1、访问控制列表(ACL):用于匹配路由信息或者数据包的地址,过滤不符合条件的路由信息或数据包
2、前缀列表(ip-prefix):用于匹配对象为路由信息的目的地址或直接作用于路由器对象(gateway)
3、自治系统路径信息访问列表( as-path-filter):仅用于BGP协议,匹配BGP路由信息的自治系统路径域
4、团体属性列表( community-filter):仅用于BGP协议,匹配BGP路由信息的自治系统团体域
5、路由策略(route-policy):设定匹配规则,由if-match和apply子句组成
注:当我们需要执行路由策略或者策略路由的时候,一般先要把特定的路由信息或者数据包过滤出来。可以根据过滤不同的对象采用不同的过滤工具。访问控制列表和前缀列表一般都可以用来匹配IP地址,但是前缀列表不能用来过滤数据包,只能用来过滤路由信息。所以我们要首先清楚匹配的对象是什么,是路由还是数据,然后才能选择适当的工具。As-PATH-FILTER是用来匹配BGP路由信息中的AS-PATH属性的,所以它只能用于过滤BGP路由。Community-filter是用来匹配BGP路由信息中的团体属性的,所以,同as-path-filter一样只能用于过滤BGP路由。Route-POLICY是一个强大的过滤工具,但是它还是策略工具。作为过滤工具,它可以用if-match语句来匹配路由和数据包,而且if-match语句还可以调用其它过滤工具。作为策略工具,它可以使用apply语句来修改路由属性或者数据包的转发行为。
一、访问控制列表(ACL)
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据源地址、目的地址、端口号等来描述。
按照访问控制列表的用途,可以分为三类:
有两种匹配顺序:
二、前缀列表
前缀列表用来过滤IP前缀,能同时匹配前缀号和前缀长度
前缀列表的性能比访问控制列表高
前缀列表不能用于数据包的过滤
三、as-path-filter
该列表用来过滤BGP的AS-PATH属性,AS-PATH属性使用正则表达式来定义
四、 community-filter
团体列表使用团体属性表示和过滤BGP路由,团体列表有基本和高级两种
团体属性分为Well-known团体属性和私有的团体属性。
Well-known团体属性包括:internet, no-advertise, no-export, no-export-subconfed。
私有团体属性由管理员定义,主要用来给前缀打上管理标记,以便制定相应的策略,格式一般为AS:NUMBER。
高级团体列表可以使用正则表达式来匹配团体属性。
五、route-policy
一个routing policy下可以有多个节点,不同的节点号用seq-number标识,不同seq-number各个部分之间的关系是“或”的关系
Route-policy是强大的过滤工具和策略工具。它由一系列的if-match子句和Apply子句构成。If-match子句可以用来匹配acl, ip-prefix, as-path-filter, community-filter, interface, ip, extcommunity-filter, cost, mpls-label, route type, tag等。Apply子句可以用来修改路由的属性。Route-policy可以用于路由策略。