1、匹配工具
什么是匹配工具,匹配工具就是匹配IP和网段的工具,如ACL和前缀列表。
2、路由筛选工具
路由筛选工具有两个一个route-policy,另一个是filter-policy,首先路由策略一般用在路由重分布当中,而过滤策略一般使用在路由间的消息传递之间,比如我要限制其他路由器传播路由信息到本机路由器上,又或是限制本机路由器传播路由信息到其他的路由器上。
1、acl在路由筛选工具中的使用
route-policy的使用首先是创建一个路由策略,然后设置该路由策略的节点是拒绝还是允许,然后在里面设置if-match,也就是条件匹配,然后最后设置apply,也就是设置匹配后的响应,我们可以设置响应是将本机重分布到其他路由区域的cost进行改变,又或者是度量值,还可以改变路由的标记,筛选的方式可以说是很多了。路由策略中使用到路由筛选工具的地方就是if-match语句,它可以匹配acl也可以匹配前缀列表,我们知道在接口设置acl,默认是允许全部的报文进入的,但是在这里,默认是拒绝全部的。比如我们使用了一个acl,它没有进行任何的配置,此时我们在接口上配置traffic-filter,其他路由器是可以ping通该路由器的,但是如果我们将其应用在路由策略上时,比如我们在重分布中使用了这个路由策略,由于acl没有匹配到任何的路由,所以本机的任何一条路由都不会进行重分布。这也是一个十分需要注意的点。
acl在filter-policy中的使用与route-polic也是类似,如我们在rip视图下,设置我们不想将本机的其中一条路由发布出去,比如输入该语句:filter-policy 2001 export ,那么我们在这里也需要特别注意,就是如果acl没有在最后一个条件上设置允许全部的路由,那么这条看似理想的语句会将去本机全部的路由交互都切断。
总结:在路由策略和过滤策略中使用acl,要注意我们必须要在acl的底部让全部的路由都通过,否则若本机正常的路由没有得到正常的匹配,是会出现我们意想不到的错误的。
2、ip-prefix在路由筛选中的使用
前缀列表是一个更加灵活的匹配工具,可以做到acl做不到的匹配,它的匹配主要依据是掩码,比如ip ip-prefix xxx index x length xx [less-equal xx | greater-equal xx],我对这个格式的理解就是,首先定义一个地址的长度,比如是24,如果后面没有less-equal或者greater-equal这两个语句,那么它就精确匹配24掩码长度的地址。后面定义的是掩码长度小于多少和大于多少,这样就能确定一个范围,当这个范围包含先前确定的掩码长度,那么以这个范围为准,若像是这种情况,比如长度定义为12,然后掩码范围是在14---20,那么最终的掩码的范围就是12,14-20,又比如长度定义为13,然后掩码长度小于20,那么掩码的长度就是13---20,总之前缀列表关于掩码长度的定义还是比较灵活的。回到上面的话题,为什么它比acl更能够灵活地匹配网段,比如现在有两个网段一个是192.168.0.0 /16,另一个网段是192.168.0.0/24,如果我们想要屏蔽前面一个网段,若使用acl就只能像下面这样 rule deny 192.168.0.0 0.0.255.255,那么这样就将第二个网段也屏蔽了,于是这个时候使用前缀列表,将掩码长度精确到16,这个时候我们在路由视图上使用该前缀列表的时候,它就只会对掩码为16的路由进行操作(如不让它发送路由交互报文)。同样这个前缀列表也能在路由策略中使用,但是还是要注意最后一条要匹配全部路由。
3、ospf在路由筛选中的特殊性
因为我们知道ospf是通过各种LSA的互相帮助下,才最终构建一个LSDB,然后最终形成一个路由表,这个时候我们如果我们对某个路由器接收ospf的路由信息进行限制,那么虽然这个路由器上确实因为我们手工的设置不出现被限制的路由信息,但是它还是可以接收到LSA,所以我们会看到它的LSDB与其他路由器是一致的,但是由于该路由器没有被限制的路由信息,所以若该路由器是边界路由器,那么它是不会发送关于被限制网络的type3的LSA到其他区域,因此其他区域也是不会学习到被限制的路由的。