二、路由策略配置实验

最新推荐文章于 2022-09-02 11:27:25 发布
最新推荐文章于 2022-09-02 11:27:25 发布
阅读量3.5k 收藏 14
点赞数 1
分类专栏: 路由 文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012451051/article/details/125528019
版权

路由策略配置实验

——————————————————————————————————————————————————

路由策略配置实验

——————————————————————————————————————————————————

1.1.使用路由策略过滤发布路由配置实验

如图:AR1、AR2、AR3路由器运行OSPF协议,AR2为ABR路由器,AR1连接3个网段,要求3.0网段不能发布给AREA1区域。通过在ABR上部署路由策略,控制在AREA1区域不接收3.0网段实现需求。
在这里插入图片描述

AR1:
[AR1]int lo 1
[AR1-LoopBack1]ip add 192.168.1.1 24
[AR1-LoopBack1]int lo 2
[AR1-LoopBack2]ip add 192.168.2.1 24
[AR1-LoopBack2]int lo 3
[AR1-LoopBack3]ip add 192.168.3.1 24
[AR1-LoopBack3]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.1.1.1 30

//配置OSPF
[AR1]ospf 100
[AR1-ospf-100]area 0
[AR1-ospf-100-area-0.0.0.0]net 10.1.1.0 0.0.0.3
[AR1-ospf-100-area-0.0.0.0]net 192.168.1.0 0.0.0.255
[AR1-ospf-100-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[AR1-ospf-100-area-0.0.0.0]net 192.168.3.0 0.0.0.255

AR2:
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 10.1.1.2 255.255.255.252
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 10.1.1.5 30

//配置OSPF
[AR2]ospf 100
[AR2-ospf-100]area 0
[AR2-ospf-100-area-0.0.0.0]net 10.1.1.0 0.0.0.3
[AR2-ospf-100]area 1
[AR2-ospf-100-area-0.0.0.1]net 10.1.1.4 0.0.0.3

//在ABR上配置路由策略,OSPF是链路状态协议,在ABR上配置。
配置ACL列表也行、配置Ip-prefix前缀也行,两者可选。

//配置ACL
[AR2]acl number 2000
[AR2-acl-basic-2000]rule deny source 192.168.3.0 0.0.0.255
[AR2-acl-basic-2000]rule permit source any
//配置前缀
[AR2]ip ip-prefix 3guolv deny 192.168.3.0 24
[AR2]ip ip-prefix 3guolv permit 192.168.2.0 24
[AR2]ip ip-prefix 3guolv permit 192.168.1.0 24

*****//也可以把后两条写成ip ip-prefix 3guolv permit 0.0.0.0 0 less-equal 32。允许任意网络及掩码。

[AR2]ip ip-prefix 3guolv permit 172.16.0.0 16
//配置策略并应用,以下两者和上面呼应即可。

[AR2]ospf 100
[AR2-ospf-100]area 1
[AR2-ospf-100-area-0.0.0.1]filter 2000 import //引用ACL进行路由策略的配置。注意这里是在区域1,区域0的路由进入区域1,所以方向也是import

[AR2]ospf 100
[AR2-ospf-100]area 0
[AR2-ospf-100-area-0.0.0.1]filter ip-prefix 3guolv import //引用地址前缀路由策略的配置。

AR3:
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 10.1.1.6 30
[AR3-GigabitEthernet0/0/0]ospf 100
[AR3-ospf-100]area 1
[AR3-ospf-100-area-0.0.0.1]net 10.1.1.6 0.0.0.3

验证下,首先看下引用ACL的路由策略过滤。过滤3.0网段,。已经过滤成功。

在这里插入图片描述
再看看引用前缀的路由过滤。过滤3.0网段。
在这里插入图片描述
发现使用了地址前缀,没有过滤成功。。。。这里注意有两个点:loopback0接口,OSPF区域学习过来的永远都是一个主机地址,32掩码。我们来看看。

在这里插入图片描述
所以,使用地址前缀过滤24掩码的3网段,是不匹配学习到的192.168.3.1/32所以,无法过滤。

这里还有个区别,为什么ACL就可以,而地址前缀就不行呢?

ACL:rule deny source 192.168.3.0 0.0.0.255
ip-prefixip:ip-prefix 3guolv deny 192.168.3.0 24

ACL不匹配掩码,只匹配网络号。ACL写0.0.0.255,他不是掩码,是通配符。0代表严格匹配,255代表不匹配。所以其实ACL识别这个192.168.3.0 0.0.0.255,它只是识别成192.168.3.0段。 那么192.168.3.1/32这个IP地址是包含在192.168.3.0段的。所以生效了。

ip-prefixip是不但识别网络号,还识别掩码。所以,ip-prefix deny 192.168.3.0 24,它只拒绝192.168.3.0 带24掩码的。。

AR2:
[AR2]ip ip-prefix 3guolv deny 192.168.3.1 32
[AR2]ip ip-prefix 3guolv permit 0.0.0.0 0 less-equal 32
[AR2-ospf-100-area-0.0.0.1]filter ip-prefix 3guolv import

在这里插入图片描述

所以在路由过滤的时候,如果ACL出现这样的192.168.1.0/24 和192.168.1.0/16就会出问题。 一个是192.168.1.0,一个是192.168.0.0。而0.0就包含了1.0。

增加了一个192.168.10.0/16网段。。我们使用ACL过滤。拒绝10网段,允许1/2/3网段。
在这里插入图片描述

很明显,我敲得192.168.10.0 0.0.255.255,显示的时候通配符做了运算,所以直接显示成0.0了。在看结果直接拒绝完了。
在这里插入图片描述
在这里插入图片描述

——————————————————————————————————————————————————

1.2.使用路由策略过滤并设置引入路由属性配置示例

如图:在AR1与AR2和AR3建立EBGP,AR2/3/4建立IBGP,AS200的IGP协议OSPF。192.168.1.1/24网段为路由器引入网段,配置不同的MED属性策略,使AR4优先学习到AR2的192.168.1.0/24路由。

在这里插入图片描述

AR1:

interface LoopBack0
ip address 1.1.1.1 255.255.255.255

interface LoopBack1
ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.1.1.5 255.255.255.252

//配置EBGP。

bgp 100
group ex external
peer 10.1.1.2 as-number 200
peer 10.1.1.2 group ex
peer 10.1.1.6 as-number 200
peer 10.1.1.6 group ex
ipv4-family unicast
network 192.168.1.0
maximum load-balancing 2

AR2:

interface LoopBack0
ip address 2.2.2.2 255.255.255.255

interface GigabitEthernet0/0/0
ip address 10.1.1.2 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.1.1.9 255.255.255.252

//配置OSPF
ospf 1
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.1.0 0.0.0.3
network 10.1.1.8 0.0.0.3

//配置BGP
bgp 200
peer 4.4.4.4 as-number 200
peer 4.4.4.4 connect-interface LoopBack0
group ex external
peer 10.1.1.1 as-number 100
peer 10.1.1.1 group ex
group in internal
ipv4-family unicast
import-route ospf 1
peer 4.4.4.4 next-hop-local

AR3:

interface GigabitEthernet0/0/0
ip address 10.1.1.13 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.1.1.6 255.255.255.252

interface LoopBack0
ip address 3.3.3.3 255.255.255.255

//配置OSPF

ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.1.4 0.0.0.3
network 10.1.1.12 0.0.0.3

//配置BGP
bgp 200
group ex external
peer 10.1.1.5 as-number 100
peer 10.1.1.5 group ex
group in internal
peer 4.4.4.4 as-number 200
peer 4.4.4.4 group in
peer 4.4.4.4 connect-interface LoopBack0

ipv4-family unicast
import-route ospf 1
peer 4.4.4.4 next-hop-local

AR4:

interface LoopBack0
ip address 4.4.4.4 255.255.255.255

interface LoopBack1
ip address 192.168.100.1 255.255.255.0

interface GigabitEthernet0/0/0
ip address 10.1.1.10 255.255.255.252

interface GigabitEthernet0/0/1
ip address 10.1.1.14 255.255.255.252

//配置OSPF

ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 10.1.1.8 0.0.0.3
network 10.1.1.12 0.0.0.3
network 192.168.100.0 0.0.0.255

//配置BGP

bgp 200
group ex external
group in internal
peer 2.2.2.2 as-number 200
peer 2.2.2.2 group in
peer 2.2.2.2 connect-interface LoopBack0
peer 3.3.3.3 as-number 200
peer 3.3.3.3 group in
peer 3.3.3.3 connect-interface LoopBack0

ipv4-family unicast
import-route ospf 1
maximum load-balancing 2

直接查看AR4的路由表。看看1段。

在这里插入图片描述
在这里插入图片描述

按照要求,配置不同的MED属性策略,使AR4优先学习到AR2的192.168.1.0/24路由。现在负载模式,2.2.2.2和3.3.3.3。

在来回顾下MED:MED则用来判断进入该自治系统的最佳路由,当一个运行BGP的自治系统得到目的地址相同、下一跳不同的多条路由时,在其他条件相同的情况下,MED值较小的路由会被优先选为进入该自治系统的外部路由。所以在AR1上配置。通告给AR2和AR3 AS200区域。

AR1:

acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255

route-policy med10 permit node 10
if-match acl 2000
apply cost 10

route-policy med20 permit node 10
if-match acl 2000
apply cost 20

bgp 200
ipv4-family unicast
peer 10.1.1.6 route-policy med10 export
peer 10.1.1.2 route-policy med20 export

现在优先走3.3.3.3了。负载的路由也就消失了。
在这里插入图片描述在这里插入图片描述

记得还学了个Local-preference本地优先级:用来判断流量离开AS时最佳路由,当BGP路由器通过不同的IBGP对等体得到目的地址相同,但下一跳不同的多条路由时,将选择Local-preference值较高的路由。通过配置改变BGP路由向IBGP对等体发送的路由Local-preference值,而影响IBGP对等体的选路。

尝试下,192.168.100.1/24这个IP在AR1上查看理由表也是负载分担的。我们修改本地优先级,让AR1从2.2.2.2走。本地优先级是,离开AS时最佳路由。所以在AR4上配置。先看下AR1的路由表。
在这里插入图片描述

AR4:

acl number 2000
rule 5 permit source 192.168.100.0 0.0.0.255

route-policy local_pr200 permit node 10
if-match acl 2000
apply local-preference 200

route-policy local-pr100 permit node 10
if-match acl 2000
apply local-preference 100

bgp 200
peer 2.2.2.2 route-policy local_pr200 export
peer 3.3.3.3 route-policy local-pr100 export

在这里插入图片描述
在这里插入图片描述

——————————————————————————————————————————————————

SEVENBUS
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCIP-DatacomH12-821、831.zip
07-14
HCIP-DatacomH12-821、831.zip
网络类型大实验
weixin_44642263的博客
09-28 253
题目要求: 1、R5为ISP,只能进行ip地址配置;其所有接口配置为公有ip地址 2、R1与R5间使用PPP的PAP认证,R5为主认证方;R2与R5间使用PPP的chap认证,R5为主认证方;R3与R5间使用HDLC封装 3、R1/2/3构建一个MGRE环境,R1为中心站点;R1/4间为点到点GRE 4、整个私有网络基于RIP全网可达 5、所有路由器基于环回私有地址为源ip时,可以正常访问R5环回 解题思路: 3、R1/2/3构建一个MGRE环境,R1为中心站点;R1/4间为点到点GRE 4、整个私有网络基
rip实验
m0_70349048的博客
09-02 128
实验
访问控制列表——ACL
sunboy_guo的博客
05-17 2万+
1.ACL简介 当需要针对数据流量或者报文进行一些过滤的时候,需要一个抓取要过滤的工具。类似于过滤石灰粉和石子的过程,那么我们是需要一个滤网或者其他的过滤工具来进行筛选。经过筛选获取到的石子,是丢弃还是用作其他用途,并不是过滤工具来决定的,它是取决于调用工具的时候,来判断,是否需要这些石子,或者丢弃。 ACL(访问控制列表)就提供了类似于滤网的功能,它可以精准匹配到想要抓取的报文或者流量,然后在不同的场景下,去应用ACL的功能。 2.ACL的组成 AC...
ACL的原理与配置
ou_shen_xian的博客
10-17 1374
ACL原理与配置 ACL实现流量过滤 ACL是由一系列permit (允许)和demy(拒绝)语句组成的,有顺序的列表 ACL是一个匹配工具,能够对报文进行匹配和区分 ACL number 2000 ~2999 基本接口 ACL number 3000~3999 高级接口 rule 5 (默认步长5)permit source 1.1.1.0 0.0.0.255(Wildcard 通配符) rule 10 (默认步长5) deny source 2.2.2.0
访问控制列表ACL的用法
liu_阳的博客
12-29 1662
1、拒绝某个特定的主机 例如:拒绝源地址为1.1.1.1的报文通过 rule 5 source 1.1.1.1 0.0.0.0 #必须要带有0.0.0.0 2、允许某个网段的所有主机通过 例如:允许192.168.1.0/24所有主机通过 rule 5 permit source 192.168.1.0 0.0.0.225 #(0.0.0.255)=(255.255.255.255)-(255.255.255.0) #24位掩码为255.255.255.0 允许192.168.2.0 2.
ACL技术配置
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
10-31 1万+
ACL华为命令 1.基本ACL配置 [Huawei]acl number 2000 ###创建acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 ###拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加) [Huawei] interface GigabitEthernet 0/0/1 [ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254
网络工程师-华为设备配置命令1
weixin_52088967的博客
05-24 2066
考点1:配置交换机的名称和密文密码 《huawei》 //用户视图 《huawei》 system-view //进入系统视图设置 [huawei] //系统视图 [huawei] quit /return //退出系统视图模式 [huawei] sysname DT //设置主机名 [huawei] user-interface console 0 //进入控制台 [huawei-ui-console 0] authentication-mode password [huawei-ui-console 0
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 2671
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
路由策略配置实战·路由策略配置实战ospf与eigrp的重分布GNS3版
04-09
路由策略配置实战ospf与eigrp的重分布 IP地址规划 拓扑中的IP 地址段采用: 172.8.AB.X/24, 其中AB为两台路由器编号组合,例如:R3-R6之间的AB为36,X为路由器编号例如R3的X=3 所有路由器都有一个Loopback0接口,地址...
实验39 策略路由(PBR)配置.pdf
03-27
策略路由(PBR)配置
策略路由综合实验
04-30
1、 公司甲、乙各申请一个C类地址接入Internet,网关分别是222.31.45.1和222.31.46.1,本地局域网均使用私有地址。由于业务需要,又租用城域光纤实现专线连接。参照拓扑示意,完成设备接口配置
单臂路由和静态路由配置实验及详细命令
05-25
单臂路由和静态路由配置实验及详细命令 里面写有详细的配置命令及PT实验文件一份,零基础的朋友一定要记得下下来看。
策略路由路由策略原理
03-03
本文介绍网络技术中策略路由路由策略的原理及区别,详细介绍策略路由路由策略具体的配置命令及实验案例演示。
华为设备路由策略原理与实验
tushanpeipei的博客
01-20 2676
概述: 路由策略可以在路由协议发布、接收和引入路由配置使用,也可用于过滤路由和改变路由属性。 路由策略各工具之间的调用关系: 条件工具:用于把需要的路由“抓取”出来。 策略工具:用于把“抓取”出来的路由执行某个动作,比如允许、拒绝、修改属性值。 等。 调用工具:用于将路由策略应用到某个具体的路由协议里面,使其生效。 调用工具中的filter-policy和peer又自带策略工具的功能,因此这两个东西又可以直接调用条件工具。其他的调用工具都必须通过route-policy来间接的调用条件工具。 需要注
ACL的概述以及命令应用
weixin_56667320的博客
04-14 6175
一、ACL的概述 ACL:访问控制列表 ※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类; ※ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具; ※ACL除了能够对报文进行匹配,还能够用于匹配路由; ※主要应
路由控制(路由策略策略路由
NightChenRight的博客
11-03 1321
ACL 反掩码:确定范围 正掩码:判断网段(判断网络位) 匹配数据报文,匹配路由信息 匹配规则 配置顺序:序列号小的现匹配,默认 自动顺序:深度匹配,最长掩码匹配 IP-prefix 只能匹配路由信息,匹配前缀和掩码,相对ACL更加精准 ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28 //前缀要求 16位,掩...
ACL访问控制(华为)
热门推荐
ck784101777的博客
07-31 3万+
一、ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 ...
配置基本的访问控制列表ACL
weixin_43957217的博客
04-10 2624
原理概述 访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000~2999。 一个ACL可以由多条“deny/permi...
实验路由器动态路由配置方法
最新发布
05-26
路由器上配置动态路由需要先选择一个动态路由协议,常用的有 OSPF、BGP、EIGRP 等。这里以 OSPF 为例,介绍路由配置动态路由的方法。 1. 配置 OSPF 协议 在路由器上进入全局配置模式,输入以下命令配置 OSPF 协议: ``` router ospf <进程ID> ``` 其中进程 ID 是一个数字,用于区分不同的 OSPF 进程。 2. 配置网络地址 输入以下命令配置 OSPF 路由器的网络地址: ``` network <网络地址> <反掩码> area <区域号> ``` 其中网络地址和反掩码表示 OSPF 路由器所在的网络,区域号表示该网络所属的 OSPF 区域。可以多次输入该命令配置多个网络地址。 3. 配置邻居关系 输入以下命令配置 OSPF 路由器之间的邻居关系: ``` neighbor <邻居地址> ``` 其中邻居地址表示该 OSPF 路由器的邻居地址,可以多次输入该命令配置多个邻居关系。 4. 配置路由策略 可以通过输入以下命令配置 OSPF 路由器的路由策略: ``` ip route <目标网络地址> <子网掩码> <下一跳地址> ``` 其中目标网络地址和子网掩码表示需要路由的目标网络,下一跳地址表示到达目标网络所需要经过的下一跳路由器地址。 5. 保存配置 输入以下命令保存配置并退出: ``` write ``` 以上就是在路由器上配置 OSPF 动态路由的方法,需要根据实际情况进行相应的配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值