路由性能天梯图_net core路由器[通俗易懂]

路由和数据

1. 转发顺序：先有路由再转发数据。

R1访问R3，3.3.3.3/32路由先传递给R1，R1数据再访问R3。

2. 转发方向：对于COST值

3.3.3.3/32路由转发至R1时，携带的cost=13+11

R1数据访问3.3.3.3/32时，cost=11+13

3. 转发模式：路由逐跳转发：路由报文完全解封装，中间路由器根据报文内容学习路由

数据源/目转发：数据包仅解封装至网络层，根据源/目IP转发

实际上，路由也是一种数据。（信令：控制其他数据的数据）

以OSPF为例，3.3.3.3/32路由想逐跳传递至R1。

首先R3需要组播报文（224.0.0.5）建立邻接关系，并构建拓扑，得到R2 G0/0/1口IP，再转发LSU（封装在IP层），发送路由。

如果R1-R3起IBGP邻居，R3传3.3.3.3/32 IBGP路由给R1。

对于R1、R3而言，这份流量解封装（二层/三层IP/四层TCP/应用层BGP/Update NLRI），所以是路由
对于R2而言，这份流量解封装（二层），IP转发，所以是数据

所以，

ACL是一种流量过滤工具（2/3/4层），但把路由封装看作一种数据，ACL也可以过滤。

而Route-policy是实际对LSU、LSP、Update等报文内容做的修改（实际过滤路由）

路由控制

可达性控制：

Filter-Policy策略（控制层面）：改变路由条目
ACL流量控制（转发层面）

流量路径控制：

Route-Policy策略（控制层面）：改变路由条目、修改路由属性
PBR（转发层面）：流量进入设备前，规定下一跳（不查路由表转发）

ACL（流量控制）

ACL分类

数字型ACL： acl 2000

命名型ACL： acl name HCIE 3000

ACL分类匹配

接口ACL（1000-1999）接口

基本ACL（2000-2999） SIP

高级ACL（3000-3999） S/DI P、S/D port、协议五元组

二层ACL（4000-4999） S/D MAC、二层协议

ACL

应用在接口（traffic-filter等）过滤流量时，默认=permit（通过）

应用在策略（route-policy等）匹配路由时，默认=deny（不匹配）

match-order（auto/config）

config：按照rule-id从小到大顺序匹配

auto：自动调整各条rule-id，越精确的条目rule-id越小，再顺序匹配

原有规则：

键入新规则：rule deny ip destination 1.1.1.1 0

新规则：

ACL严格按照rule-id顺序匹配

二层ACL：解封装报文2层

基本ACL：解封装报文2、3层

高级ACL：解封装报文2、3、4层

rule 1 permit IP

rule 2 deny 所有MAC

IP可达

rule 1 permit TCP

rule 2 deny 所有IP

TCP可达

R1-R2直连接口起IBGP邻居

[R1] traffic-filter inbound ipv6 acl 3000

如果ACL ipv6 3000这样写：

虽然最后拒绝了所有IP，但按照rule-id，tcp先匹配，IBGP邻居关系可以建立。

写2条源目TCP是因为，BGP的连接是（主动方源端口号随机 → 被动方目的端口179）
写允许ICMP是因为IPv6需要NS、NA建立邻居关系，以MAC地址解析

如果ACL ipv6 3000这样写：

第一条就拒绝IPv6，那无法建立邻居。

ACL对本地始发流量无效

[R1] acl 3000

rule deny ip source 12.0.0.1 0.0.0.0

[R1-G] traffic-filter outbound acl 3000

[R1] ping 12.0.0.2 可以通

ACL匹配上了，却可以通。

结论：ACL对本地始发流量无效

基于时间ACL：time-range

Eg.

time-range TIME1 8:30 to 17:00 working-day daily

//名称为TIME1的时段：工作日8：30-17：00

time-range TIME2 from 12:00 2020/1/1 to 12:00 2021/1/1

基本ACL

rule [rule-id] { permit | deny }[ source { 源地址反掩码 | any }|time-range time-name | vpn-instance vpn-instance-name]

rule-id默认步长=5，步长可不指定
默认使用config方式顺序匹配规则，因此建议将精确规则放在前面

Eg. rule 10 permit source 172.16.0.0 0.0.255.255

rule 20 deny source 172.16.1.0 0.0.0.255

存在包含关系，此时rule 20不会生效

Eg. 要求PC-A可以访问R；拒绝B上班时间访问R；C拒绝访问

[R] time-range TIME 8:30 to 17:00 working-day daily

[R-acl-2000] rule 5 permit source 172.16.1.1 0

rule 10 deny source 172.16.2.1 0 time-range TIME

rule 15 deny source any

[R-G0/0/0] traffic-filter inbound acl 2000

高级ACL

rule [rule-id] {
permit | deny} ip [source{source-address|any}|destination{destination-address|any}|time-range time-range-name | dscp dscp | tos tos]

dscp：IP优先级

tos：服务类型字段

Eg. 要求禁止销售部工作时间访问财务部；禁止人力资源部telnet财务部；经理室随意访问

[R] time-range TIME 8:30 to 17:00 working-day daily

[R-acl-3000] rule permit ip source 10.5.8.8 0 destination any

rule deny ip source 10.5.20.0 0.0.0.255 destination 10.5.100.5 0 time-range TIME

rule deny tcp source 10.5.30.0 0.0.0.255 destination 10.5.100.5 0 destination-port eq 23 //拒绝TCP连接协议号等于23的服务（telnet）；eq=equal

rule deny source any

[R-E2/0/3] traffic-filter outbound acl 3000

通配符（反掩码）

反掩码中0精确匹配 1通配
掩码中1必须连续不存在255.100.255.0掩码

反掩码中1可不连续存在0.0.6.0反掩码

Eg1. 匹配出192.168.1.0/24网段中所有的奇数地址

奇数地址末位=1，因此匹配时，网段最后1bit=1&最后1Byte反掩码=11111110（254）

192.168.1.1 0.0.0.254

Eg2. 172.16.0.0/24、172.16.1.0/24……172.16.7.0/24从中匹配出第三Byte为偶数的

第三Byte： 00000000 0

00000010 2

00000100 4

00000110 6

因此需要反掩码00000110=6匹配（1位模糊匹配）

172.16.0.0 0.0.6.0

Eg3. 一条ACL匹配10.1.（1、3、5、7、17、19、21、23）.0/24

第三Byte： 00000001 1

00000011 3

00000101 5

00000111 7

00010001 17

00010011 19

今天的文章路由性能天梯图_net core路由器[通俗易懂]分享到此就结束了，感谢您的阅读。

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。
如需转载请保留出处：https://bianchenghao.cn/61971.html