行为管理(锐捷路由篇)
大家好,我是小杜,不知不觉的已经学习了一个月了,从一个只知道些基础的“菜鸟”到现在的"普鸟",争取尽快进化成“老鸟”。
今天继续对相关的行为管理方面的学习,相信以后会经常遇到这种问题,需要完全熟悉的掌握。话不多说,开始今天对RSR路由设备的行为管理学习。
一、ACL过滤
1、配置acl规则(一定要先配置ACL,再调用)
ip access-list extended 100
10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量
20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量
30 permit ip any any //最后一定要允许所有!!!
2、接口下调用acl
interface GigabitEthernet 0/0
ip access-group 100 in //可以调用在接口in方向和out方向
二、流过滤(全局acl)
1、配置acl规则(一定要先配置ACL,再调用)
ip access-list extended 100
10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量
20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量
30 permit ip any any //最后一定要允许所有!!!
2、全局调用acl
ip session filter 100
或者:ip fpm session filter 100
RSR在默认情况下,是先建立会话流表再去匹配ACL,也就是说,就算在接口配置 deny ip any any 的ACL,这个时候一个数据包来到接口后,还会先建立一条会话,再去匹配ACL被丢弃。那么这种特性就会有一个问题,如果遇到大量的伪源IP攻击,或者是端口扫描时,虽然有ACL拒绝了这种报文的转发,但是还是会把流表给占满,而导致正常的数据无法建流而被丢弃。ip session filter 就是为解决以上问题而开发的,ip session filter的原理就是,在建立流表前去匹配调用的ACL,如果被ACL拒绝就不会再去建流了。
注意:
1、被ip session filter调用的ACL是全局生效的,而且是在建立流表前匹配,也就是说被此ACL拒绝的数据不会建流而直接被丢弃,所以一定要确保该放通的资源都放通后再启用。
2、ip session filter对设备本身所发出的数据是不生效的。
3、通过IP session filter的流量,回来时不会再匹配ip session filter所调用的ACL,也就是说能出去就能回来。
三、策略路由
1、创建策略路由条目
Router(config)#route-map route_map_name [permit | deny] sequence
route_map_name:命名策略路由
permit:对符合条件的数据包实施策略
deny:对符合条件的数据包不实施策略
sequence:0-65535,route-map语句的执行顺序,
route-map每个条目都被赋予编号,可以任意地插入或删除条目;
按照序号大小顺序查找匹配,Route-map中的每个序列号语句相当于于访问控制列表中的各行。
缺省最后有一条deny any的语句,对于没有匹配到策略路由的流量,不会丢弃,而是做正常的ip 路由转发。
2、匹配规则
match ip address 匹配访问列表或前缀列表
3、设置策略
set interface 出接口,先匹配策略路由,再匹配明细路由,最后匹配默认路由。
set default interface 默认出接口,先匹配明细路由,再匹配策略路由,最后匹配默认路由。
set ip next-hop 下一跳,先匹配策略路由,再匹配明细路由,最后匹配默认路由。
set ip default next-hop 默认下一跳,先匹配明细路由,再匹配策略路由,最后匹配默认路由。
注意:
(1)带不带default的区别:
不带default:策略路由优先级高于明细路由
带default:策略路由优先级低于明细路由;
(2)什么时候设置出接口,什么时候设置下一跳:
以太网接口必须设置下一跳,PPP链路则设置出接口
4、应用策略路由
接口策略路由:
Ruijie(config)#interface gigabitEthernet 0/0
Ruijie(config-GigabitEthernet 0/0)#ip policy route-map ruijie //接口策略路由,对接口收到的报文进行策略路由
本地策略路由:
Ruijie(config)#ip local policy route-map ruijie //对本地发出的符合规则的报文进行策略路由
注意:
(1)策略路由一定要应用到数据包的in方向接口,不能应用到数据包的out方向接口。因为策略路由实际上是在数据包进路由器的时候,强制设置数据包的下一跳,out方向接口,路由器已经对数据包做完ip路由,把数据包从接口转发出去了,故out方向策略路由不生效。
(2)本地策略路由是对设备自身发出的报文进行策略路由选路(源地址为设备自身)。
(3)策略路由匹配逻辑:
route-map test permit 10 match x y z match a set b set c |
If ( (x or y or z) and a ) then set (b and c) |
route-map test permit 20 match q set r |
else if( q ) then set r |
deny all(系统隐含) |
else set nothing |
5、冗余模式/负载模式
如果策略路由中设置了两个下一跳,默认是采用冗余模式,也可以更成为负载模式
Ruijie(config)#ip policy load-balance //更改成为负载模式
Ruijie(config)#ip policy redundance //更改成为冗余模式
6、举例--完整的策略路由配置
(1)配置ACL匹配规则
ip access-list extended 100
10 permit ip 192.168.10.0 0.0.0.255 any //匹配源地址为192.168.10.0/24的所有流量
20 permit ip 192.168.20.0 0.0.0.255 any //匹配源地址为192.168.20.0/24的所有流量
30 permit ip 192.168.30.0 0.0.0.255 114.114.114.114 0.0.0.0 //匹配192.168.30.0/24访问114的流量
(2)配置策略路由
route-map ruijie permit 10 //创建名为ruijie的策略路由,“permit”指对匹配
match ip address 100 //匹配ACL100
set ip next-hop 100.0.0.254 //设置下一跳为100.0.0.254
(3)内网接口下调用策略路由
interface GigabitEthernet 0/0
ip policy route-map ruijie //内网接口下调用策略路由
四、限速配置
1、rate-control和rate-limit的区别:
rate-control是对ACL里每一个用户做带宽和会话限制;rate-limit是以ACL或接口为一个组,限定一个总体的带宽。
rate-limit一般在in/out两个方向都可使用;rate-control一般用在出口,可以对上传和下载两个方向进行控制。
rate-limit
1、用ACL进行流量分类 access-list 100 permit ip 192.168.1.0 0.0.0.255 any //定义需要限速网段 2、配置rate-limit对流量分类进行限速 interface gigabitEthernet 0/0 //对g0/0接口的所有出方向流量限速2Mbps rate-limit output 2000000 200000 400000 conform-action transmit exceed-action drop interface gigabitEthernet 0/1 //对g0/1接口的入方向匹配acl100的流量限速2Mbps rate-limit input access-group 100 2000000 200000 400000 conform-action transmit exceed-action drop 注意: rate-limit命令除了配置限制的速率大小,还要设置令牌通和突发速率大小: rate-limit output 2000000(A) 200000(B) 400000(C) conform-action transmit exceed-action drop A=限速值,单位bit/s B=A/10,正常突发字节数,单位bytes C=A/5,最大突发字节数,单位bytes 命令解释: rate-limit { input | output} bps burst-normal burst-max conform-action action exceed-action action
查看接口下调用的rate-limit: show rate-limit interface gigabitEthernet 0/0 |
rate-control
1、用ACL定义需要进行限速的用户群和协议 ip access-list extended 199 5 deny udp any any eq domain //DNS域名解析是打开网页的前提,因此DNS报文不应该限制 10 deny ip host 192.168.1.1 any //内网 192.168.1.1 用户不做限速 20 permit ip 192.168.1.0 0.0.0.255 any //内网192.168.1.0 用户做限速 2、配置rate-control控制每用户会话数 interface GigabitEthernet 0/0 //应用在数据流出接口上,比如NAT环境中则应用在ip nat outside接口 ip rate-control 110 bandwidth up 1000 down 1000 //单位为KBps 运营商带宽单位为Mbps,1MBps=1000KBps=8Mbps,比如想限速5Mbps,设置的值就是5000/8 ip rate-control acl bandwidth up rate down rate session total total-sessions rate new-session-rate acl:匹配acl的流量将被限速 rate:单位kBps total-sessions:总会话数限制 new-session-rate:新建会话数限制 查看接口调用的rate-limit: show ip rate-control |
2、流量整形
通用流量整形(Generic Traffic Shaping,GTS)可以对不规则或不符合预定流量特性的报文流进行整形,以利于网络上下游之间的带宽匹配。
GTS使用报文缓冲区和令牌桶来完成,当报文流发送速度过快时,首先在缓冲区进行缓存,在令牌桶的控制下,再均匀地发送这些被缓冲的报文。
流量整型(GTS)与流量监管(rate-limit)的区别:
1、GTS有缓存机制,对于超出预定流量的报文进行缓存,使得流量更平滑;rate-limit无缓存机制,对于超出预定流量的报文直接丢弃。
2、GTS功能模块是在接口队列机制之后进行,而rate-limit是在报文进队列前进行;导致的结果是,如果使用rate-limit进行了限速,那么队列机制即使配置也起不到作用;而GTS可以和队列机制配合使用,组成完整的QoS保障机制。
在接口使用traffic-shap rate 进行流量整型: interface GigabitEthernet 0/0 traffic-shape rate 1900000 //单位Mbps 命令说明:
Ruijie(config-GigabitEthernet 0/0)#traffic-shape rate 2000000 ? <0-100000000> Bits per interval, sustained <cr> 整形带宽参数设置经验值: 以太链路:配置为运营商提供带宽的95% ATM链路:配置为运营商提供带宽的80% 。说明:由于QoS是IP层功能,数据进入ATM接口封装为信元后,报文开销会而外增大许多,所以,如果ATM带宽10Mbps时,GTS限制为8Mbps,加上ATM信元开销就接近10Mbps了。 查看接口调用: show queue interface gigabitEthernet 0/0 |
哇,都是底层命令行配置的,这会比管理页面配置会复杂,但是这个难不倒我小杜,学习是已经学习好了,还需要再多加练习才能够熟练的使用。加油!!!今天就分享到这了哈。