策略路由
策略路由技术背景
在某些场景中我们希望一些特定用户、特定业务的流量走指定的转发路径,而其余用户或业务的流量则已经根据路由表进行转发
PBR
PBR(Policy-Based Routing,策略路由):PBR使得网络设备不仅能够基于报文的目的IP地址进行数据转发,更能基于其他元素进行数据转发,例如源IP地址、源MAC地址、目的MAC地址、源端口号、目的端口号、VLAN-ID等等
PBR结构
PBR与Route-Policy类似,又多个节点组成,每个节点由匹配条件(条件语句)和执行动作(执行语句)组成
每个节点内可包含多个条件语句,节点内的多个条件语句之间的关系为"与",即匹配所有条件语句才会执行本节点内的动作。节点之间的关系为"或",PBR根据节点编号从小到大顺序执行,匹配当前节点将不会继续向下匹配
PBR命令语法
PBR的节点匹配模式
PBR与路由策略区别
名称 | 操作对象 | 描述 |
路由策略(Route Policy) | 路由信息 | 路由策略是一套用于对路由信息进行过滤、属性设置等操作的方法,通过对路由的操作和控制,来影响数据报文的转发路径 |
PBR | 数据报文 | PBR直接对数据报文进行操作,通过多种手段匹配刚兴趣的报文,然后执行丢弃或强制转发路径等操作 |
PBR的分类
MQC
MQC(Modular QoS Command-Line Interface,模块化QoS命令行)是指通过将具有某类共同特征的数据流划分为一类,并为同一类数据流提供相同的服务,也可以对不同类的数据流提供不同的服务
MQC包含三个要素
流分类
定义一组流量匹配规则,以对报文进行分类
流分类支持的匹配项:
流分类中各规则之间的关系
流行为
用来定义执行的动作,支持报文过滤、重标记优先级、重定向、流量统计
流策略
将流分类和流行为绑定,对分类后的报文执行对应流行为中定义的动作
流量过滤
为提高网络安全性,管理人员需要控制进入网络的流量,将不信任的报文丢弃在网络边界。所谓的不信任报文是指对用户来说存在安全隐患或者不愿意接收的报文。同时保证数据访问安全性,企业网络中经常会要求一些部门之间不能相互访问
流量过滤工具
Traffic-Filter部署位置
使用Traffic-Filter过滤流量可以灵活的选择部署位置,在流量进入设备或者离开设备的接口上执行过滤动作,双向访问的业务禁止其中一个方向即可实现阻断业务的需求