目录
2)按掩码匹配多条路由( greater-equal 大于等于)
4)按掩码匹配多条路由( greater-equal 26 less-equal 28 区间)
1- R2配置route-policy 实现仅引入10.1.0.0/24
2- 需求不变,prefix-list(deny),route-policy(permit)
3- 需求不变,prefix-list(permit),route-policy(deny)
4- 需求不变,prefix-list(deny),rule-policy(deny)
一、路由策略背景
涉及不同进程或不同路由协议之间相互传递路由
引入路由的设备成为ASBR(自治系统边界路由器)
二、路由引入
1.路由引入
简单来说,路由引入就是引入的该网段和接口都会引入进
2.ospf和isis相互引入路由实例
1.最开始没有引入时,isis和ospf 路由
2.在isis里引入ospf
import-route ospf 1
查看isis路由表,发现ospf里的路由已经引入到isis里了
3.在ospf里引入isi
import-route isis 1
查看ospf路由表,发现isis里的路由已经引入到ospf里了
三、路由控制
1.路由控制
2、路由控制工具(选中路由条目)
在这里permit选中,deny 没选中
1)ACL访问控制列表
2)IP前缀
只匹配路由,不匹配拓扑
常见ip ip-prefix前缀匹配
3、路由策略工具
1)filter-pollicy
2)route-policy
可以对路由做筛选,还能过滤,还能设置路由属性(默认deny)
四、路由控制工具-灵活抓路由
1.ACL过滤实例
加四个换回口配上10的ip地址,rip宣告进去。
最开始的路由表
1)R1部署入方向的过滤,保留10.1.0.0/24 和10.1.1.0/24
2)R1配置acl,保留10.1.1.0/24和10.1.3.0/24
2.IP前缀实例
静态路由宣告这7个10ip,下一跳用null 0,然后在rip里引入静态路由
最开始r1的路由表
1) 匹配一条路由
让R1只允许10.1.1.0/24 通过
ip ip-prefix TEST index 10 permit 10.1.1.0 24
查看rip路由表
2)按掩码匹配多条路由( greater-equal 大于等于)
让R1允许掩码>26的路由通过
ip ip-prefix TEST index 10 permit 10.1.0.0 16 greater-equal 26 (less-equal 32)
查看rip路由表,通过的路由 26-30
3)按掩码匹配多条路由( less-equal 小于等于)
ip ip-prefix TEST index 10 permit 10.1.0.0 16(greater-equal 16) less-equal 26
查看rip路由表,通过的路由 23-26
4)按掩码匹配多条路由( greater-equal 26 less-equal 28 区间)
ip ip-prefix TEST index 10 permit 10.1.0.0 16 greater-equal 26 less-equal 28
查看rip路由表,通过的路由 26-28
均符合题意
思考题:
根据ip ip-prefix TEST index 10 permit 10.1.0.0 22 g 26,推测r1允许通行的路由?
答:根据10.1.0.0 22,得到路由的范围在0、1、2、3里;然后又因为g 26,推测路由范围在3、4、5、6、7里,那么取交集,r1允许通行的路由为10.1.3.0/26
3.ACL过滤和IP前缀过滤的区别
1)ACL与ip-prefix都支持路由过滤
2)ACL不支持掩码匹配,prefix-list支持
2)ACL支持流量过滤,prefix-list不支持
2)ACL支持奇偶匹配,prefix-list不支持
五、策略工具灵活运用
1.route-policy策略
1)route-policy策略
最开始r1上的路由
1- R2配置route-policy 实现仅引入10.1.0.0/24
1.选中路由10.1.0.0 ip ip-prefix TEST index 10 permit 10.1.0.0 24 2.策略允许 route-policy S-R permit node 10 3.在rip运用路由策略 import-route static route-policy S-R
2- 需求不变,prefix-list(deny),route-policy(permit)
1.不选中路由10.1.1.0 ,但选中其他 ip ip-prefix TEST index 10 deny 10.1.1.0 24 ip ip-prefix TEST index 20 permit 0.0.0.0 0 le 32 2.策略允许 route-policy S-R permit node 10 3.在rip运用路由策略 import-route static route-policy S-R
3- 需求不变,prefix-list(permit),route-policy(deny)
1.选中路由10.1.1.0 ip ip-prefix TEST index 10 permit 10.1.1.0 24 2.策略拒绝 route-policy S-R deny node 10 if-match ip-prefix TEST 3.策略放行其他 route-policy S-R permit node 20 (10.1.0.0 ) 4.在rip运用路由策略 import-route static route-policy S-R
4- 需求不变,prefix-list(deny),rule-policy(deny)
1.不选中路由10.1.0.0 ,选中其他 ip ip-prefix TEST index 10 deny 10.1.0.0 24 ip ip-prefix TEST index 20 permit 0.0.0.0 0 less-equal 32 2.策略拒绝 route-policy S-R deny node 10 if-match ip-prefix TEST 3.策略放行其他 route-policy S-R permit node 20 4.在rip运用路由策略 import-route static route-policy S-R
2)route-policy修改属性(打tag)
用ip前缀抓路由
3)route-policy抓路由
1.抓tag 0的路由 route-policy TEST permit node 10 if-match tag 0 2.filter-policy策略 filter-policy route-policy TEST import
2.filter-policy
filter-policy部署在连链路状态协议场景下
1)部署位置:BR或IR
仅影响路由表加载,不能影响LSA的传递
2)部署位置:ABR
影响ABR路由加载,影响LSA3的通告
3)部署位置:ASBR
做LSA5的过滤,注意使用export放行
(因为LSA5在ASBR上产生,所以过滤也要在这里配置,而且它是向外发送LSA5的,所以要在出方向上过滤掉。)
最开始路由表和链路状态数据库都有150.1.1.1
1)在R2上过滤150.1.1.1 32
发现过滤了150.1.1.1的路由,但是lsa依然存在
原因:区域内,LSA传递的是LSA 1和LSA 2,这两个都是拓扑信息,不是路由信息
而部署位置:BR或IR
仅影响路由表加载,不能影响LSA的传递
2)在R3上路由策略
发现:ospf路由表没了150.1.1.1,lsdb里也看不到LSA3的150.1.1.1
原因:在ABR上部署
影响路由,同时因为ABR产生LSA3(传递的是路由信息),所以在过滤路由时,把LSA 3也给过滤了。
3)在R4上部署路由策略
先把155.1.4.4引入,在r3上看到4.4的路由
ip ip-prefix NET4 index 10 permit 150.1.4.4 32
route-policy dir-ospf permit node 10
if-match ip-prefix NET4ospf 1
import-route direct route-policy dir-ospf
4)再在r4上策略
ip ip-prefix TSET index 10 deny 155.1.4.4 32
ip ip-prefix TEST index 20 permit 0.0.0.0 0 less-equal 32ospf 1
filter-policy ip-prefix TEST export发现:路由表和lsdb,都没了150.1.4.4
原因:ASBR产生LSA5(也是路由信息),所以都策略了
985
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
