目录

1、流量行为控制需求 

1.1 控制网络的可达性

 1.2 调整网络流量路径

2、控制流量可达性

2.1 路由策略方式

2.2 流量过滤方式

 3、调整网络流量路径

3.1 路由策略方式

3.2 策略路由方式

3.2.1配置

3.3 路由策略和策略路由

1、流量行为控制需求 

在企业网络的通信设备中，常面临一些非法流量的访问的安全性及流量路径不优等问题，故为保证数据访问的安全性、提高带宽利用率，就需要对网络中的流量进行控制，如网络可达性、调整网络流量路径的等。

1.1 控制网络的可达性

控制网络流量可达性：如图，为满足业务需求和保证数据访问安全性，要求市场部不能访 问财务部、研发部，公司总部不能访问研发部。

 1.2 调整网络流量路径

调整网络流量路径：如图，根据OSPF协议计算生成的路由，市场部和财务部访问公司总部都选择通过一条开销最小的路径，即使该路径发生拥塞也如此，而另外一条路径的链路带宽则一直处于空闲状态，这样就造成了带宽浪费的问题。

2、控制流量可达性

2.1 路由策略方式

有这样一个场景，公司内市场部的流量不允许访问财务部和研发部，这时就需要对网路中的流量进行控制来达到我们想要的结果。

控制网络流量的可达性：

• 可通过修改路由条目（即对接收和发布的路由进行过滤）来控制流量的可达性，这种方式称为路由策略。
• 可使用Traffic-Filter工具对数据进行过滤，这种方法称为流量过滤。

路由策略（Routing Policy）的作用是当路由器在发布、接收和引入路由信息时，可根据实际组网需要实施一些策略，以便对路由信息进行过滤或改变路由信息的属性，如：

1. 控制路由的发布：只发布满足条件的路由信息。
2. 控制路由的接收：只接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。
3. 过滤和控制引入的路由：一种路由协议在引入其它路由协议时，只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。
4. 设置特定路由的属性：为通过路由策略过滤的路由设置相应的属性。

路由策略的实现分为两个步骤：

1. 定义规则：首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则， 可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、AS号等；（首先使用ACL或者IP-Prefix List工具来匹配目标流量）
2. 应用规则：根据设置的匹配规则，再将它们应用于路由的发布、接收和引入等过程中。（然后在协议视图下应用策略）

下面一篇博客对几个路由策略使用的方法做了总结，这里不做过多解释：

https://blog.csdn.net/weixin_43997530/article/details/108916660

2.2 流量过滤方式

拓扑要求为下：如图，为满足业务需求和保证数据访问安全性，要求市场部不能访问财务部、研发部，公司总部不能访问研发部。

经测试，在设置完流量过滤后，RTC的路由表仍然有全网的路由，且市场部无法访问财务 部和研发部，对于其他部门仍可正常访问。同样，RTD的路由表也有全网的路由，且公司总部无法访问研发部，其他仍可正常访问。

 3、调整网络流量路径

解决：

1. 可通过路由策略方式修改协议属性来控制路由表条目，从而调整流量路径。
2. 可采用策略路由方式在查找路由表之前控制流量行为。

3.1 路由策略方式

• 若运行OSPF或ISIS协议，可通过调整接口Cost属性值来实现；
• 若运行RIP协议，可通过调整Metric或下一跳属性来实现；
• 若运行BGP协议，则可通过调整AS-Path、Local_Pref、MED、Community等属性来实现

新要求：为了充分利用链路利用率，先要求市场部访问总部流量路径为RTA-RTB-RTD；财务部访问公司总部流量路径为RTA-RTC-RTD。 

传统的路由转发原理是首先根据报文的目的地址查找路由表，然后进行报文转发。由于其只能依靠数据包的目的地址做转发策略，所以无法满足需求；故当出现基于源地址、目的地址或基于应用层等一些复杂的控制需求时，就体验出其局限性。

正是由于路由策略实现方式的缺陷，促使了目前越来越多的用户希望能够在传统路由转发的基础上，根据自己定义的策略进行报文转发和选路。策略路由使网络管理者不仅能够根据报文的目的地址来制定策略，而且还能够根据报文的源地址、报文大小和链路质量等属性来制定策略路由，以改变数据包转发路径。

3.2 策略路由方式

策略路由PBR（Policy Based Routing）与单纯依照IP报文的目的地址查找路由表进行转发有所不同，它是一种依据用户制定的策略而进行流量转发的机制。

策略路由的查找优先级比路由策略高，当路由器接收到数据包并进行转发时，会优先根据策略路由的规则进行匹配，如果能匹配上，则根据策略路由进行转发，否则按照路由表中的路由条目来进行转发。其中策略路由不改变路由表中的任何内容，它可以通过预先设置的规则来影响数据报文的转发

策略路由方式采用Traffic-Policy工具来实现：

• 首先使用ACL工具匹配目标流量；
• 然后对目标流量定义行为，如修改下一跳。

策略路由PBR分为：

• 当用户需要实现不同源地址的报文或者不同长度的报文通过不同的方式进行发送时，可以配置本地策略路由。
• 常用Policy-Based-Route工具来实现。

• 当用户需要将收到的某些报文通过特定的下一跳地址进行转发时，需要配置接口策略路由。使匹配重定向规则的报文通过特定的下一跳出口进行转发，不匹配重定向规则的报文则根据路由表直接转发。接口策略路由多应用于负载分担和安全监控。
• 常用Traffic-Policy工具来实现。

• 当用户需要为不同业务选择不同质量的链路时，可以配置智能策略路由。
• 常用Smart-Policy-Route工具来实现。

3.2.1配置

[RTA]acl 3000
 rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control1
 if-match acl 3000
traffic behavior huawei-control1
 redirect ip-nexthop 12.1.1.2
traffic policy huawei-control1
 classifier huawei-control1 behavior huawei-control1
int g0/0/2
 traffic-policy huawei-control1 inbound

[RTA]acl 3001
 rule 5 permit ip source 10.1.2.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
traffic classifier huawei-control2
 if-match acl 3001
traffic behavior huawei-control2
 redirect ip-nexthop 12.1.3.2
traffic policy huawei-control2
 classifier huawei-control2 behavior huawei-control2
int g4/0/0
 traffic-policy huawei-control2 inbound

3.3 路由策略和策略路由

路由器存在两种类型的表：一个是路由表（routing-table），另一个是转发表 （forwarding-table），转发表是由路由表映射过来的，策略路由直接作用于转发表，路由策略直接作用于路由表。由于转发在底层，路由在高层，所以直接作用在转发表的转发，优先级比查找路由表转发的优先级高。

路由策略是在路由发现的时候产生作用，并根据一些规则，使用某种策略来影响路由发布、接收或路由选择的参数，从而改变路由发现的结果，从而最终改变路由表内容；策略路由是在数据包转发的时候发生作用，不改变路由表中的任何内容，它可以通过设置的规则影响数据报文的转发。