目录
作用:专业抓取路由工具,不涉及数据层面。匹配路由的掩码、掩码范围。
route-map类似于脚本语言。默认动作是拒绝所有 需要有一条放行所有
if-match子句(如引用的地址前缀列表或者访问控制列表)中包含的匹配条件(permit或deny)
BGP路由策略-正则表达式 Regular expression
基于Community属性匹配路由进行路由策略(过滤、设置属性)
使用ip-prefix匹配拒绝路由,在BGP视图下进行策略引用
BGP路由策略 - Outbound Route Filtering (ORF)BGP出站路由过滤
作用:过滤路由,控制接受、拒绝哪些路由条目,即控制层面的控制
仅支持 EIGRP和RIP,累加进入或者发出的metric值
RIP和EIGRP重分布入时不带seed metric,路由不加表
根据报文的入接口、源或目的地址、协议类型、源或目的端口号等属性
链路状态协议中,filter-policy import命令用于过滤从协议路由表加入本地核心路由表的路由
路由策略的实现
路由策略定义
作用于路由,路由过滤和设置路由属性
通过改变路由属性(包括可达性)来改变网络流量所经过的路径
路由策略功能
控制路由的发布
- 只发布满足条件的路由信息
控制路由的接收
- 只接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性
过滤和控制引入的路由
- 过滤:引入其它协议路由时,只引入满足条件的路由信息
- 控制:引入路由同时设置路由属性,使其满足要求
设置特定路由的属性
- 修改通过路由策略过滤的路由的属性,满足自身需要
路由策略价值
控制设备的路由表规模,节约系统资源
控制路由的接收和发送,提高网络安全性
修改路由属性,对网络数据流量进行合理规划,提高网络性能
路由策略实现步骤
定义规则
- 定义将要实施路由策略的路由信息的特征,即定义匹配规则
- 用路由信息中属性作为匹配依据,如目的地址、发布路由的设备IP
实施规则
- 将匹配规则应用于路由发布、接收和引入等过程
路由策略使用限制
node过多会引起过策略业务处理性能较慢,影响客户体验
route-policy和过滤器定义了一个以上的节点,则各节点中至少应该有一个节点的匹配模式是permit,否则会导致所有路由被deny掉
应用路由策略时,需先配置路由策略,再应用,不允许引用不存在的路由策略
过滤器
通过过滤器,定义一组匹配规则
除了Route-Policy,其它只能对路由进行过滤,不能修改过滤路由属性
常见过滤器
- VPN :RD属性过滤器(Route Distinguisher-Filter)
• RD属性
- BGP专用过滤器
• AS路径过滤器(AS-Path-Filter)
• AS路径属性
• 团体属性过滤器(Community-Filter)
• 团体属性
• 扩展团体属性过滤器(Large-Community-Filter)
• Large-community属性
• BGP协议专用路由策略调用关系
• 应用到BGP的peer对等体上
• 绑定Route-Policy,可以应用到BGP network分发路由,peer对等体和dampening震荡功能,且同时修改过滤路由属性
- 动态路由协议
• 访问控制列表(ACL)
• 入接口、源或目的地址、协议类型、源或目的端口号
• 地址前缀列表(IP-Prefix List)
• 源地址、目的地址、下一跳
• Route-Policy
• 目的地址、下一跳、度量值、接口信息、路由类型、ACL、地址前缀列表、AS路径过滤器、团体属性过滤器、MAC地址列表和RD属性过滤器等
• Route-Policy
• 所有路由协议都可以直接使用ACL访问控制列表和IP-Prefix List地址前缀列表对路由进行过滤
• filter-policy调用规则分散在各路由协议分册中,其详细调用过程可参考各路由协议分册
Prefix Lists前缀列表
作用:专业抓取路由工具,不涉及数据层面。匹配路由的掩码、掩码范围。
匹配依据
掩码长度
- 由IP地址和掩码长度共同定义
掩码长度范围
- 精确匹配或一定范围掩码匹配的,前缀相同掩码不同的路由
地址前缀匹配规则:顺序匹配、唯一匹配、默认拒绝
前缀列表可以创建多个索引,每个索引对应一条过滤规则。按索引号从小到大顺序匹配
匹配到一条语句,则停止匹配
默认所有未与任何一个表项匹配的路由都视为未通过地址前缀列表的过滤,末尾隐含“deny all”,建议创建一条允许所有其他路由通过
- 范围
• 不配greater-equal 和less-equal,精确匹配
• 同时配greater-equal 和less-equal,则匹配掩码范围
• 只配greater-equal,则匹配掩码长度范围为[greater-equal-value,32]
• 只配less-equal,则匹配掩码长度范围为[mask-length,less-equal-value]
- 全0为通配地址。当前缀为全0时,可以在其后指定掩码长度以及掩码长度范围。
• 指定掩码长度,则具有该长度所有路由都被允许通过(Permit)或拒绝通过(Deny)
• 指定掩码长度范围,则表示掩码长度范围内所有路由都被允许通过(Permit)或拒绝通过(Deny)
通配掩码匹配路由原则
不包含greater-equal和less-equal
- 只匹配缺省路由
- 匹配码长度为X的所有路由
包含greater-equal参数,不包含less-equal参数
- 匹配原则:掩码长度为16~32的路由被permit
- 匹配原则:掩码长度为20~32的路由被permit
不包含greater-equal参数,包含less-equal
- 匹配码长度为0~less-equal的所有路由
- 匹配码长度为X~less-equal的所有路由
包含greater-equal参数和less-equal
- 匹配原则:掩码长度为5~30的路由被permit
- 匹配原则:掩码长度为20~30的路由被permit
ip prefix-list配置举例
ip prefix-list CCNP permit 0.0.0.0/0:只允许默认路由
ip prefix-list CCNP permit 0.0.0.0/0 le 32: 允许所有路由ip prefix-list CCNP permit 0.0.0.0 0 less-equal 32
- 相当于访问列表中的“permit any”
- 前缀0.0.0.0/0表示没有前缀位必须匹配
- “Le 32” 表示子网掩码必须小于或等于32。
- 该语句将匹配任何网络
- 如果定义了一个以上的前缀列表表项,则至少应该有一个表项的匹配模式为permit模式
ip prefix-list CCNP permit 0.0.0.0/0 ge 32: 只允许主机路由
- 前缀0.0.0.0/0表示没有前缀位必须匹配
- “Ge 32” 表示子网掩码必须为32bit。
- 该语句只匹配主机路由
ip prefix-list CCNP permit 10.0.0.0/8 ge 24 le 24
- 允许其第一个8位等于10的任何路由,子网掩码长度为24位
ip prefix-list 1 deny 11.11.11.0/24 不匹配所有,没用的条目
route-map
route-map类似于脚本语言。默认动作是拒绝所有 需要有一条放行所有
Route-Policy的组成
最低0.47元/天 解锁文章
扫一扫
522
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
