl number 200 rule 5 deny rule 10 deny source 10.0.0.0 0.0.0.255 rule 15 permit ip 100 filter-policy ip-prefix 3 import filter-policy 2000 export }
5:router-policy(路由策略) 有了过滤策略,必然有路由策略,其应用规则和过滤策略功能更加完善,除了对进入和进出数据包进行 过滤,还可以对路由的属性进行过滤。此外其具有if-else的逻辑程序结构分支规则 { router-policy policy_name index index_name rule if-match apply }
6:PBR(policy-based-router):路由基础策略 [interaface_name]ip policy-based-route policy_name:在接口启用这个策略 [sysname]policy-based-route policy_name {permit|deny} node index_name:创建一个PBR策略规则,指定名称和索引 [policy-based-route-policy_name] if-match {ip_prefx|acl} :与规则进行匹配 [policy-based-route-policy_name]apply ip-precedence network:应用这个策略 display ip policy-based-route:显示PBR的策略全局信息 display ip policy-based-route statistics :显示PBR的配置统计信息