首先我们路由的筛选工具总共有两个一个,一个是route-policy,另一个是filter-policy,这两个工具,对于第一个来说主要用于重分布路由的控制,也就是选择让什么样的路由重分布到区域中。在有些情况我们也可以控制路由的通告,但是也不是全部的路由都能够直接的进行限制,什么叫直接的限制,就是我直接把接口宣告进协议,然后直接配置route-policy去控制路由的通告,这个方式对于RIP来说是可以的,但是对于ospf来说是不行的,因为ospf的相关路由表的形成是通过各种LSA来形成的,所以我们如果要实现ospf的这种直接的路由限制是十分困难的,所以我们对于ISIS,OSPF,这种较为复杂的路由协议的路由通告的限制,是先把那些想要限制的路由进行直连路由的重分布,然后再用路由策略进行限制。
关于route-policy有一个需要注意的地方就是,它和思科的acl的匹配方式类似,当匹配到其中一个节点后就会直接被匹配,当没有任何一个节点与其匹配,于是就会被默认限制。这是一个细节。route-policy有两种节点,一种是permit另一种是deny,如果是permit,但匹配到这个节点的时候,就会执行内部的apply,如果这个permit节点没有匹配到,那么就会跳到下一个节点进行匹配,若到底没有任何一个节点去匹配,就会被限制。如果是deny类型的节点,当被deny节点内部的条件匹配到后,它就会被限制,否则就会继续匹配下一个节点。
route-policy的匹配条件有多种,可以是acl,也可以是ip-prefix,但是我们需要注意,虽然acl在接口上进行配置时,可以对运输层,网络层,设置数据链路层的流量进行限制,但是在路由策略中,它只是一个匹配路由的工具,所以我们要忽视这一点,同时华为的acl在路由策略中只能抓取网络号,所以acl的反掩码填入0即可,也正是这个缺点,出现了ip-prefix来弥补。它不仅可以匹配网络号,还能匹配掩码长度。
我们还需要注意如果我们想要控制某个路由器路由通告的cost直接在通告的路由器上配置apply cost即可,如果我们想要配置路由优先级,我们需要在接受路由信息的路由器上进行配置,在协议视图下输入:preference xxx ,这个针对的只是同区域的,其他路由器通告的路由信息,对这类的路由信息的优先级进行修改。在ospf中,还有外部路由,也就是重分布的路由,我们这个时候需要在协议视图上输入preference ase xxx,表示我们修改的时外部路由的度量值,而不是内部路由。
不仅route-policy可以对重分布路由进行限制,filter-policy也可以进行。filter-policy是一个过滤路由的工具,它同样可以使用acl或者ip-prefix进行过滤,在协议视图下,我们输入使用filter-policy可以针对我们是对接受的路由进行过滤还是通告的路由进行过滤,如:filter-policy 2001(acl编号) export,那么就会对所有接口通告的路由进行过滤,所以我们也可以针对通告的路由是什么协议(我们重分布其他协议的路由的时候,就相当于是要在其他协议的区域内去发布路由,所以我们可以根据重分布的路由时什么协议去过滤,我这句话是这个意思),或者是哪个接口进行通告,根据这些条件进行路由通告的限制。
还有一点需要注意的是,就是我们在配置acl和route-policy的时候很容易被它们的permit和deny被搞混了,也就是我们什么时候使用permit,什么时候使用deny,我的建议是acl全部都用permit,我们把它视为一种条件即可,也就是所有人都可以去匹配,是否进行限制我们将其交给节点是permit类型还是deny类型即可。
总结:acl全部使用permit,将其视为一个条件,不考虑其他的因素。route-policy的节点的类型是决定是否对路由进行下一步操作的关键因素。若想要修改路由的cost,或者cost-type,tag在通告路由信息的路由器上配置,如果配置协议的度量值,需要在接受的路由器上配置,同时还要注意是内部路由还是内部路由,根据不同种类进行度量值的合理的配置。我们要注意对于一些复杂的路由协议,不能单单将其全部接口进行宣告,然后根据宣告的接口进行路由通告信息的相关过滤,我们需要注意的是,这些路由协议的路由表的构建一般是基于多种路由报文的交互,从而构建的,所以我们一般需要将通告的路由信息进行重分布,然后再进行进一步的限制。
扫一扫
1428
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
