Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

策略框架概述

Junos 操作系统 (Junos OS) 提供了一个策略框架,该框架是 Junos® OS 策略的集合,允许您控制路由信息和数据包流。

Junos OS 策略架构简单明了。但是,每个策略的实际实施增加了策略的复杂性,并增加了路由器功能的功能和灵活性。配置策略会对路由器内部和通过路由器的路由信息或数据包流产生重大影响。例如,您可以配置不允许将与特定客户关联的路由放置在路由表中的路由策略。由于此路由策略,客户路由不会用于将数据包转发到各个目标,路由协议也不会将路由通告给邻居。

在配置策略之前,请确定要使用它完成的目标,并彻底了解如何使用各种匹配条件和操作实现目标。此外,请确保您了解正在配置的策略的默认策略和操作。

路由策略和防火墙过滤器

策略框架由以下策略组成:

  • 路由策略 — 允许您控制路由协议与路由表之间以及路由表与转发表之间的路由信息。所有路由协议都使用 Junos OS 路由表来存储它们获知的路由,并确定它们应该在其协议数据包中通告哪些路由。路由策略允许您控制路由协议存储在路由表中以及从路由表中检索哪些路由。

  • 防火墙过滤器 策略 — 允许您控制将路由器传输到网络目标的数据包以及发往路由器并由路由器发送的数据包。

    注:

    此处使用术语防火墙过滤器策略来强调 防火墙过滤器 是一种策略,并且与路由策略有一些基本的相似之处。但是,在本手册的其余部分中提及防火墙过滤器策略时,将使用术语 防火墙过滤器 。

创建路由策略的原因

在以下典型情况下,您可能希望通过创建自己的路由策略来抢占路由策略框架中的默认路由策略:

  • 您不希望协议将所有路由导入路由表。如果路由表不了解某些路由,则它们永远不能用于转发数据包,也永远不能重新分发到其他路由协议中。

  • 您不希望路由协议导出它获知的所有活动路由。

  • 您希望路由协议通告从其他路由协议获知的活动路由,该协议有时称为 路由重新分发。

  • 您希望操作路由特征,例如首选项值、AS 路径或社区。您可以操作路由特征以控制选择哪条路由作为到达目标的活动路由。通常,活动路由也会播发给路由器的邻居。

  • 您想要更改默认 BGP 路由抖动抑制参数。

  • 您希望执行按数据包的负载平衡。

  • 您希望启用 服务等级 (CoS)。

受策略影响的路由器流

Junos OS 策略会影响以下路由器流:

  • 路由协议与路由表之间以及路由表与转发表之间的路由信息流。路由引擎处理此流程。路由信息是路由协议从路由器的邻居处获知的路由信息。此信息存储在路由表中,随后由路由协议向路由器的邻居通告。路由策略允许您控制此信息的流动。

  • 数据包流入和流出路由器的物理接口。数据包转发引擎处理此流程。数据包 是在从源转发到目标时通过路由器的数据块。当路由器在接口上收到数据包时,它会通过在转发表中查找到达目标的最佳路由来确定数据包的转发位置。然后,路由器通过相应的接口将数据包转发到目的地。防火墙过滤器允许您控制这些数据包的流动。

  • 本地数据包从路由器的物理接口流向路由引擎。路由引擎处理此流程。本地数据包 是发往路由器或由路由器发送的数据块。本地数据包通常包含路由协议数据、用于 IP 服务(如 Telnet 或 SSH)的数据,以及用于管理协议(如互联网控制消息协议 (ICMP))的数据。当路由引擎收到本地数据包时,它会将数据包转发到相应的进程或内核(两者都是路由引擎的一部分)或数据包转发引擎。防火墙过滤器允许您控制这些本地数据包的流动。

    注:

    在本章的其余部分,除非另有明确说明,否则术语数据包同时指数据和本地 数据包 。

图 1 说明了流经路由器的流量。尽管流量彼此非常不同,但它们也是相互依存的。路由策略确定在转发表中放置哪些路由。反过来,转发表在确定转发数据包的适当物理接口方面发挥着不可或缺的作用。

图 1: 路由信息和数据包流路由信息和数据包流

您可以配置路由策略来控制路由协议在路由表中放置的路由,以及控制路由协议从路由表播发哪些路由(请参阅 )。图 2路由协议仅通告来自路由表的活动路由。(活动路由是从路由表中的所有路由中选择到达目标的 路由 。

您还可以使用路由策略执行以下操作:

  • 更改特定路径特征,以便控制选择哪条路径作为到达目的地的活动路径。通常,活动路由也会播发给路由器的邻居。

  • 更改为默认 BGP 路由抖动抑制值。

  • 执行按数据包的负载平衡。

  • 启用服务等级 (CoS)。

图 2: 用于控制路由信息流的路由策略用于控制路由信息流的路由策略

您可以配置防火墙过滤器来控制数据包流的以下方面(请参阅 ):图 3

  • 物理接口上接受哪些数据包以及从物理接口传输哪些数据包。要控制数据包的流动,请将防火墙过滤器应用于物理接口。

  • 哪些本地数据包从物理接口传输到路由引擎。要控制本地数据包,请在环路接口(路由引擎接口)上应用防火墙过滤器。

防火墙过滤器提供了一种保护路由器的方法,防止过多的流量将路由器传输到网络目标或发往路由引擎。控制本地数据包的防火墙过滤器还可以保护您的路由器免受拒绝服务攻击等外部事件的影响。

图 3: 用于控制数据包流的防火墙过滤器用于控制数据包流的防火墙过滤器

控制点

所有策略都提供两个点,您可以在这两个点上控制通过路由器的路由信息或数据包(请参阅 )。图 4这些控制点允许您控制以下内容:

  • 将路由信息放入路由表之前和之后的路由信息。

  • 转发表查找前后的数据包。

  • 路由引擎接收之前和之后的本地数据包。 ( 似乎只描绘了一个控制点,但由于本地数据包的双向流,实际上存在两个控制点。图 4

图 4: 策略控制点策略控制点

由于存在两个控制点,因此您可以配置在路由信息或数据包与各自表交互之前和之后控制路由信息或数据包的策略,以及在与路由引擎交互之前和之后控制本地数据包的策略。导入 路由策略控制放置在路由表中的路由信息,而 导出路由策略 控制从路由表播发的路由信息。输入 防火墙过滤器控制在路由器接口上接收的数据包,而 输出防火墙过滤器 控制从路由器接口传输的数据包。

策略组件

所有策略都由您配置的以下组件组成:

  • 匹配条件 — 用于比较路由或数据包的条件。您可以配置一个或多个条件。如果所有条件都匹配,则应用一个或多个操作。

  • 操作 - 如果所有条件都匹配,会发生什么情况。您可以配置一个或多个操作。

  • 术语 - 定义匹配条件和操作的命名结构。您可以定义一个或多个术语。

策略框架软件根据术语内的匹配条件评估每个传入和传出路由或数据包。如果满足匹配条件中的条件,则执行定义的操作。

通常,策略框架软件会将路由或数据包与策略中第一个术语中的匹配条件进行比较,然后继续执行下一个术语,依此类推。因此,您在策略中排列术语的顺序是相关的。

术语内匹配条件的顺序无关紧要,因为路由或数据包必须与术语中的所有匹配条件匹配才能执行操作。

相关主题