流量过滤与转发路径控制

为提高网络安全性，能够控制进入网络的报文，将无权限进入网络或存在安全隐患的报文隔离

1、策略路由PBR（Policy-Based Routing）：

某场景中，特定用户，特定业务流量走制定转发路径，而其余用户或业务的流量则根据路由表转发

PBR使网络设备不禁能够给予报文的目的IP地址进行数据转发，更能基于其他元素进行转发：源IP地址、源MAc地址、目的MAC地址、源端口号、目的端口号、Vlan-ID等

用户还可以使用ACL匹配特定报文，针对ACL进行PBR部署

设备部署了PBR 则被匹配的报文有限根据PBR策略转发，PBR优先级高于传统路由表

PBR结构：

PBR与RP类似，多节点构成，每个节点由匹配条件和执行语句组成

节点内可包含多条件

条件语句之间关系为与 匹配所有条件语句才会执行动作

节点之间关系为或 PBR根据节点编号从小到大顺序执行，匹配当前节点将不会继续向下匹配

PBR命令语法：

PBR策略路由与路由策略的区别：

PBR的分类：

PBR基础配置：

配置示例：

2、MQC（Modular QoS Command-Line Interface)模块化QoS命令行：

通过将具有某类共同特征的数据流划分为一类，并为同一类数据流提供相同服务，也可以对不同类的数据流提供不同服务

MQC三要素：

1、流分类traffic classifier：定义一组流量匹配规则，对报文进行分类。流分类中各规则之间关系为and或or，缺省情况下关系为or

and：当流分类中包含ACL规则，报文必须匹配其中一条ACL以及所有非ACL规则。当流分类中没有ACL规则时，报文必须匹配所有非ACL规则

or：报文只要匹配了流分类中的一个规则，设备就认为报文匹配中该流分类

2、流行为traffic behavior：定义执行的动作，支持报文过滤、比重标记优先级、重定向报文，流量统计

3、流策略traffic policy：将流分类和流行为绑定，对分类后的报文执行对应流行为中定义的动作，一个流策略可以绑定多个流分类和流行为。支持在接口上调用。流策略存在方向概念（inbound、outbound）策略中的流行为匹配入、出方向的报文，对匹配中的报文执行相应的动作。

流策略不同于PBR，PBR只能调用在三层接口，而流策略支持调用在二层接口

MQC配置介绍：

配置示例：

3、流量过滤：

考虑安全性控制进入网络流量，丢弃不信任或存在隐患报文，限制部分相互访问

流量过滤工具：

1、Traffic-Filter：

Traffic-Filter过滤流量可以灵活地选择部署位置，在流量进入设备或者离开设备的接口上执行过滤动作，双向访问的业务禁止其中一个方向即可实现业务阻断需求，Traffic-Filter部署位置不同，调用ACL内容也不同

使用Traffic-Filter过滤流量：

2、MQC：

使用MQC过滤流量：

更新: 2025-03-13 10:34:51
原文: https://www.yuque.com/yuhui.net/network/mahayb93gnrcp82o