​第三章：路由控制ip-prefix，route-policy

数通HCIP笔记（8）

一.网络设备的工作平面

前言：

·控制平面：系统中用于调度，下发指令计算表项的部分，协议报文的交互，表项的生成，维护等属于控制层面的范畴，

例：在路由器中，路由的学习路由表项的生成计算等都由控制层面调度完成，

·数据平面（转发平面）:指的是系统中用于数据进行封装解封装，查表，转发等

例：当路由器收到IP报文后，首先解封装，查看DIP地址，找到对应的表项（FIB）之后按照表项进行重新封装后转发，上述行为都属于转发平面的范畴

PS：系统中通过控制层面完成路由报文的交互，生成若干表项，这些表项会被下发到转发平面，用来指导数据报文的转发

例：路由器通过OSPF协议报文的交互，由控制层面运行计算，计算完成后生成对应的协议表项，同时进行优选加入全局表项，然后控制层面会将表项中的一些用于指导数据转发的信息下发到转发层面形成FIB表，指导系统进行数据报文的转发

1.策略：是管理员定义的一系列规则，优先级最高，

2.执行策略的过程：以路由控制为例①先将感兴趣的路由/流量抓取出来②对抓取的目标制定相对应的规则，或执行动作，③将其与某些协议或者规则调用

3.策略应用时使用到的工具

·匹配工具：定义一些流量或者路由的属性，来将需要的目标抓取出来ACL/IP-Prefix，AS路径过滤器，团体属性过滤器，扩展团体属性过滤器，RD属性过滤器，route-policy

·条件工具：用来把“抓取”出来的流量/路由执行某个动作，如允许拒绝修改属性route-policy

·调用工具：用于将策略应用到某个具体的协议或接口中使其生效peer ， filter-policy

二.工具介绍

1.ACL：所存在的不足，只能通过通配符匹配路由的前缀信息无法精确匹配出某一条路由，

2.ip-prefix前缀列表：作用：作为匹配工具，只能用于匹配路由，但是可以精确地匹配出路由，因为其既可以匹配前缀也可以匹配掩码，步长为10. 动作在不同的调用工具中有不同的意义greater-equa：大于less-equal ：小于

3.匹配机制：ip-prefix 自身可以定义机制，使用index（索引值）进行区分，匹配时按照从小到大，一旦匹配中停止匹配，若一条都没中，则执行底层默认规则拒绝所有

PS：为保证制定规则不影响其他路由传递，可以制定一个允许所有的规则，尽量index指定大一些

4.ACL与IP-prefix的区别

①命名规则不同：ACL按照命名规则可以分为接口ACL等前缀列表没有复杂的命名规则，直接指定名称即可

②匹配条件不通：ACL定义了丰富的匹配项，入接口、源目地址与端口，协议类型等也可以基于时间进行匹配

前缀列表是将源地址目的地址下一跳的地址前缀作为匹配条目，匹配项较少，无法基于时间匹配

③匹配规则不同：ACL通过IP地址和通配符来匹配路由，无法精确匹配掩码，地址前缀列表是通过网络地址前缀，掩码长度及其掩码长度范围来匹配路由，可以精确匹配路由

④匹配顺序中：ACL可以按照顺序进行匹配，也可以按照深度优先的原则进行匹配

地址前缀列表只能按照配置index的大小进行匹配

⑤规则步长：ACL为5（可以使用step进行修改） 前缀列表为10且不可修改

⑥作用：ACL可以匹配流量与路由但是前缀列表只能匹配路由

⑦底层默认：地址前缀列表底层默认规则是拒绝所有，而ACL的底层默认规则在各业务模块中应用时各不相同

⑧应用场景：ACL来说应用场景非常广泛，如限制流量的转发，限制telnet的登录，过滤非法的上网流量；地址前缀列表只能用于路由控制

三.调用工具与策略工具

1.路由策略：指的是对路由进行控制（引入，接收，修改属性）

①过滤工具:Filter-policy（应用型策略，调用）只能用于过滤路由（自身无法定义规则的由其调用的ACL/ip-prefix/router-policy）定义的规则来决定

若ACL/ip-prefix/router-policy中permit，则允许

若ACL/ip-prefix/router-policy中deny，则拒绝

若ACL/ip-prefix/router-policy并不存在则默认允许所有

若ACL/ip-prefix/router-policy存在并未定制规则，则拒绝所有路由

Filter-policy可以用在import、export这两个方向上

·import：对于距离矢量路由协议可以实现路由的过滤，对于链路状态路由协议只能影响自身的路由表项，无法影响邻居的表项，主要是因为无法过滤LSA

·export：对于距离矢量路由协议可以实现路由的过滤，对于链路状态路由协议无法限制的，主要是因为无法过滤LSA，但是可以对于引入的外部路由在出方向上进行限制（如OSPF五类 在ABR出方向上进行限制，则后面学习不到此路由）

②Route-policy（控制型策略）：自身可以限制规则，用于过滤路由，以及还可以对路由属性进行修改

if-match子句--条件语句用来定义一些匹配条件

Apply执行语句用来指定动作

PS：条件语句与执行语句之间的关系的与的关系，node节点之间是或的关系

匹配规则：

PS：if-match调用的ACL或者IP-prefix中的允许与拒绝仅用于决定是否匹配中，而最终是否通过是由node中的匹配模式决定的

if-match调用的ACL或者IP-prefix中的允许与拒绝仅用于决定是否匹配中，而最终是否通过是由node中的匹配模式决定的

if-match调用的ACL或者IP-prefix中的允许与拒绝仅用于决定是否匹配中，而最终是否通过是由node中的匹配模式决定的

（重要的事情说三遍！！！）

2.场景分析：Route-policy的permit与deny

①node节点为permit

A.若ACL/ip-prefix当中为permit，最终结果为permit（放行通过）

B.若ACL/ip-prefix当中为deny，最终结果为permit（没有匹配中进入下一个节点继续匹配）

C.若没有匹配中则进入下一个节点（route-policy底层为允许所有）

②node节点为deny

D.若ACL/ip-prefix当中为permit，最终结果为拒绝（不允许放行）

E.若ACL/ip-prefix当中为deny，最终结果为拒绝（不允许放行）

③若没有匹配中，则进入下一个节点（route-policy底层为允拒绝所有）

PS：若制定规则时，不影响其他路由的传递，则可以创建一个节点，较大空的匹配模式为permit的规则（允许所有）

基础命令：

[Huawei] ip ip-prefix 编号 index 10 permit 192.168.1.0 22 greater-equal 24 less-equal 26

【ospf 1】import-route staticfilter-policy 2000 export //应用

【ospf 1】 filter-policy 2000 import

【AR1】route-policy    test    permit      node     10

if-match x1

if-match x2

apply y1