Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

策略框架概述

Junos® 操作系统 (Junos OS) 提供了一个 策略框架,这是 Junos OS 策略的集合,允许您控制路由信息和数据包的流。

Junos OS 策略架构简单易用。但是,每个策略的实际实施都会增加策略的复杂性层,同时为路由器的功能增加功率和灵活性。配置策略对路由信息或数据包在路由器内部和通过路由器的流有重大影响。例如,您可以配置路由策略,该策略不允许将与特定客户关联的路由放置在路由表中。由于此路由策略,客户路由不会用于将数据包转发至各个目标,并且路由协议不会将路由通告给邻接方。

在配置策略之前,请确定要通过它完成什么,并全面了解如何使用各种匹配条件和操作实现目标。此外,确保您了解正在配置的策略的默认策略和操作。

路由策略和防火墙过滤器

策略框架由以下策略组成:

  • 路由策略 — 允许您控制路由协议与路由表之间的路由信息,以及路由表与转发表之间的路由信息。所有路由协议都使用 Junos OS 路由表存储所学路由,并确定应在其协议数据包中播发的路由。通过路由策略,您可以控制路由协议存储在哪些路由协议中,并从路由表检索。

  • 防火墙过滤策略 — 允许您控制通过路由器传输到网络目标的数据包以及路由器发送和发送的数据包。

    注:

    此处使用术语 “防火墙过滤器策略 ”来强调防火墙过滤器是一种策略,与路由策略具有一些基本相似性。但是,在本手册其余部分中提及防火墙过滤器策略时,将使用“ 防火墙过滤器 ”一词。

创建路由策略的理由

在以下典型情况下,您可能希望通过创建自己的路由策略在路由策略框架中抢先执行默认路由策略:

  • 您不希望协议将所有路由导入路由表中。如果路由表未了解某些路由,则永远不能用于转发数据包,也永远无法重新分配到其他路由协议中。

  • 您不希望路由协议导出其学到的所有活动路由。

  • 您希望路由协议通告从另一种路由协议(有时称为 路由重新分配)中学到的活动路由。

  • 您希望操操路由特征,例如优先级值、AS 路径或公共组。您可以操控路由特性,以控制哪些路由被选为活动路由以到达目标。一般来说,活动路由也通告给路由器的邻接方。

  • 您希望更改默认 BGP 路由抖动抑制参数。

  • 您希望执行每个数据包的负载平衡。

  • 您希望启 用服务等级 (CoS)。

受策略影响的路由器流

Junos OS 策略会影响以下路由器流:

  • 路由协议与路由表之间以及路由表与转发表之间的路由信息流。路由引擎处理此流。路由信息 是路由协议从路由器邻接方学习的路由信息。此信息存储在路由表中,随后由路由协议通告至路由器的邻接方。路由策略允许您控制这些信息的流。

  • 数据包进出路由器物理接口的流。数据包转发引擎处理此流。数据包 是通过路由器从来源转发至目标时传输的数据块。当路由器在接口上接收数据包时,它会通过在转发表中查找到目标的最佳路由来确定转发数据包的位置。然后路由器通过相应的接口将数据包转发至目标。防火墙过滤器允许您控制这些数据包的流。

  • 本地数据包从路由器的物理接口流至路由引擎。路由引擎处理此流。本地数据包 是路由器发送或发送的数据块。本地数据包通常包含路由协议数据、IP 服务(例如 Telnet 或 SSH)的数据,以及互联网控制消息协议 (ICMP) 等管理协议的数据。当路由引擎收到本地数据包时,它会将数据包转发至相应的进程或内核(内核既是路由引擎的一部分,也属于数据包转发引擎)。防火墙过滤器允许您控制这些本地数据包的流。

    注:

    在本章的其余部分中,“ 数据包” 一词指的是数据包和本地数据包,除非另有明确说明。

图 1 展示了通过路由器的流。虽然流量彼此截然不同,但它们也是相互依存的。路由策略可确定将哪些路由放置在转发表中。反过来,转发表在确定转发数据包的适当物理接口方面具有不可或缺的作用。

图 1: 路由信息和数据包流路由信息和数据包流

您可以配置路由策略来控制路由协议位于路由表中的路由协议,并控制路由协议从路由表播发的路由协议(请参阅 图 2)。路由协议仅从路由表播发活动路由。( 活动路由 是从路由表中的所有路由中选择到达目标的路由。)

您也可使用路由策略执行以下操作:

  • 更改特定路由特征,以便控制选择作为活动路由到达目标的路由。一般来说,活动路由也通告给路由器的邻接方。

  • 更改为默认 BGP 路由抖动抑制值。

  • 执行按数据包负载平衡。

  • 启用服务等级 (CoS)。

图 2: 控制路由信息流的路由策略控制路由信息流的路由策略

您可以配置防火墙过滤器以控制数据包流的以下几个方面(请参阅 图 3):

  • 哪些数据包可在物理接口上接受和传输。要控制数据包流,您可将防火墙过滤器应用于物理接口。

  • 哪些本地数据包从物理接口和路由引擎进行传输。要控制本地数据包,您可在环路接口(即路由引擎的接口)上应用防火墙过滤器。

防火墙过滤器提供了一种保护路由器免受通过路由器传输到网络目标或前往路由引擎的过大流量的影响。控制本地数据包的防火墙过滤器还可以保护您的路由器免遭外部事件(例如拒绝服务攻击)。

图 3: 用于控制数据包流的防火墙过滤器用于控制数据包流的防火墙过滤器

控制点

所有策略都提供了两个点,您可以通过路由器控制路由信息或数据包(请参阅 图 4)。这些控制点允许您控制以下内容:

  • 路由信息放置在路由表中之前和之后。

  • 转发表查找前后的数据包。

  • 路由引擎接收本地数据包之前和之后。(图 4 似乎仅描述一个控制点,但由于本地数据包的双向流,实际上存在两个控制点。)

图 4: 策略控制点策略控制点

由于有两个控制点,因此您可以配置控制路由信息或数据包与其相应表交互前后的策略,以及在与路由引擎交互之前和之后控制本地数据包的策略。导入路由策略 可控制放置在路由表中的路由信息,而 导出路由策略 可控制从路由表通告的路由信息。输入防火墙过滤器 可控制路由器接口上接收的数据包,而 输出防火墙过滤器 可控制从路由器接口传输的数据包。

策略组件

所有策略均由您配置的以下组件组成:

  • 匹配条件 — 比较路由或数据包的标准。您可以配置一个或多个标准。如果所有标准都匹配,则应用一个或多个操作。

  • 操作 — 如果所有标准都匹配,会发生什么。您可以配置一个或多个操作。

  • 术语 — 指定的结构,用于定义匹配条件和操作。您可以定义一个或多个术语。

策略框架软件会根据术语中的匹配条件评估每个传入和传出路由或数据包。如果满足匹配条件中的标准,则采取定义的操作。

一般来说,策略框架软件会将路由或数据包与策略中第一个术语中的匹配条件进行比较,然后继续到下一个术语,等等。因此,您在策略中安排条款的顺序是相关的。

术语内的匹配条件顺序不相关,因为路由或数据包必须匹配术语中的所有匹配条件才能采取措施。