前言：流量控制与路由更新控制

如何控制网络流量可达性？

方案一：可通过修改路由条目（即对接收和发布的路由进行过滤）来控制流量可达性，这种方式称为路由策略。
方案二：可直接通过依据用户制定的策略进行转发，且该策略优于路由表转发，这种方式称为策略路由。

（1）什么是流量控制？以下例子为例

通过控制数据包的发送，拒绝这个数据包的通过，路由条目还在。

（2）什么是路由更新控制。

直接对路由器的路由条目进行控制，也就是路由器的控制平面进行控制。

解释：路由器有两个平面

一个是路由控制屏面（路由器根据各种路由协议，生成相应的路由表）

一个是路由转发屏面（根据路由表进行数据包的转发）

而路由更新控制就是对我们的路由控制平面进行控制的

而流量控制就是对我们的转发平面进行控制，对数据包的允许和禁止。

实际例子 ：以acl为例子

acl是在转发控制层面

（1）配置IP和用rip协议通告

AR1

<Huawei>sy

[Huawei]sy r1

[r1]int g0/0/0

[r1-GigabitEthernet0/0/0]ip add 12.12.12.12 24

[r1-GigabitEthernet0/0/0]q

[r1]rip

[r1-rip-1]v 2

[r1-rip-1]net 12.0.0.0

AR2

<Huawei>sy

[Huawei]sy r2

[r2]int g0/0/0

[r2-GigabitEthernet0/0/0]ip add 12.12.12.2 24

[r2-GigabitEthernet0/0/0]int g0/0/1

[r2-GigabitEthernet0/0/1]ip add 23.23.23.2 24

[r2-GigabitEthernet0/0/1]int g0/0/2

[r2-GigabitEthernet0/0/2]ip add 24.24.24.2 24

[r2-GigabitEthernet0/0/2]q

[r2]rip

[r2-rip-1]v 2

[r2-rip-1]net 12.0.0.0

[r2-rip-1]net 23.0.0.0

[r2-rip-1]net 24.0.0.0

AR3

<r3>sy

[r3]int g0/0/0

[r3-GigabitEthernet0/0/0]ip add 23.23.23.3 24

[r3-GigabitEthernet0/0/0]rip

[r3-rip-1]v 2

[r3-rip-1]net 23.0.0.0

AR4

<Huawei>sy

[Huawei]sy r4

[r4]int g0/00/0

[r4-GigabitEthernet0/0/0]ip add 24.24.24.4 24

[r4-GigabitEthernet0/0/0]rip

[r4-rip-1]v 2

[r4-rip-1]net 24.0.0.0

AR1拒绝访问AR4 ，可访问AR3

这里我们用基本ACL（优点，只匹配源）

注意这里图上大×除不能绑定ACL，因为acl是不能过滤配置在自身的规则

这里也不行，因为这是基本ACL，由于它只能是源ip，所以会过滤掉全部的源ip为12.12.12.0这个网段的报文。

所以只能放这俩个接口处，最好放在AR2上接口那个，因为这样开销值要小一点，剩带宽

开始配置acl

AR2

<r2>sy

Enter system view, return user view with Ctrl+Z.

[r2]acl 2000

[r2-acl-basic-2000]rule de        

[r2-acl-basic-2000]rule deny so        

[r2-acl-basic-2000]rule deny source 12.12.12.0 0.0.0.255

这个的意思是拒绝12.12.12.这个网段的包发送通过，0.0.0.255中的0代表匹配时，不变的ip，比如12.12.12前24为不变的ip

使用匹配工具进行绑定

r2]int g0/0/2

[r2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000

实验结果

我就发现AR1确实ping不通AR4，不过AR3可以ping通AR4

·

说明traffic-filter这个命令首先即使判断这个路由匹配上没有？

匹配上，就按这个规则，通过就通过，不通过就不通过

没有匹配上，默认是通过的。

注意：在NAT的时候这条命令，没有匹配上，默认是禁止的。

一. 路由策略

（1）什么是路由策略？

作用和解释：路由器在发布、接收和引入路由信息（路由条目）时可根据实际组网需要实施一些策略，以便对路由信息进行过滤或改变路由信息的属性

1.控制路由的发布：只发布满足条件的路由信息。

2.控制路由的接收：只接收必要，合法的路由信息，以控制路由表的容量，提高网络的安全性。

3.过滤和控制引入的路由：一种路由协议在引入其他路由协议时，只引入一部分满足条件的路由。

设置特定路由的属性：为通过路由策略过滤的路由设置相应的属性。

（2） 路由策略各工具之间的调用关系

（2.1） 路由策略又是怎么实现的或者路由策略由什么组成？

路由策略是通过一系列工具或方式对路由进行各种控制的“策略”。这种策略能够影响到路由产生、发布、选择等，进而影响报文的转发路径。

1.工具：ACL、route-policy\ip-prefix、filter-policy（既是策略工具，也是调用工具）等

注意:条件策略工具IP-prefix相对于ACL来说要匹配的更细致，IP-prefix不仅可以匹配流量也可以匹配路由，比如说子网掩码26，27，28位ip-prefix都可以精准的匹配到，抓出来。