一、网络流量双平面解析
在路由策略的设计中,必须明确区分两个关键平面:
1. 控制层面(Control Plane)
- 定义:路由协议传递路由信息形成的逻辑平面(如OSPF的LSA、RIP的Response报文)
- 特征:
- 流量方向与数据层面相反
- 携带路由的拓扑信息与开销值
- 使用协议端口(如OSPF用224.0.0.5/6)
2. 数据层面(Data Plane)
- 定义:用户数据实际转发的物理平面
- 特征:
- 转发路径由控制平面决策决定
- 遵循最长匹配原则与路由优先级
关键差异说明:
- OSPF控制层面使用入接口开销计算路径成本(有向图模型)
- 数据层面流量实际转发时,路径开销是逐跳出接口开销的累加
二、路由策略实施三部曲
1. 流量抓取:精准定位目标路由
1)ACL(访问控制列表)
基本概念
- 传统用于数据层面流量过滤
- 在路由策略中可用于匹配路由源/目的网络
- 匹配精度有限(通配符掩码不够灵活)
因为ACL主要是应用在数据层面,所以,在抓取控制层流量时,因为通配符的设计,导致无法精确匹配路由信息。
示例:
# 创建基本ACL(2000-2999匹配源IP)
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255 # 匹配192.168.1.0/24
rule 10 deny source any # 隐含拒绝所有
# 创建高级ACL(3000-3999匹配源/目的IP)
acl number 3000
rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 172.16.0.0 0.0.255.255局限性
- 无法精确匹配路由掩码长度
- 通配符掩码与子网掩码逻辑不同(0表示严格匹配,1表示忽略)
2)前缀列表---ip-prefix:
基本概念
- 专为路由策略设计的匹配工具
- 可同时匹配网络地址和掩码长度
- 提供greater-equal/less-equal等灵活匹配方式
匹配规则
- 自上而下顺序匹配
- 默认步长10(可自定义)
- 末尾隐含拒绝所有规则
典型配置
[r1]ip ip-prefix aa index 15 permit 192.168.1.0 24 # 精确匹配192.168.1.0/24
[r1]ip ip-prefix aa permit 192.168.1.0 24 less-equal 28--- 抓取掩码长度在24和28之间的路由
信息
[r1]ip ip-prefix aa permit 192.168.1.0 24 greater-equal 28--- 如果出现前后矛盾,则掩码以
后面的规则为准,前面的数字变为前多少位固定(这里是前24位固定,子网掩码大于等于28)
[r1]ip ip-prefix aa permit 0.0.0.0 0 greater-equal 32--- 匹配所有的主机路由
[r1]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32--- 匹配所有
[r1]ip ip-prefix aa permit 0.0.0.0 0 --- 匹配缺省路由查看前缀列表
<r1>dis ip ip-prefix
2. 策略执行:精细化的路由操控
1)RIP Metricin与Metricout
1. Metricin(入方向度量调整)
基本概念
Metricin用于修改路由器接收到的RIP路由的跳数值,影响本地路由表的计算。
工作原理
- 当路由器从邻居接收到RIP路由更新时
- 在将路由加入路由表之前,先增加指定的metric值
- 最终metric = 原始metric + metricin增加值
典型配置
interface GigabitEthernet0/0/1
rip metricin 3 # 所有从该接口收到的RIP路由跳数+3高级用法(ACL过滤)
acl number 2000
rule permit source 192.168.1.0 0.0.0.255 # 只匹配192.168.1.0/24网络
interface GigabitEthernet0/0/1
rip metricin 2000 5 # 仅对192.168.1.0/24的路由跳数+52. Metricout(出方向度量调整)
基本概念
Metricout用于修改路由器向邻居发送的RIP路由的初始跳数值。
工作原理
- 当路由器向邻居发送RIP路由更新时
- 在发送前修改路由的metric值
- 邻居收到的metric = 原始metric + metricout设置值
典型配置
interface GigabitEthernet0/0/2
rip metricout 2 # 所有从该接口发出的RIP路由跳数设为2高级用法(IP-Prefix过滤)
ip ip-prefix VIP permit 10.0.0.0 8
interface GigabitEthernet0/0/2
rip metricout ip-prefix VIP 1 # 对10.0.0.0/8路由设置跳数为12)Filter-Policy
1. 基本概念
Filter-Policy用于过滤路由的传播,可以基于ACL或IP-Prefix进行过滤。
2. 入方向过滤(Import)
ip ip-prefix DENY permit 172.16.0.0 16
rip 1
filter-policy ip-prefix DENY import # 阻止172.16.0.0/16进入路由表3. 出方向过滤(Export)
acl number 2100
rule deny source 192.168.0.0 0.0.255.255
rule permit source any
rip 1
filter-policy 2100 export # 禁止192.168.0.0/16路由传播4. 接口级过滤
rip 1
filter-policy ip-prefix INTERNAL export GigabitEthernet0/0/15. 注意事项
- import影响本地路由表
- export影响邻居路由表
- 末尾隐含deny any规则
3)Route-Policy
1. 基本结构
route-policy NAME permit|deny node NODE_NUM
if-match [条件]
apply [动作]2. 条件匹配(if-match)
if-match ip-prefix VIP # 匹配前缀列表
if-match acl 2000 # 匹配ACL
if-match cost 10 # 匹配cost值
if-match tag 100 # 匹配tag值3. 动作设置(apply)
apply cost +10 # 增加cost值
apply cost 100 # 设置固定cost值
apply tag 6666 # 设置tag值
apply preference 150 # 修改协议优先级4. 完整示例
ip ip-prefix FROM_OSPF permit 10.0.0.0 8
ip ip-prefix IMPORTANT permit 192.168.0.0 16
route-policy OSPF_TO_RIP deny node 10
if-match ip-prefix FROM_OSPF # 阻止OSPF路由进入RIP
route-policy OSPF_TO_RIP permit node 20
if-match ip-prefix IMPORTANT
apply cost 5 # 重要路由设置低cost
apply tag 100
route-policy OSPF_TO_RIP permit node 30 # 放行其他路由5. 调用方式
rip 1
import-route ospf 1 route-policy OSPF_TO_RIP四、技术对比
| 技术 | 作用层次 | 主要功能 | 匹配精度 |
|---|---|---|---|
| Metricin/out | 接口级 | 调整路由metric值 | 中等(ACL/IP-Prefix) |
| Filter-Policy | 协议级 | 路由过滤 | 高(精确匹配) |
| Route-Policy | 策略级 | 复杂路由控制和属性修改 | 非常高(多条件) |
五、排错命令
display rip route # 查看RIP路由表
display route-policy POLICY # 查看策略内容
debugging rip packet # 调试RIP报文(慎用)
reset rip process # 重置RIP进程
dis ip ip-prefix # 查看前缀列表
